La declaración de la Renta 2022/23 ha dado el pistoletazo de salida el 11 de abril —y hasta el 30 de junio— y desde ese mismo momento ya puedes presentarla. La Agencia Tributaria ya anunció las fechas clave para presentar la declaración y muchos residentes en España estarán obligados a declarar sus ingresos y el Impuesto sobre la Renta de las Personas Físicas (IRPF).
Con todo esto, la Guardia Civil y empresas de ciberseguridad comienzan a alertar sobre el aumento en estos días de las ciberestafas. “Actualmente el impacto financiero se estima en 2000 euros por persona, si lo miramos desde un punto de vista empresarial, hablamos de, aproximadamente, 20 millones de euros al año únicamente en España”, explica Rafael López, head of Solution Architecture EMEA/LATAM de Perception Point.
Comentan que en estos meses será más que frecuente recibir una supuesta notificación de la Agencia Tributaria con enlaces fraudulentos para obtener tus datos privados o para conseguir un reembolso de los impuestos.
“Existen múltiples ataques que utilizan la campaña de la Renta como ‘gancho’ para lograr incrementar su lista de víctimas. El objetivo habitual es tratar de conseguir datos personales de las víctimas que faciliten posteriores ataques. También es habitual que se trate de acceder a sus credenciales de pago o incluso lograr que la víctima directamente realice algún pago al delincuente pensando que lo está efectuando a la Agencia Tributaria”, explica para Computer Hoy Miguel López, Director General de Barracuda Networks.
Técnicas más usadas y ejemplos para detectar posibles estafas
“Actualmente los ciberdelincuentes utilizan principalmente la ingeniería social con tres técnicas; el ‘phishing’, que es el envío de correos con enlaces a webs fraudulentas de Hacienda; el ‘smishing’, que al igual que el ‘phishing’ trata de que hagamos ‘click’ en un enlace, pero esta vez, a través de un SMS en nuestro teléfono y, la última, el v’ishing’, donde a través de una llamada telefónica, suplantan a un funcionario de Hacienda”, añade Rafael López.
La Agencia Tributaria dispone de una web donde se puede comprobar ejemplos de phishing enviados en anteriores campañas —incluidos algunos casos ya visto en la actual—, lo que puede ayudarte a detectar este tipo de fraudes.
“Otras variedades han tomado fuerza últimamente: el ‘Qrishing’, una forma de phishing oculto en códigos QR. En ocasiones también se busca infectar a la víctima con diferentes tipos de ‘malware’ como ‘Ransomware’ o ‘Keyloggers’ que incrementan el alcance del ataque”, explican en una nota de prensa la empresa Entelgy Innotec Security.
Por ejemplo, desde ESET, una compañía de software especializada en ciberseguridad, avisan de dos tipos de correos fraudulentos que ya están circulando. El primero contiene un enlace que te lleva a una página web de la Agencia Tributaria falsa. En ella, te piden los datos para acceder al área personal, con el objetivo de luego vender esa información privada a terceros.
El segundo caso es otro correo malicioso que lleva adjunto un archivo que parece ser una notificación de la Agencia. Con nombre ‘AEAT – Aviso de Notificación administrativa’, lo que ocurrirá es que descargarás un fichero ‘.bat’ que instalará un malware infostealer en el dispositivo. Esto es un virus tipo troyano que obtiene información personal del usuario, como las contraseñas o los números de tarjetas de crédito.
“Los ciberdelincuentes son expertos en lograr que los usuarios no sospechen ni detecten sus tácticas. La sofisticación de sus fraudes es cada vez mayor, por lo que nuestra capacidad para descubrir la mala intención en este tipo de comunicaciones también debe serlo”, declara Félix Muñoz, director general de Entelgy Innotec Security.
“En España aún existe una brecha muy grande en cuanto a concienciación en ciberseguridad. El pensamiento habitual es, tanto en la población como en pymes o micropymes, ‘a mí no me van a robar porque no soy una gran empresa’. Este pensamiento es erróneo, todos podemos ser víctimas de una estafa. Según el informe sobre la cibercriminalidad en España, en 2021, hubo 115.434 víctimas, es un número muy alto y que sigue creciendo”, añade Rafael López.
Consejos para evitar convertirte en víctima durante la campaña de la Renta 2022/23
“Es complicado para el ciudadano detectar este tipo de fraudes. Lo más eficaz es usar el sentido común. Hacienda nunca nos va a solicitar datos personales o bancarios puesto que ya los tienen. Igualmente, si Hacienda nunca nos ha contactado por SMS o correo, es muy sospechoso que lo haga justo ahora. Son lo que llamamos red-flags para detectar posibles estafas”, sentencia Rafael López, head of Solution Architecture EMEA/LATAM de Perception Point.
1. Por lo tanto, si recibes un correo o SMS, comprueba que se trate de la Agencia Tributaria en el caso de recibir una notificación. Tienes varias vías para hacerlo como a través de su chat o del teléfono oficial que encuentres directamente en su sitio web.
2. Evita por encima de todo responder a estos mensajes con datos personales como tu nombre o DNI. Ten en cuenta que los ciberdelincuentes aprovecharán este periodo para exponer las consecuencias económicas de no hacerlo lo que podría ponerte en un aprieto.
“Es solo una táctica para que la víctima actúe con rapidez sin tiempo para pensar. Si el correo muestra urgencia, tómate tu tiempo antes de responder y piensa que ningún organismo público solicitará información de esta manera. Además, recuerda que el dominio oficial del email de este organismo es correo.aeat.es”, explican desde Entelgy Innotec Security.
3. Por otro lado, revisa con cautela el remitente y sospecha de cualquier símbolo extraño que encuentres. Lo mismo ocurre con el contenido del mensaje. Si encuentras faltas de ortografía o no tiene demasiado sentido lo que exponen, bórralo.
4. Por supuesto, olvídate de pinchar en cualquier enlace que te proporcione el correo o SMS. Si ves que este lleva adjunta alguna imagen o documento, no la descargues. Recuerda que estos enlaces suelen llevar a páginas fraudulentas que solicitarán tus credenciales. Si accedes, estás perdido.
5. Activa siempre que sea posible autenticación multifactor en todos nuestros accesos a aplicaciones y adopta políticas de contraseñas seguras que incluyan cambios de las mismas de manera frecuente y sin compartirlas entre diferentes aplicaciones.
“Si los usuarios contaran con los conocimientos adecuados para autoprotegerse serían capaces de identificar estas estafas por sí mismos en la mayoría de los casos. Además, un usuario concienciado se dotaría de los elementos de seguridad indispensables en sus dispositivos, lo que también frenaría la mayor parte de estos ataques”, finaliza Miguel López.
