La Dirección General de Consumo de la Junta de Andalucía, dependiente de la Consejería de Salud y Consumo, recomienda a las personas contribuyentes prestar mucha atención a posibles campañas de suplantación de la Agencia Estatal de Administración Tributaria (AEAT) a través de ‘phishing’ (correo electrónico) y de ‘smishing’ (mensajes de móvil SMS), con las que los ciberdelincuentes, aprovechando el inicio de la campaña de la Renta 2024, tratan de hacerse con datos personales y bancarios de las víctimas.
Estas técnicas fraudulentas ya habían proliferado en campañas de la Renta de años anteriores, utilizando casi siempre los mismos métodos ilícitos de suplantación. Los ciberdelincuentes utilizan como anzuelo falsas notificaciones que se hacen pasar por la AEAT, empleando para ello logos de la Agencia Tributaria y otros mensajes que podrían pasar por verosímiles, donde se informa, por ejemplo, de avisos importantes de Hacienda, como supuestos reembolsos de impuestos, a través de textos como ‘Notificacion disponible-Identificador XXXXXX’, ‘AVISO IMPORTANTE’ o ‘Aviso puesta a disposición de nueva notificación electrónica REF-XXXXXX’. Se proporciona para ello un enlace que dirige a un sitio web fraudulento, donde se solicitan datos personales y bancarios.
Por ello, el Instituto Nacional de Ciberseguridad (INCIBE) ha vuelto a alertar a la ciudadanía sobre estas prácticas fraudulentas a través de ‘phishing’ y ‘smishing’ mediante la suplantación de la Agencia Tributaria.
Desde la propia Agencia Tributaria recuerdan que nunca se solicitan por correo electrónico, SMS o aplicaciones como Bizum información confidencial, económica o personal, números de cuenta ni números de tarjeta de las personas contribuyentes, ni que se adjunten anexos con información de facturas u otros tipos de datos.
Existen ciertas pistas o elementos que permiten identificar mensajes fraudulentos, como faltas de ortografía o un remitente sospechoso (URL que no se corresponde con la oficial). Las recomendaciones principales pasan por no abrir mensajes de usuarios que sean desconocidos o de los que no se haya solicitado comunicación, no contestar en ningún caso los mensajes sospechosos, tener especial precaución con los enlaces, así como con la descarga de archivos adjuntos al correo, aunque sean de contactos conocidos.
En la web de la AEAT se pueden consultar varios ejemplos de mensajes fraudulentos empleados por los ciberdelincuentes en las campañas de la Renta.
El INCIBE señala que, si se recibe un correo electrónico o, en su defecto, un mensaje de texto (SMS) con las características descritas anteriormente y no se ha accedido al enlace, se reporte inmediatamente al buzón de incidencias de dicho organismo (incidencias@incibe-cert.es), lo cual permitirá recopilar información útil para prevenir que otras personas usuarias caigan en este tipo de fraude. Es importante también bloquear al remitente y eliminar el mensaje de la bandeja de entrada del correo o del listado de mensajes SMS del móvil.
En la web de Consumo Responde, existe una sección específica de ciberseguridad desde la que acceder a los últimos avisos a la ciudadanía del INCIBE.