Un enlace remitido al servicio de verificación por Whatsapp de Newtral.es redirige a una web que, en apariencia, depende de la Agencia Tributaria para gestionar devoluciones de la declaración de la renta, pero es una estafa. De hecho, para tramitar la presunta devolución el cuestionario pide un número de tarjeta, el CVV y la clave PIN.
Desde la Agencia Tributaria confirman a Newtral.es que no tienen relación con esta página y que se trata de un phishing; es decir, un fraude que utiliza la imagen corporativa de una organización o institución en la que la víctima confía para, de esta manera, hacerse con sus datos. En este caso, los de una tarjeta de crédito.
En concreto, la web usa el membrete corporativo de la Agencia Tributaria y del Ministerio de Hacienda, mientras que el diseño está ideado de tal manera que la víctima piense que está ante una página oficial. Por ejemplo, en el pie de la página aparece un supuesto menú calcado al que aparece en la web real de la Agencia Tributaria con enlaces ─que en realidad no funcionan─ al Portal de Transparencia o al Consejo para la Defensa del Contribuyente.
¿Cómo identificar la estafa con la falsa web de la Agencia Tributaria?
El Instituto Nacional de Ciberseguridad (INCIBE) ha calificado esta estafa que simula la web de la Agencia Tributaria en el nivel 4/5 (alto) de alerta. En caso de que una persona haya sido víctima y haya facilitado sus datos bancarios, pide modificar lo antes posible la contraseña de acceso a la banca online, así como contactar con la entidad para informar de la situación.
Asimismo, conviene recopilar todas las pruebas de la estafa como capturas de pantalla, el correo electrónico o los mensajes con el enlace fraudulento, así como contactar con la Policía o la Guardia Civil para denunciarlo.
Una de las fórmulas para advertir si estamos ante una estafa que simula la web de la Agencia Tributaria es comprobar la URL o el enlace en el que nos encontramos. Si el dominio no coincide con ninguno de los oficiales de la institución, como sucede en este caso, lo más probable es que se trate de un fraude. A continuación puedes observar todos los dominios desde los que opera la Agencia Tributaria, incluida su sede electrónica y la plataforma para trámites.
Asimismo, la Agencia Tributaria insiste en que nunca solicita por correo electrónico información confidencial, económica o personal, ya sean números de cuenta o números de tarjeta. Tampoco realiza devoluciones a tarjetas bancarias.
Otros ‘phishings’ de la Agencia Tributaria
Este no es el primer caso de phishing que hemos abordado en Newtral.es y que afecta a la Agencia Tributaria, ya que son habituales los correos electrónicos fraudulentos que se hacen pasar por la institución para robar datos de usuarios. Es habitual que este tipo de fraudes proliferen con el inicio de la campaña de la renta.
Por ejemplo, en abril de 2022 se dieron varios casos de correos electrónicos que, aparentemente, procedían del Ministerio de Hacienda y Función Pública para pedir documentación “pendiente de presentar”, para lo que había que clicar en un enlace. Al pulsar, la víctima descargaba un programa malicioso o ‘malware’ que puede robar datos personales y bancarios.
También en el inicio de la campaña de la renta de 2021 se detectaron una serie de correos fraudulentos que suplantaban a la Agencia Tributaria para que los usuarios cayeran en un enlace contaminado con el pretexto de una “factura no pagada”.
