La campaña de la Renta 2018 está en marcha desde este martes (2 de abril). Son muchos los españoles que esperaban la llegada de esta fecha para consultar sus borradores. Pero también los amantes de lo ajeno, que ven en esta situación un momento propicio para tratar de engañar a los ciudadanos mediante ataques de suplantación de identidad (técnica conocida como phishing).

Durante estos días habrá gente que reciba supuestas comunicaciones a través de fraudulentos correos electrónicos y mensajes de texto o en las redes sociales haciéndose pasar por la Agencia Tributaria para recabar información personal (credenciales de usuario, datos de sus tarjetas de crédito y de la seguridad social o números de sus cuentas bancarias). Estas notificaciones incluyen enlaces a sitios web en teoría conocidos o archivos adjuntos dañinos, y pueden ser la fase inicial de otro tipo de ataques de mayor relevancia. “De hecho, suelen ser la primera etapa de un ciberataque para establecer un primer punto de entrada en los sistemas de la víctima y desarrollar acciones posteriores de espionaje o exfiltración de información”, señalan desde Entelgy Innotec Security.

WhatsApp, un nuevo canal para el ‘phishing’

Hasta ahora, los ataques de suplantación de identidad eran tradicionalmente realizados a través de mensajes de texto y de correos electrónicos, mensajes que se enviaban a través de servidores comprometidos, sistemas cliente infectados o desde cuentas de correo legítimas utilizando información robada previamente para iniciar sesión.

“Sin embargo, dado el auge de las aplicaciones de mensajería instantánea como WhatsApp o Telegram, así como de las redes sociales, se observa un incremento importante en el envío de mensajes fraudulentos por medio de estos canales, aumentando las posibilidades de que los usuarios caigan en alguno de estos engaños”, apuntan los expertos en ciberseguridad de la compañía.

¿Cómo identificar el fraude?

Los ciberdelincuentes no desaprovecharán el inicio de la campaña de la Renta 2018 para tratar de estafar a los contribuyentes. Sin embargo, existen métodos para identificar los mensajes fraudulentos que intentan recabar información de los usuarios. La propia Agencia Tributaria ofrece información relevante relacionada con los ataques de phishing tan habituales durante esta época del año, avisando del tipo de mensaje más común enviado por los ciberdelincuentes a través de los cauces tecnológicos.

Ataque de 'phishing' / PIXABAY

Ataque de 'phishing' / PIXABAY

Los profesionales de Entelegy Innotec Security explican que la notificación “suele aludir a supuestos reembolsos de impuestos”. “Para poder disponer del dinero, el remitente solicita al usuario que acceda a una dirección web, donde se le pedirán datos de cuentas bancarias y tarjetas de crédito”, añaden. Sin embargo, desde la Agencia Tributaria recuerdan que “nunca se solicita por correo electrónico información confidencial, económica o personal, números de cuenta ni números de tarjeta de los contribuyentes. Tampoco paga devoluciones con cargo a tarjetas de crédito, ni cobra importe alguno por los servicios que presta”.

Consejos para evitar estafas en la campaña de la Renta 2018

Los contribuyentes que quieran mantenerse a salvo de los ciberataques pueden consultar algunas de las recomendaciones ofrecidas por la compañía especializada en ciberseguridad, inteligencia y gestión y prevención de riesgos:

  • Observar el dominio del remitente del correo electrónico. En este caso, comprobar que el dominio de la Agencia Tributaria sea aeat.es. Cualquier otro dominio es falso.
  • No abrir correos de usuarios desconocidos o que hayan sido solicitados. Lo mejor es eliminarlos directamente y no contestar a ellos.
  • No hacer clic en los hipervínculos o enlaces que se adjunten en el correo, SMS, mensajes de WhatsApp o de redes sociales, dado que pueden redirigir a una página web fraudulenta. Ante cualquier duda, lo ideal es teclear directamente la dirección web en el navegador.
  • Tener precaución al descargar ficheros o archivos ejecutables adjuntos en correos electrónicos, en SMS, mensajes en WhatsApp o en redes sociales, aunque provengan de personas conocidas.
  • Introducir los datos personales únicamente en páginas web seguras, con protocolo https:// y con un icono de un candado pequeño. Hay que recordar que ni la AEAT, ni los bancos solicitarán nunca que el usuario envíe sus claves o datos personales por correo electrónico. Ante cualquier duda, es recomendable llamar directamente a uno u otro.
  • Revisar periódicamente las cuentas bancarias para estar al día de cualquier irregularidad.
  • Modificar periódicamente las contraseñas y utilizar una diferente para cada una de las cuentas que el usuario posea en redes sociales, correos electrónicos y páginas web. Además, asegurarse de que éstas sean robustas, es decir, largas y con caracteres de diferente tipo.
  • Mejor ser prudente. Siempre es preferible rechazar cualquier mensaje que genere dudas o enlace con una página web cuya dirección no coincida con el organismo en cuestión.

La forma más segura de hacer la Renta 2018

“Recomendamos dudar siempre de todos aquellos correos o mensajes que soliciten información personal y eliminarlos sin interactuar con ellos. Es decir, hay que evitar pinchar en enlaces que incluyan o den permiso para descargar los posibles archivos adjuntos. De esta forma, la declaración de la Renta 2018 se podrá llevar a cabo de forma (ciber)segura”, concluyen desde Entelgy Innotec Security.