Ni la Agencia Tributaria le ha calificado para un reembolso de 71 euros ni mucho menos le va a solicitar que pinche en un enlace para facilitar ningún tipo de datos. Así que, simplemente, si le llega uno de los miles de SMS que estos días circulan con este mensaje, bórrelo. Se trata de una de la últimas campaña de smishing que circula desde hace semanas por todos los teléfonos de todo el país y que ha adquirido la suficiente dimensión como para que el propio organismo tributario y el Instituto Nacional de Seguridad hayan lanzado sendas alertas advirtiendo de su existencia.
Es solo un ejemplo de lo que ocurre todos los años coincidiendo con la Campaña de la Renta, cuando hackers y bandas organizadas del cibercrimen aprovechan la especial sensibilidad de la mayoría de contribuyentes durante este periodo para lanzar todo tipo de intentos de fraude suplantando la identidad de la Agencia Tributaria.
«¿Cuándo vas a pescar? Pues cuando viene la época de desove, cuando ves más posibilidades de pillar. Si estamos en campaña, todo el mundo está maduro para que, si le llega una comunicación que dice que es de Hacienda, tenga más posibilidades de picar», explica Miguel Ángel Juan, socio director de S2 Grupo, especializado en ciberseguridad.
En otras palabras, se trata de la tendencia de los profesionales del phising a confeccionar anzuelos cada vez más personalizados y más pegados a la actualidad, para conseguir que sus víctimas bajen la guardia y colarse en sus ordenadores o dispositivos móviles, o robar sus datos.
«Normalmente, en los casos relacionados con la Agencia Tributaria, pueden ir por dos vías. O tratan de apelar a la codicia e informan de supuestos reembolsos, o bien van por la vía del miedo, y advierten de posibles multas y sanciones», explica el experto en ciberseguridad.
El propio organismo fiscal recoge en su página web algunos de los intentos de fraude que se han detectado. Así, entre los de este año está el citado SMS en el que se comunica un supuesto reembolso de 71 euros, que también tiene su versión en correo electrónico, algo más extensa, en la que se invita al contribuyente a enviar la solicitud de devolución.
Otra de las campañas lleva la apariencia de una supuesta comunicación de fraccionamiento de pago. En este caso, no hay que enviar nada ni pinchar ningún enlace, el virus entra al descargar el documento adjunto. De ahí que los expertos insistan en no bajar absolutamente nada que no venga de un remitente conocido y de confianza.
Los "hackers" buscan que sus víctimas bajen la guardia
También son clásicos ya los correos que incluyen falsos comprobantes fiscales o incluso facturas, lo que resulta bastante más sorprendente, ya que, como insiste el propio organismo público, la Agencia Tributaria nunca cobra por sus servicios.
De cara al verano, cuando ya ha finalizado el plazo de la Campaña de la Renta, llega la siguiente serie de mensajes fraudulentos, que se enmascaran como notificaciones de apertura de expediente sancionador.
«Al final, lo que pretenden es que bajes la guardia para colarse como sea», apunta el director del Máster de Ciberseguridad de la Universidad de Alicante, José Vicente Berna.
El peligro de los SMS
Así, los ciberdelincuentes han encontrado en los SMS una nueva vía más eficaz para este tipo de estafas, entre otras cosas porque estos mensajes suelen contener las direcciones web acortadas, como que no se puede ver a simple vista que la página es falsa, como ocurre si se ve la URL completa, donde siempre suele haber alguna señal de alerta: alguna letra de más, algún número o símbolo.
Pero el experto advierte de que este tipo de campañas también empiezan a llegar por otras plataformas aún más privadas, como Whatsapp, en donde todavía se toman menos precauciones.
En cuanto a los objetivos de los ciberdelincuentes, el socio de S2 Grupo señala que pueden ser múltiples: desde conseguir una transferencia de una pequeña cantidad, hasta controlar el ordenador para utilizarlo más tarde para un ataque de denegación de servicio contra una institución, pasando por el ramsonware, los virus que encriptan la información del dispositivo para solicitar un rescate.
«Como ocurre con otros sectores, ya hay bandas especializadas en diversas tareas. Unas se dedican a recopilar datos de tarjetas, que luego venden a otros grupos que son expertos en hacer compras con esas tarjetas; y otros lo que hacen es vender datos», señala a modo de ejemplo Miguel Ángel Juan.
Ante la proliferación de estas campañas de suplantación de la Agencia Tributaria, el propio organismo ha incluido un extenso apartado de consejos en su web. Entre otras cosas recuerda que nunca solicita por correo electrónico información confidencial, económica o personal, números de cuenta ni números de tarjeta ni adjunta anexos con información de facturas u otros tipos de datos. Que tampoco realiza devoluciones a tarjetas de crédito o débito. Y, por último, que nunca cobra importe alguno por los servicios que presta. La persona que los utiliza solo asumirá el coste compartido de las llamadas a teléfonos 901.
