Cuidado con los hackers que se hacen pasar por la Agencia Tributaria

Entre abril y junio, los españoles tienen una cita importante: la Declaración de la Renta. Este es un trámite que deben gestionar millones de trabajadores por cuenta propia o ajena, enfrentándose a dificultades técnicas de diferente tipo.

A ello se suma que, en los últimos años, las autoridades han venido anunciado la grave amenaza que suponen los hackers. Los ciberdelincuentes aprovechan estas fechas para lanzar ciberataques que consisten en hacerse pasar por el Ministerio de Hacienda o la Agencia Tributaria y enviar mensajes falsos a sus potenciales víctimas. Las estafas online relacionadas con la declaración de la renta aumentan cada año.

“Errores” o reclamaciones de dinero en el formulario de la declaración de la renta

En los SMS, correos electrónicos o los mensajes enviados a través de la popular app de Bizum, los hackers explican que ha habido un error en el formulario de la declaración de la renta o que existe la posibilidad de reclamar cierta cantidad de dinero.

Para poder gestionar estas dos peticiones, la víctima debe abrir el enlace adjunto, que por supuesto es malicioso y le llevará a un sitio web inseguro. Con este simple clic, los datos personales de la víctima estarán en peligro, así como el dinero de sus cuentas bancarias.

#NoPiques ante la sospecha de mensaje falso

La Policía Nacional ha iniciado una campaña en redes sociales, #NoPiques. Su tweet se ha hecho viral. Mediante la difusión de imágenes desmontando bulos, se da visibilidad a las estafas en línea vinculadas a la declaración de la renta. La suplantación de la identidad es un grave delito.

Este es el aspecto de los mensajes falsos de la Agencia Tributaria o Hacienda, con su correspondiente enlace malicioso:

“Se ha ordenado el pago de su devolución del Impuesto sobre la Renta de las Personas Físicas del ejercicio 2023”.

AGENCIA TRIBUTARIA: Se ha ordenado el pago de 411,00¿ de devolución del IRPF de la Renta 2023. Mas* informacion* en la web: XXX. (Nota: en este ejemplo se incluyen las faltas de ortografía, un elemento común en este tipo de estafas online.)

Si bien los intentos de estafa son frecuentes a través de mensajes de textos falsos, no es la única técnica que están empleando los hackers. La tecnología actual ya les permite hacerse pasar por trabajadores de la Agencia Tributaria o Hacienda que realizan llamadas telefónicas de rutina.

Esto es lo que se denomina vishing, una llamada telefónica falsa cuya misión es robar datos privados y que se hace de forma automática, sin necesidad de que la voz del timador sea la de alguien de carne y hueso, porque el que habla es un chatbot programado.

“Los ataques phishing, smishing, el vishing y los delitos de suplantación de la identidad suponen una gran amenaza. Estas técnicas delictivas se basan en el envío masivo de mensajes con links adjuntos que han sido manipulados para robar los datos privados de la víctima o su dinero. Los ciberdelincuentes redactan los mensajes falsos usando herramientas de IA para que suenen más convincentes. Utilizan bots para difundir a mayor velocidad sus mensajes fraudulentos.”, afirma Marijus Briedis, experto en ciberseguridad en NordVPN.

¿Cómo saber si un mensaje de la AT es falso?

Marijus Briedis recuerda que “el principio básico de la ciberseguridad es la prevención”. Estos son algunos consejos que recomienda aplicar para saber si una notificación de la declaración de la renta 2024 es real:

Los enlaces adjuntos no son oficiales. Esta es una clara “red flag”. Las notificaciones oficiales de las oficinas gubernamentales habitualmente se envían por correo postal certificado.

La Administración no emplea enlaces shortcut. Los hackers especializados en ataques phishing acortan las direcciones URL para que parezcan inofensivas y que, por error, la víctima abra el enlace.

Es fundamental desconfiar de los mensajes mal redactados y demasiado generales. La Agencia Tributaria lo sabe todo sobre los contribuyentes de manera que los mensajes que puedan enviar serán específicos y protegerán la confidencialidad de los datos.

La carpeta de spam está advirtiendo de un posible peligro. La cuenta de correo electrónico envía a la sección “correo no deseado” los mails que tengan aspecto sospechoso o no cumplan con un mínimo de medidas de seguridad.

No es oro todo lo que reluce. Cualquier persona en España quiere que la renta “le salga a devolver” en 2024, pero no hay que confiar únicamente en un escueto mensaje de texto atribuido, en teoría, a la Agencia Tributaria.

En fechas señaladas es preferible pensar dos veces antes de abrir un enlace desconocido. En Sant Jordi se reportaron SMS falsos de Correos que notificaban supuestos incidentes con pedidos online de libros.