La campaña de la Renta 2022-2023 dará comienzo el próximo martes 11 de abril, y finalizará el 30 de junio. Y los ciberestafadores ya están sacando su artillería pesada para lograr aprovecharse de los contribuyentes españoles. Los procedimientos burocráticos son un campo en el que no todos los usuarios se desenvuelven bien, y los estafadores explotan eso para 'echar el anzuelo' en busca de su dinero y/o sus datos personales.
Estas estafas vinculadas a la Declaración de la Renta pueden tomar muchas formas, aunque las técnicas usadas se diferencian poco de las que podemos ver a lo largo del resto del año:
Phishing
El 'phishing' consiste en el envío de e-mails fraudulentos que aparentan proceder de alguna fuente fiable (Ministerio de Hacienda, Agencia Tributaria, una entidad bancaria, o similar) utilizando sus logotipos y/o enviándolos desde dominios que se asemejan a los de las instituciones reales. Habitualmente, ese email nos convencerá de que accedamos a un enlace malicioso (de una web que probablemente también suplante a una oficial) o para que nos descarguemos algún archivo adjunto.
Todas estas molestias se las toman para convencernos de que ejecutemos algún tipo de malware (virus, troyanos, etc.) o para que rellenemos algún formulario web con nuestros datos personales y/o de pago. En algunos casos, para ambas cosas.
El año pasado, hubo varias campañas de phishing que variaban entre sí únicamente por el anzuelo utilizado para hacernos picar:
- "Factura no pagada — Gobierno de España": Los afectados por esta estafa recibían un email con ese asunto, algo que incita al usuario a hacer clic. Una vez ahí, nos incluían un enlace (supuestamente a un fichero PDF) en el que podíamos visualizar "nuestra multa pendiente", cuyo pago debía "realizarse de manera urgente". Basta mencionar 'deudas con Hacienda' para que la precaución del usuario tienda a desaparecer. En aquel caso, la consecuencia fue una infección por malware.
Otra campaña similar adjuntaba un PDF real de un documento falso (izquierda) de la Agencia Tributaria en el que se nos volvía a amenazar con una multa y se nos proporcionaba un enlace para pagarlo en una web falsa que simulaba ser la de la citada agencia (derecha):
vía OSI/INCIBE
- "Comprobante fiscal digital — Ministerio de Hacienda y Fucion Publica": En aquella ocasión, los estafadores suplantaban a la Agencia Tributaria y nos comunicaban que teníamos "pendiente de presentar" un documento con un "monto total de 6.289,20", sin indicar nada más. A continuación, nos ofrecían la opción de descargar un fichero .zip con toda la documentación necesaria… si bien el enlace nos dirigía a un virus dedicado a robar nuestros datos personales.
Actualización #OSIaviso | ¿Has recibido un correo sospechoso sobre una factura no pagada o una multa pendiente desde la #AgenciaTributaria de @Haciendagob? Cuidado, su objetivo es instalarte un #malware.
— Oficina de Seguridad del Internauta (@osiseguridad) April 7, 2021
➕ info https://t.co/eh3Hp0prAz
Y si dudas, llámanos al ☎️017 de @INCIBE. https://t.co/wTNpxOuxVW pic.twitter.com/q5maNrir8e
Y sí, el nombre del ministerio está escrito tal cual aparecía en los e-mails maliciosos detectados hace un año por la Oficina de Seguridad del Internauta (OSI); normalmente, la presencia de faltas ortográficas y gramaticales suelen ser un indicativo de que 'hay algo raro' con el e-mail que acabamos de recibir.
En otros casos, en lugar de malware nos encontraremos con falsas declaraciones de la renta: formularios web en los que se nos anima a introducir nuestros datos, que terminarán en manos de los estafadores en cuanto pulsemos el botón de 'Enviar'. Pero no todas las estafas nos llegarán por e-mail…
Smishing
Resumiendo mucho, el smishing es lo mismo que el phishing, pero distribuido a través de mensajes de móvil (en origen, de SMS, aunque hoy en día el término se aplica igualmente a los que se distribuyen por WhatsApp y otras apps de mensajería). La temática de los mensajes, aunque más resumidos, suelen ser similares a los de los e-mails ya mencionados, y en ocasiones encontraremos incluso los mismos enlaces maliciosos.
Vishing
Como en el caso del smishing, el 'vishing' se lleva a cabo a través de un teléfono, pero en este caso utilizan telefonistas para llamarnos a nuestro móvil o fijo, haciéndose los estafadores por funcionarios de la Agencia Tributaria, que nos llaman para 'facilitarnos' realizar la declaración de la renta por vía telefónica y ahorrarnos así el desplazamiento a las oficinas. Pensando que está hablando de verdad con un funcionario, la víctima proporciona sin problemas todos los datos personales y bancarios que se le solicitan.
Consejos: ¿Qué recomienda la OSI?
Como pautas generales para evitar ser víctima de fraudes de este tipo, se recomienda:
No abrir enlaces de usuarios desconocidos o que no haya solicitado: hay que eliminarlos directamente.
En caso de que el mensaje proceda de una entidad legítima, nunca contendrá enlaces a su página de inicio de sesión o documentos adjuntos.
No contestar en ningún caso a estos mensajes.
Tener precaución al seguir enlaces o descargar ficheros adjuntos en correos electrónicos, SMS, mensajes en WhatsApp o redes sociales, aunque sean de contactos conocidos.
Tener siempre actualizado el sistema operativo y el antivirus. En el caso del antivirus, comprobar que está activo.
Asegúrate de que las cuentas de usuario de tus empleados utilizan contraseñas robustas y sin permisos de administrador.
En Genbeta | Renta 2022: desde cuándo se puede descargar el borrador para declararlo a Hacienda
