En plena campaña de la renta 2022, los ciberdelincuentes tiran de ingenio para intentar engañar a los contribuyentes. El botín que persiguen suele estar relacionado con los datos personales de las víctimas para suplantar su identidad o incluso tratar de acceder a sus cuentas bancarias.
Este tipo de ciberestafas se conocen como phishing (si se realizan a través de correos electrónicos) o smishing (si utilizan SMS o cualquier otro sistema de mensajería). También pueden darse casos de vishing o fraude mediante llamada telefónica. Es importante aprender a detectar estos fraudes para evitar sus consecuencias.
Como esta es una época en la que aumentan las comunicaciones con la Agencia Tributaria, habitualmente los estafadores se hacen pasar por este organismo. Es decir: suplantan a la Agencia Tributaria para que sus víctimas se confíen y les faciliten sus datos o se descarguen sin pretenderlo algún malware.
Para este fin se valen de correos electrónicos o mensajes de texto fraudulentos, en los que se hacen pasar por la Agencia Tributaria y requieren alguna acción por parte del destinatario.
Lo primero que hay que hacer es saber lo que nunca hará la Agencia Tributaria:
- Nunca solicita por correo electrónico o SMS información confidencial, económica o personal, números de cuenta ni números de tarjeta de crédito o débito. Tampoco adjunta anexos con información de facturas u otro tipo de datos.
- Nunca realiza devoluciones a tarjetas de crédito o débito, ni utiliza Bizum.
- Nunca cobra por los servicios que presta.
Además, hay una serie de pistas que nos ayudarán a distinguir los mensajes fraudulentos:
- Pueden apelar a una supuesta falta de información para efectuar la devolución de la declaración de la renta. Así aprovechan para solicitar a la víctima que proporcione datos personales, bancarios o de cualquier otro tipo: para poder disponer del dinero hay que acceder a un enlace que lleva a una web falsa con un formulario en el que se debe aportar esta información. Este es solo un pretexto, pero hay que tener en cuenta que pueden existir otros muchos.
- Animan a actuar con urgencia ante posibles consecuencias, como enfrentarnos a una sanción o, simplemente, recibir algún reembolso de los impuestos.
- La dirección desde la que se ha enviado el correo electrónico no se corresponde con el remitente, en este caso, la Agencia Tributaria, aunque esto no tiene por qué darse en el 100 % de los casos. Los remitentes, tanto de correos electrónicos como de SMS o llamadas, se pueden suplantar en su totalidad para que el receptor vea una dirección o número de teléfono aparentemente legítimo cuando realmente no lo es.
- Tienen faltas de ortografía, incoherencias gramaticales o mensajes poco claros. Aunque su ausencia no garantiza que estemos ante un mensaje legítimo, su presencia es muy indicativa de que nos encontramos ante uno fraudulento. Además, no están personalizados y los formatos de correo suelen ser descuidados.
Ya se han registrado algunos intentos de fraude relacionados con la campaña de la renta 2022, que es la que se efectúa durante este año 2023:
Algunos usuarios de Bizum están recibiendo una solicitud de envío de dinero suplantando a la Agencia Tributaria con el asunto “AEAT PAGO RENTA 2022”.
Es un fraude y, en este caso, la Agencia Tributaria recomienda pulsar sobre “Rechazar solicitud”.
Hay casos de phishing que utilizan dominios usurpados. En estos casos, redirigen a una página que imita la de la autenticación de la sede de la Agencia Tributaria y que pide una dirección de correo y contraseña.
Al introducir el e-mail y la contraseña, siempre dice lo siguiente: «La validación no es correcta. Vuelve a introducir los dirección de correo y contraseña de correo electonica».
No se debe atender a estos mensajes, ya que es un intento de suplantar a la Agencia Tributaria para obtener fraudulentamente datos.
Este es un caso de smishing que suplanta a la Agencia Tributaria mediante el envío de un SMS que anuncia una devolución de impuestos inexistente.
El enlace que aparece en el SMS redirige a una página web fraudulenta que imita la imagen de la Agencia Tributaria. Desde esta web se redirige a la víctima hacia un formulario que pide información sobre tarjetas de crédito y que nunca se debe cumplimentar.
Para evitar caer en los intentos de fraude durante la campaña de la renta 2022, es importante mantenerse en guardia y tomar algunas precauciones:
Como a veces los ciberdelincuentes pueden usurpar el dominio web oficial, conviene fijarse en más detalles del mensaje para evitar un fraude.
Recuerda lo que decíamos al principio: la Agencia Tributaria nunca pide información por correo electrónico, SMS o teléfono. Solo utilizaría los dos primeros canales para informarte sobre el estado de tu declaración o para avisarte de que tienes una comunicación en su sede electrónica y el teléfono para informarte sobre tu cita previa si la has solicitado.
Si, además, observas que el mensaje trata de crearte sensación de urgencia para que actúes o aparecen algunos errores de redacción, lo más probable es que sea fraudulento. Lo mejor que puedes hacer en estos casos es no hacer caso del mensaje y borrarlo directamente.
Nunca debes abrirlos, entre otras razones porque la Agencia Tributaria nunca los envía. Tampoco te pedirá que llames a un número de teléfono. Si lo haces, te expondrás a instalar malware en tu ordenador o facilitar información a quien no debes. De nuevo, lo mejor es borrar el mensaje sin descargarse nada, pinchar sobre enlaces o facilitar información alguna.
Recuerda que la Agencia Tributaria nunca utiliza estos métodos para reembolsar impuestos, así que nunca facilites tus datos si te los piden para efectuar estos reembolsos.
Debes asegurarte de que la dirección web del remitente es exactamente igual a la oficial. Hay que fijarse bien porque, en ocasiones, son muy parecidas y esto puede llevar a engaño. En el caso de la Agencia Tributaria, su dominio es aeat.es. Ante la duda, teclea directamente la dirección web en un buscador, nunca utilices enlaces de correos o SMS.
