Renta 2018: evita los ataques de ingeniería social que suplantan a la Agencia Tributaria

Los ciberdelincuentes aprovechan el inicio de la campaña de la Renta para tratar de engañar a los usuarios y robar sus datos personales o bancarios.

renta

El inicio de la campaña de la Renta suele ser anualmente sinónimo de avisos de phishing. Es decir, correos electrónicos fraudulentos. Los ciberdelincuentes tienden a aprovechar fechas señaladas para realizar también sus campañas de fraude, como es el caso del Black Friday.

Con la Renta ocurre lo propio con suplantaciones a la Agencia Tributaria. Este año, además, no solo han sido detectados correos fraudulentos, sino también mensajes a través de aplicaciones de mensajería instantánea como Whatsapp o Telegram (smishing). Por otra parte, debido a que la Renta ahora cuenta con su propia aplicación, también aparecen otras apps destinadas a robar los datos fiscales de los usuarios.

Tanto los correos como otro tipo de mensajes fraudulentos tratan de alentar a sus víctimas a abrir enlaces a portales maliciosos o a descargar archivos que contienen malware. De esta forma, los cibercriminales consiguen datos personales o bancarios o logran infectar ordenadores.

¿Es falso este mensaje sobre la Renta?

El caso de la Agencia Tributaria ha sido utilizado en otras ocasiones con la intención de robar datos bancarios o incluso ‘secuestrar’ ordenadores mediante ataques de ransomware. En este último caso, los atacantes utilizaron un documento infectado. El pretexto: irregularidades en la declaración que podrían incurrir en una multa.

De este modo, logran que el usuario se asuste y descargue el archivo adjunto para comprobar el error. Cuando lo hace, se activa el malware que cifra todos sus archivos y pide dinero para ‘rescatarlos’.

  • ransomware con renta
  • phishing renta
  • datos bancarios phishing renta
  • datos bancarios phishing renta

En otros phishings los ciberdelincuentes trataron de robar los datos bancarios de sus víctimas con el pretexto de que les correspondía un reembolso de impuestos. De este modo, cuando el usuario hacía clic en el enlace, era redirigido a una página falsa en la que tendría que dar información personal y de pago para recibir el importe prometido.

Entre los datos que pedían en la página, se encontraba incluso el CVV. El número de tres dígitos que se encuentra en el reverso de las tarjetas de crédito y que es necesario para realizar compras online. No contentos con este importante código, también piden el VBV. Esto es una contraseña adicional que utiliza Visa para realizar pagos seguros por Internet.

Aunque los datos solicitados ya son bastante sospechosos por sí mismos, un usuario puede detectar que está ante un mensaje fraudulento antes de pinchar en un enlace. De hecho, es muy peligroso acceder a los links que están en correos electrónicos, ya que algunos de ellos no solo pretenden robar nuestros datos mediante formularios. Además, pueden descargar malware en nuestro equipo.

Consejos para detectar un phishing

El paso principal para saber si podemos confiar o no en un mensaje es comprobar el remitente. Algunos ciberdelincuentes crean direcciones de correo muy similares a las de los servicios que suplantan. Por este motivo es necesario verificar si coincide con el email oficial de la entidad.

Como bien decíamos, tampoco debemos hacer clic en enlaces ni descargar archivos adjuntos. Siempre es mejor teclear las direcciones en el navegador que hacer clic en un link. Además, si pasamos el cursor del ratón por encima del enlace, sin clicar, podremos ver si existe alguna redirección, ya que se mostrará la dirección completa en la esquina inferior izquierda de la pantalla. Recordamos que los botones de las páginas web también son enlaces y que podremos realizar la misma comprobación utilizando este método.

Con los SMS o los mensajes instantáneos de aplicaciones como Whatsapp o Telegram ocurre lo mismo. Veremos mensajes atractivos que nos incitan a hacer clic en un enlace. Tampoco debemos pinchar en ellos.

Cómo saber si una web es falsa

Si hemos pinchado en algún link y hemos llegado a una página web que parece legítima, existen formas de saber si estamos ante un fraude. Comprueba que la página empieza por https. Esto quiere decir que todo lo que escribas en ella viaja cifrado: no se puede leer. Si empieza por http (o directamente por www) todo lo que escribas en ella puede ser leído por terceros.

Además, fíjate también si tiene un candado cerrado. Esto indica que la página web es segura. Te mostramos un ejemplo.

Si por el contrario vemos una señal de información, con mucha probabilidad estaremos ante un lugar no confiable. No debemos introducir datos de ningún tipo en esa página.

Otros fraudes sobre la Renta

Como explicábamos al principio de este artículo, la Agencia Tributaria ha puesto a disposición de los ciudadanos una aplicación con la que presentar la declaración de la Renta.

Al buscarla en las tiendas de aplicaciones, veremos también otras apps que prometen ayudarnos con el trámite o que directamente suplantan a la oficial. Ante esta situación, es necesario que sepamos que la única aplicación oficial es la que anuncia el propio organismo desde su página web, por lo que solo deberíamos fiarnos de su enlace.

Los datos fiscales se consideran información privada de carácter muy importante, por lo que sería un comportamiento de alto riesgo introducirla en otras aplicaciones.

Por otra parte, la Agencia Tributaria ha publicado un aviso de seguridad para evitar el fraude, en los que recalca que este organismo “nunca solicita por correo electrónico información confidencial, económica o personal, ni números de cuenta, ni números de tarjeta de los contribuyentes“.

El hecho de que la Agencia Tributaria haya hecho un aviso oficial ya es indicativo de la asiduidad de este tipo de ataques de ingeniería social, por lo que debemos estar especialmente alerta cada vez que nos llegue un mensaje pidiendo información fiscal o anunciando algún ingreso de dinero que no esperábamos.