Emails, SMS y llamadas de teléfono…
Así atacan los ciberdelincuentes a tu declaración de la renta Los expertos aseveran no tener constancia de que la Agencia Tributaria solicite datos confidenciales a través de estas vías
La sustracción de credenciales bancarias y datos personales durante la campaña de la renta marcan una peligrosa cotización al alza dentro del mercado de la ciberdelincuencia. La proliferación de campañas fraudulentas a través del envío masivo de SMS y correos electrónicos bajo un remitente falso, ha puesto sobre alerta a diversas entidades bancarias españolas.
El método de ‘estraperlo’ más común entre los criminales de la red radica en incluir dentro del mensaje que reciben los usuarios un enlace a una página clonada en donde, por norma general, se solicitan al contribuyente una serie de datos a fin de solventar un presunto y atractivo monto -no suele exigir pago- en cuenta con el Tesoro público.
Si el usuario accede a la web en cuestión sin percatarse del timo y brinda los datos exigidos, entonces consuma la estafa. La información suministrada queda clonada en servidores automatizados regidos por organizaciones criminales que, a posteriori, comercian con todo lo cosechado.
Los expertos en ciberseguridad consultados por este diario coinciden en que, por el momento, no consta que la Agencia Tributaria solicite credenciales bancarias mediante emails ni tampoco a través mensajes de texto. Por ende, invitan a desconfiar de cualquier tipo de información que se solicite a través de estas vías a lo largo del periodo de recaudación.
PHISHING, SMISHING Y VISHING
Tras estos tres anglicismos se esconden los guantes blancos que más gastan los criminales de la red. El phishing es su percha favorita, consiste en el envío de campañas masivas de correos electrónicos al directorio de los contribuyentes en tiempos de cobro. En estos, se adjunta un supuesto comprobante fiscal a solventar con Hacienda donde se indica tanto la fecha de emisión como el total a cobrar.
Pese a que el escrito enviado a la bandeja de entrada se encuentra remitido por un dominio oficial, este cuenta con numerosos errores gramaticales que deben hacer desconfiar de su veracidad.
«Este método lo que busca es redirigir a las personas a una página web en la que le solicitan los datos. En ocasiones, ni siquiera piden los mismos que solicitan en la web oficial. Es importante informar al ciudadano que la Agencia Tributaria no solicita este tipo de datos a través de este tipo de vías», subraya Lourdes Mora, directora del departamento de inteligencia de S23.
Si en estos tiempos de calculadora y hoja de Excel recibe una propuesta a colación de modificar su borrador, certifique que se trata de una fuente oficial. El smishing consiste en el envío de ingentes cantidades de SMS donde se incluye, de nuevo, un enlace a una página falsa regida por ciberdelincuentes. De igual modo que en los ataques que se producen a través de correos electrónicos, todos los datos que aporte la víctima quedan copiados en un servidor anexo.
Con una periodicidad mucho menor, los ciberdelincuentes también hacen uso del canal telefónico para robar datos a través de llamadas en las que se hacen pasar por funcionarios de la Agencia Tributaria. El vishing emplea la metodología de la VozIP junto con procesos de ingeniería social para conseguir la información de los afectados.
Los expertos advierten también que, a raíz del lanzamiento de la aplicación oficial de la Agencia Tributaria, son varios los servidores que ofrecen una app falsa que corrompe el dispositivo desde el que es descargada. Estas cuentan con una cadena de código modificada cuyo objetivo es acceder a la información bancaria y demás enseres del usuario registrado dentro del teléfono.
¿CÓMO ME PROTEJO DE ESTOS ATAQUES?
«Lo más importante es que los propios usuarios estén concienciados de que la Agencia Tributaria no requiere datos a través de estos métodos. Han de revisar bien los remitentes de los correos y deben de estar al tanto de la URL, que suele ser muy diferente a la oficial», subraya Lourdes Mora.
En caso de que nuestro dispositivo ya haya sido infectado por un agente externo, recomienda una solución tan sencilla como efectiva; llevar a cabo un barrido integral y dejar el ordenador a cero.
APTTA. Servicio de Información Actualizada. (No vinculante)
Fuente: El Mundo.