El Instituto Nacional de Ciberseguridad (Incibe) ha detectado una campaña de suplantación a la Agencia Estatal de Administración Tributaria (AEAT) a través de mensajes de texto (SMS). El objetivo de este fraude es engañar a las víctimas para que den sus datos personales y bancarios. Para conseguirlo, los estafadores usan como cebo una supuesta devolución de impuestos, un truco muy peligroso ya que coincide con el período de la Declaración de la Renta.
PUBLICIDAD

¿En qué consiste el fraude?

El engaño está pensado para pillar al usuario por sorpresa. Las víctimas reciben un SMS en su teléfono móvil donde se les avisa de que deben entrar a un enlace de manera urgente para ver una supuesta notificación de la AEAT.

Si se pincha en ese enlace, se llega a una página web falsa que imita casi a la perfección el diseño de la sede oficial de la Agencia Tributaria. En esta web se pide rellenar un formulario con datos personales y el número de la tarjeta de crédito o cuenta bancaria, con la excusa de ingresar el dinero de la devolución. Para que la víctima actúe rápido y no se pare a pensar, el mensaje asegura que es obligatorio "confirmar los datos para evitar incidencias en la gestión" de su expediente.

Cómo detectar el mensaje

A pesar de que la web parece real, el Incibe explica que hay tres detalles clave que pueden demostrar que el mensaje es, en realidad, falso y se trata de un nuevo phishing.

  • El enlace. La dirección web (URL) que viene en el mensaje es la primera pista. La página oficial de la Agencia Tributaria siempre termina en las extensiones del Gobierno ".gob.es" o ".es". En cambio, la web de esta estafa termina en ".top" o ".click". Estas extensiones son muy baratas de comprar y los ciberdelincuentes las usan para crear páginas que borran a los pocos días para no dejar rastro.
  • El remitente. El SMS aparece en el móvil bajo el nombre de "AEAT". Los atacantes usan un truco técnico llamado SMS spoofing, que les permite camuflar su número y poner el nombre de la institución. Esto hace que el mensaje falso se cuele dentro del mismo chat de los mensajes reales que hayamos recibido antes de la Agencia Tributaria, lo que confunde a mucha gente.
  • Redacción artificial y genérica. El texto tiene errores que una administración pública nunca cometería. Dice cosas como "dirigida a usted , que usted recibe en calidad de titular", dejando un espacio inusual antes de la coma y usando frases muy repetitivas. Además, las notificaciones de verdad suelen incluir tu nombre, apellidos o parte de tu NIF, mientras que estos mensajes usan fórmulas totalmente genéricas.

Lo que dice la Agencia Tributaria

El centro tecnológico recuerda la postura oficial de la administración para dejar claro cómo trabaja realmente el organismo: "La AEAT jamás te pedirá por SMS o correo electrónico información confidencial, números de tarjeta de crédito, cuentas bancarias, ni te enviará un enlace directo para cobrar una devolución de impuestos. Las devoluciones se tramitan exclusivamente a través de su sede electrónica oficial o mediante la declaración de la renta presentada formalmente".

Cualquier mensaje que pida estas datos o intente saltarse los sistemas oficiales de identificación (como el sistema Cl@ve o el certificado digital) es una estafa.

Qué hacer si recibes el mensaje o si ya has facilitado datos

Como el robo de datos bancarios puede causar un daño económico grave, el Incibe ha puesto a esta alerta un nivel de gravedad elevado (4 sobre 5). Dependiendo de lo que se haya hecho con este mensaje, se debe actuar de una forma u otra.

Si recibes el SMS pero te das cuenta del engaño y no has pinchado en el enlace, la solución es sencilla. loquea el número en los ajustes de tu móvil y borra el mensaje directamente. Si por el contrario has entrado en la web y has puesto tus datos, hay que actuar. Lo primero es llamar inmediatamente al banco para que bloqueen tarjetas y el acceso a cuentas.

Después, llamar al 017, que es la Línea de Ayuda en Ciberseguridad del Incibe (un teléfono gratuito, confidencial y disponible todos los días) donde te guiarán en lo que debes hacer. Por último, haz capturas de pantalla de todo como prueba y pon una denuncia ante la Policía Nacional o la Guardia Civil.

Este caso nos vuelve a recordar que en internet la precaución es fundamental. Ante la mínima duda, nunca se debe pinchar en enlaces que lleguen por mensaje, siendo mejor opción acceder siempre escribiendo la dirección oficial en el navegador para comprobar la veracidad del asunto.