Ah, la Agencia Tributaria, ese amigo inquebrantable que siempre está a la vuelta de la esquina pidiéndonos que cumplamos con nuestras obligaciones fiscales. Pero, ¿qué pasa cuando no es la Agencia Tributaria quien está tocando a tu puerta? En lugar de un recordatorio sobre tus impuestos, puedes encontrarte con un sorprendente “reembolso de impuestos” o una “notificación pendiente de revisar”. ¿Y qué hay detrás de todo esto? Sorpresa, sorpresa… no es la AEAT, sino una banda de cibercriminales intentando vaciarte la cuenta. Y, no, no es un nuevo tipo de información fiscal, es phishing y smishing.

Nuevo intento de phishing suplantando a la Agencia Tributaria

El Instituto Nacional de Ciberseguridad (Incibe) acaba de alertar sobre una nueva campaña de phishing y smishing que está utilizando el nombre de la Agencia Tributaria como carnada. Y no, no estamos hablando de un simple error de sistema o de un malentendido. Los ciberdelincuentes detrás de esta estafa son muy astutos y, aunque el diseño y los colores de la página puedan parecer legítimos, lo único que buscan es robarte. Sí, ese es el objetivo final: conseguir tus datos personales y bancarios para su propio beneficio. ¿Y cómo lo hacen? De una manera tan convincente que, si no eres cuidadoso, ni siquiera lo notarás.

La táctica: correos electrónicos, SMS y páginas falsas

En esta nueva versión de fraude, los delincuentes envían correos electrónicos que parecen ser enviados por la Agencia Tributaria. Pueden tener asuntos como «Aviso importante», «Notificación disponible – Identificador XXXXXX» o «Puesta a disposición de nueva notificación electrónica». Y el contenido del correo tiene la misma “formalidad” que un mensaje oficial de la AEAT: te avisan de un reembolso de impuestos o de que tienes una notificación pendiente, con el clásico toque de urgencia que te impulsa a abrir el enlace. ¡Y ahí es donde viene la trampa! Ese enlace no te lleva a una página legítima, sino a una página fraudulenta con el mismo diseño que la web oficial de la Agencia Tributaria.

Al hacer clic en el enlace, se te pedirá que ingreses información personal, como tu número de cuenta bancaria, tu DNI, tu fecha de nacimiento… Todo lo que los delincuentes necesitan para hacer desaparecer tu dinero. ¡Genial! ¿verdad? No sólo te quitan la ilusión de un posible reembolso, sino también el dinero que tenías en la cuenta.

Y, si pensabas que este tipo de fraude solo llegaba por correo electrónico, piénsalo de nuevo. Los ciberdelincuentes también están usando el smishing, enviando mensajes de texto (SMS) a los teléfonos móviles. Así que, si recibes un mensaje con un enlace que parece venir de la AEAT, no pierdas el tiempo ni te asustes. No es la Agencia Tributaria.

¿Cómo detectar la estafa?

Detectar este tipo de fraudes es más fácil de lo que parece, pero sólo si te tomas un segundo para fijarte en los detalles. Aquí van unos consejos para que no caigas en la trampa:

  • Fíjate en la dirección del remitente. En el caso de correos fraudulentos, generalmente la dirección de correo electrónico no corresponde a la página oficial de la Agencia Tributaria. ¡Es como si un amigo te enviara una carta, pero en lugar de firmarla, pone el nombre de tu jefe! ¿Te suena lógico? No.
  • Errores de ortografía. Ah, esos pequeños detalles que no puedes evitar notar, como cuando un “t” se convierte en “d” o se olvidan tildes en palabras clave., para que hablat de bes y uves… Si ves algo extraño, ¡desconfía!
  • El diseño. Puede ser tentador, pero una página web que te pide tus datos bancarios no puede tener la misma estética que la página de tu banco. Si te sientes presionado por el diseño “perfecto” pero algo no cuadra, es probable que estés en una página falsa.

¿Qué hacer si has caído en la trampa?

Si ya has recibido uno de estos correos electrónicos o mensajes y, por algún motivo, has hecho clic en el enlace y proporcionado tus datos personales y bancarios, es hora de ponerse manos a la obra. No te preocupes: ¡aún puedes tomar medidas!

  1. Cambia todas tus contraseñas. Empieza por las de tus cuentas bancarias, ya sabes, las que están relacionadas con el dinero, porque es ahí donde quieren ir.
  2. Guarda evidencia. Las capturas de pantalla de los correos electrónicos fraudulentos y de las páginas web maliciosas pueden ser útiles para denunciar el fraude.
  3. Denuncia a las autoridades. Si has caído en el engaño, no es el fin del mundo. Llama a las Fuerzas y Cuerpos de Seguridad del Estado, porque cuanto más rápido actúes, mejor.

Consejos para evitar caer en la trampa

El Incibe tiene unos consejos bastante sencillos para evitar este tipo de fraudes. Parece obvio, pero muchas veces lo olvidamos:

  • No abrir correos de desconocidos. No, no hace falta que respondas a esa oferta que te promete un reembolso de impuestos (que, por cierto, no vas a recibir).
  • Desconfía de los archivos adjuntos. Si no estás esperando un archivo o documento importante, no lo abras. Los delincuentes pueden esconder el malware dentro de un archivo aparentemente inocente.
  • Revisa los enlaces antes de hacer clic. Coloca el cursor sobre cualquier enlace que te llegue en un correo o SMS para ver a dónde te lleva realmente.
  • Mantén tu sistema operativo y antivirus actualizados. A veces, la mejor defensa es tener un software actualizado que pueda detectar amenazas de inmediato.

No es la Agencia Tributaria pero el resultado para tu economía puede ser peor

La próxima vez que veas un correo o mensaje que te promete un «reembolso de impuestos», recuerda: no todo lo que brilla es oro. Aunque el mensaje pueda parecer legítimo, aunque algo sorprendente, la Agencia Tributaria no va a enviarte notificaciones por correo electrónico con enlaces sospechosos. Así que, antes de tomar cualquier decisión, piensa dos veces. O mejor aún, sigue los consejos del Incibe y mantén tus datos seguros. Porque al final, lo que quieren es vaciar tu cuenta. ¿Y sabes qué? No lo van a conseguir.