Se acerca la Declaración de la Renta y los ciberdelincuentes se frotan las manos. Es uno de los momentos del año preferido por los las mafias que habitan en internet para hacer su particular agosto a costa, en este caso, del contribuyente.
Son días en los que el papeleo y la burocracia hacen que las víctimas se despisten. Uno de los ciberataques más comunes es el de tipo phishing o suplantación de identidad. Los ciberdelincuentes se hacen pasar por entidades de confianza o familiares y amigos para acabar solicitándoles las claves y contraseñas de su cuenta bancaria.
Con esa información sobre la mesa, vacían las cuentas de las víctimas o realizan compras por internet. Los expertos en ciberseguridad alertan de que hay que estar especialmente alerta durante los próximos días.
El teléfono móvil es un hervidero de mensajes cortos y mensajes de correo electrónico durante la Declaración de la Renta, y entre ellos los ciberatacantes tratan de colar enlaces y páginas web en las que muchas veces, en nombre de la Agencia Tributaria, se solicitan claves de acceso e información personal.
El hecho de que se trate de remitentes o páginas web que calcan la tipografía y diseño de las originales genera confianza en las víctimas, que acaban por dar por bueno el cebo y entregan la información requerida.
Además del phishing, los atacantes utilizan software que se instala en el teléfono de la víctima sin que esta se dé cuenta. El año pasado, a través de un mensaje corto, se envió a miles de españoles un mensaje en el que se alertaba de que se debía presentar un documento, sin especificar nada más, para validar la Declaración de la Renta.
En el mensaje se especificaba que para ello era necesario la descarga de un comprobante, cuyo enlace se facilitaba en el mismo SMS. Cuando el usuario hacía clic sobre el mismo, en realidad se descargaba un virus en el teléfono que podría permitir a los ciberdelincuentes controlar en remoto el equipo o acceder a los datos personales del usuario. La recomendación que dan los expertos en ciberseguridad es desconfiar siempre de este tipo de mensajes. Ni la Agencia Tributaria, ni los bancos, ni en general ninguna empresa seria, utilizan este tipo de canales para solicitar esta información.
Lo mejor en estos casos es acudir a la fuente original -banco, empresa o persona- a través de un canal oficial -correo, teléfono, WhatsApp- y comentarles lo sucedido. Ellos son quienes mejor nos pueden sacar de dudas sobre si estamos o no ante un fraude.
Consejos para identificar el phishing en la Declaración de la Renta
El Instituto Nacional de Ciberseguridad ofrece algunos consejos para evitar este tipo de fraudes, ayudando al usuario a reconocer cuándo está ante un mensaje falso. Estos consejos son aplicables tanto dentro como fuera de la Declaración de la Renta; valen para cualquier campaña de phishing.
- Se debe actuar al momento. Los ciberdelincuentes siempre piden las cosas con urgencia. "Si no abona ahora su deuda en el número de cuenta indicado, mañana los intereses la incrementarán". Buscan que no se piense, que directamente hagamos lo que se nos pide. "Ninguna entidad legítima, ni gubernamental, ni empresarial, ni de ninguna clase, le dará una única y urgentísima posibilidad antes de cerrarle la puerta", explican desde el INCIBE.
- El correo electrónico no está personalizado. "Muchos tipos de phishing, incluidos los del tipo «engaño» estándar, utilizan una red de arrastre para atrapar a cuantos puedan. Por ese motivo, el mensaje no está personalizado con el nombre del destinatario, sino que saluda de forma vaga, por ejemplo con «Estimado cliente», aunque puede llegar a utilizar el nombre de usuario del correo electrónico", explican desde el organismo con sede en León.
- Se trata de una oferta irrechazable. Algo demasiado bueno para ser verdad suele no serlo. Las ofertas tentadoras tienen como objetivo que piquemos. Hay que sospechar siempre de este tipo de gangas.
- Enlaces cortos. Este tipo de estafa hace uso de acortadores de enlaces. Para descubrir lo que se esconde tras él, basta con pasar el puntero del ratón sobre el mismo. Al hacerlo, se mostrará realmente qué tipo de enlace es y hacia dónde redirige -ahí comprobaremos que el dominio no es el del sitio oficial del cual el correo dice ser-.
- Enlaces con errores. Los ciberdelincuentes crean versiones falsificadas de sitios legítimos con enlaces idénticos, pero siempre tienen algún error mínimo para que se parezcan lo máximo posible a la fuente oficial. Ejemplo: www.santanderm.com, en lugar del dominio oficial www.santander.com. Si el usuario no se percata de que se le han añadido una 'm' al enlace, pensará que está ante un correo oficial, verdadero. Es importante leer los enlaces con detenimiento.
- Mensajes con faltas. Bancos, los organismos públicos y empresas no acostumbran a escribir correos con faltas de ortografía o con una mala estructura en el texto, algo que suele suceder con los emails de phishing.
- Reclamación de información personal. Si nos piden credenciales o contraseñas, lo normal es que sea una estafa. Los organismos oficiales y empresas nunca solicitan esta información por correo o SMS.
Hispanicus
Antes de presentar la declaración, recuerda que una tal Chiqui, una fulana con aspecto de regentar un burdel, es la menestra del ramo.