IRPF

Estafa campaña de la Renta 2022: así es como pueden robar todos tus datos personales

Los ciberdelincuentes suplantan a la Agencia Tributaria enviando correos electrónicos maliciosos donde se avisa a los usuarios de una una notificación enviada por esta institución

Símbolo de la Agencia Tributaria
Símbolo de la Agencia TributariaGustavo ValienteEuropa Press

La campaña de la Renta 2022 ya ha comenzado. Desde este martes 11 de abril y hasta el 30 de junio los contribuyentes deberán saldar sus cuentas con Hacienda presentando sus declaraciones de IRPF y Patrimonio correspondientes al ejercicio fiscal de 2022. Estos meses no solo están marcados en rojo en el calendario de cientos de miles de españoles para acudir a su cita anual con la Agencia Tributaria, sino que también son una fecha señalada para los ciberdelincuentes, que aprovechan la declaración de la Renta para crear confusión y robar las credenciales de aquellos más vulnerables.

La Agencia Tributaria ha vuelto a estar una vez más en el punto de mira de estos estafadores, ya que la compañía de ciberseguridad ESET ha detectado una campaña de phishing -envío de correos electrónicos maliciosos- donde suplantan a esta institución para engañar al usuario. Las técnicas utilizadas por estos delincuentes consisten en suplantar un sitio web para robar las credenciales o bien enviar archivos adjuntos infectados con un malware infostealer para hacerse con la información personal de sus víctimas.

En este contexto, los ciberdelincuentes envían un enlace a los usuarios a través del correo electrónico y para que las personas pinchen sobre este link, los estafadores indican que se trata de un aviso de una notificación enviada por esta institución, por lo que parapoder acceder a esta información, se deberá acceder al enlace proporcionado en dicho correo. La apariencia de estos correos es idéntica a la plantilla utilizada en otra campaña de ataques identificada en el mes de enero, según detalla ESET, aunque en este caso hacen referencia a una notificación electrónica en vez de a una comunicación postal.

Tras pulsar en el enlace, la víctima es redirigida a una web fraudulenta que simula ser la web oficial de la Agencia Tributaria, ya que tiene un diseño muy similar, un dominio que "resulta creíble" e incluso un certificado de seguridad, según apunta ESET. En esta página web se deberá prestar especial atención a la URL, ya que aparece la extensión ".bz", que hace referencia a los dominios de Belize; mientras que en la web oficial de la Agencia Tributaria deberán aparecer las extensiones ".gob" y ".es". Asimismo, esta web está registrada hace alrededor de dos meses desde Moscú, siendo otro detalle que puede alertar a los usuarios. En lo que respecta al certificado de seguridad, este candado significa que los datos enviados se transmiten por un canal cifrado, no que se trate de una web segura ni que el usuario esté navegando por una web oficial. Dentro de esta página, el objetivo de estos delincuentes es hacerse con las credenciales de los usuarios para poder usarlas posteriormente para otros servicios o vender esta información.

Malware con infostealer

Otro de los correos electrónicos maliciosos enviados por estos delincuentes incluyen un documento malicioso que descarga un malware infostealer en el dispositivo de la víctima para así hacerse con la información personal que contenga.

Al igual que el caso previamente mencionado, este correo utiliza un aviso de una supuesta notificación de este organismo, además de hacer referencia en el remitente a la Fábrica Nacional de Moneda y Timbre para intentar ganarse así la confianza del usuario.

En este correo se incluye un documento identificado como "AEAT - Aviso de Notificación administrativa" el cual deberán descargar para acceder al contenido de la supuesta notificación. Sin embargo, este contiene un fichero ".bat" en el que se encuentra el código malicioso que ejecuta la fase inicial del malware infostealer para atacar al usuario robando sus credenciales personales en aplicaciones instaladas en el dispositivo infectado, así como aquellas introducidas en navegadores de Internet.