Cuidado con los bulos y ‘phishing’ que vuelven con el inicio de la campaña de la Renta 2022

El inicio de la campaña de la declaración de Renta 2022, este 11 de abril, viene acompañado, una vez más, de bulos y estafas de phishing que los ciberdelincuentes utilizan para robar datos personales y bancarios de los ciudadanos. En la mayoría de los casos, los mensajes fraudulentos se difunden a través de correos electrónicos y SMS que redirigen a páginas web que suplantan a la de la Agencia Tributaria. 

Enrique Domínguez, director de Estrategias de la empresa de seguridad Entelgy Innotec Security, dice a Newtral.es que los bulos y phishing se suelen intensificar durante la campaña de la Renta, principalmente en abril y mayo, si bien a lo largo de todo el año se detectan suplantaciones de la Agencia Tributaria. Ante eso, recomienda visitar los sitios y aplicaciones móviles oficiales. “La declaración de la renta es un tema estrella que los ciberdelincuentes suelen aprovechar”, señala. 

Tanto la Agencia Tributaria como el Instituto Nacional de Ciberseguridad (Incibe) han alertado a los usuarios de varias campañas de phishing que han propagado los ciberdelincuentes en los últimos meses. La página web de la Agencia Tributaria ha publicado algunos ejemplos de mensajes maliciosos por correo electrónico que se han enviado a los usuarios en este 2023. “Se están detectando casos de phishing donde, usando dominios usurpados, se redirige a una página que imita la de la autenticación de la Sede de la AEAT (Agencia Estatal de Administración Tributaria) y que pide una dirección de correo y contraseña”, advierte. 

Los bulos y phishing sobre la renta identificados por la Agencia Tributaria 

Entre enero y marzo de este año, la Agencia Tributaria identificó dos correos electrónicos falsos que estaban acompañados de enlaces fraudulentos que imitaban la autenticación de la sede de la AEAT o bien enviaban mensajes de supuestos avisos postales. En enero, la institución también reportó un SMS con un formulario que se debía completar para obtener un supuesto reembolso de impuestos. Al respecto, el especialista Enrique Domínguez explica que la Agencia Tributaria “no trabaja de esa manera” y coincide en que las prácticas más usuales son los correos electrónicos que suplantan al organismo y los SMS con enlaces. 

“La declaración de la renta es un gancho atractivo para varios objetivos de phishing: hacernos visitar páginas fraudulentas, obtener nuestros datos personales con estafas más elaboradas o instalar un malware (programa malicioso) en nuestros equipos o dispositivos móviles”, agrega Domíguez en declaraciones a Newtral.es. La compañía de seguridad Entelgy Innotec Security dijo, en una nota de prensa del 5 de abril 2023, que la prevención y la concienciación son indispensables para evitar ser víctimas de los diversos ataques de suplantación de identidad que suceden cada año durante la campaña de la Renta.

El Incibe, por su parte, alertó en marzo de correos electrónicos que tenían como asunto “Aviso de nueva notificación puesta a disposición” y que suplantaban a la Agencia Tributaria. En el mensaje los ciberdelincuentes indicaban a los usuarios que tenían una nueva notificación disponible e instaban a hacer clic en el enlace malicioso, con el objetivo de obtener las credenciales de acceso del usuario a través de una página fraudulenta.

Además de estos casos, en Newtral.es también recopilamos algunos de los bulos y phishing sobre la declaración de la renta que han circulado sobre la Agencia Tributaria en los últimos tiempos. 

La falsa devolución de impuestos de más de 450 euros 

En junio pasado, varios usuarios de correos electrónicos recibieron un mensaje en el que supuestamente la Agencia Tributaria notificaba sobre la devolución de impuestos en la declaración de la Renta por un monto superior a los 450 euros. Sin embargo, se trataba de phishing, según el Incibe.

“Tras los últimos cálculos anuales del ejercicio de tu actividad, hemos determinado que tienes derecho a recibir la devolución de tus impuestos del año 2022”, decía el texto del correo electrónico al que le sigue el monto a devolver por Hacienda, que en algunos casos era mayor a los 450 euros. Los ciberdelincuentes usaron el logotipo de la Agencia Tributaria. 

La web falsa de la Agencia Tributaria que pide los datos bancarios

A través de las redes sociales circuló también en octubre pasado un enlace, atribuido a la Agencia Tributaria, en el que se instaba a los usuarios a gestionar devoluciones de la declaración de la renta. Para ello se debía llenar un formulario con el número de tarjeta bancaria, el CVV y la clave PIN. Sin embargo, era un caso de phishing, según confirmó a Newtral.es la Agencia Tributaria. 

La web falsa usó el membrete corporativo de la Agencia Tributaria y del Ministerio de Hacienda, mientras que el diseño estaba ideado para que la víctima pensara que se encontraba ante una página oficial. Por ejemplo, en el pie de la página aparecía un supuesto menú calcado al que aparece en la web real de la Agencia Tributaria con enlaces, pero que en realidad no funcionaban. El Incibe calificó la estafa en el nivel 4/5 (alto) de alerta.

El correo de la Agencia Tributaria para “evitar la suspensión del negocio”

Un phishing que verificamos en 2020 y que vuelve a circular a través de correos electrónicos notifica a los usuarios supuestas medidas en el “ámbito tributario” adoptadas por la Agencia Tributaria. Sin embargo, la institución aclaró a Newtral.es que se trataba de un phishing. El remitente del correo no correspondía a ninguno de los utilizados por dicha institución. 

El texto del correo electrónico decía lo siguiente: “De acuerdo con el Real Decreto-ley 15/2020, de 21 de abril, de medidas urgentes complementarias para apoyar la economía y el empleo, se adoptarán las siguientes medidas en el ámbito tributario”. En el mensaje falso, los ciberdelincuentes pedían descargar un documento y enviarlo en un plazo de siete días. 

Recomendaciones para evitar ser víctima de phishing y bulos durante la declaración de la Renta

Si crees que podrías estar siendo víctima de alguna de estas situaciones, en Newtral.es hemos recopilado algunas recomendaciones clave sobre qué hacer en caso de phishing o estafas por internet. Entre estas está identificar qué tipo de información has puesto en peligro en las estafas de internet y denunciar la situación ante las autoridades competentes. 

Por otro lado, para evitar el phishing o bulos que derivan en intentos de estafa, el Incibe recomienda: 

• No abrir correos de usuarios desconocidos o que no haya solicitado; hay que eliminarlos directamente.
• En caso de que el correo proceda de una entidad bancaria legítima, nunca contendrá enlaces a su página de inicio de sesión o documentos adjuntos. 
• No contestar en ningún caso a estos correos.
• Tener precaución al seguir enlaces o descargar ficheros adjuntos en correos electrónicos, SMS y mensajes en WhatsApp o redes sociales, aunque sean de contactos conocidos.
• Tener siempre actualizado el sistema operativo y el antivirus. En el caso del antivirus, comprobar que está activo.

Además, la Agencia Tributaria insiste en que nunca solicita por correo electrónico o SMS información confidencial, económica o personal, números de cuenta ni números de tarjeta de los contribuyentes ni adjunta anexos con información de facturas u otros tipos de datos.