El falso “formulario de reembolso” de la Agencia Tributaria con el que te roban los datos bancarios

El Instituto nacional de Ciberseguridad, INCIBE, ha alertado de una nueva campaña de “phishing” que se está llevando a cabo suplantando la identidad de la Agencia Tributaria. El objetivo son empleados, autónomos y empresas que realicen habitualmente operaciones de banca electrónica y utiliza como gancho un pretendido reembolso de 450 €, aunque la cifra puede variar.

La estafa se inicia con la recepción de un correo electrónico fraudulento en nombre de la Agencia Tributaria que lleva por asunto “Formulario de reembolso” y cuyo remitente emplea como nombre de usuario de la cuenta de correo “Agencia tributaria Inicio (Aviso!)”.

En el cuerpo del mensaje y bajo el logotipo de la Agencia Tributaria, se indica que “tras los últimos cálculos anuales del ejercicio de tu actividad, hemos determinado que tienes derecho a recibir la devolución de tus impuestos del año 2022″. A continuación, se indica la cantidad a “devolver” y se facilitan instrucciones para que el receptor proceda a su reclamación. “Envíenos la solicitud de devolución de impuestos para que podamos procesarla lo antes posible en su espacio personal haciendo clic a continuación”, continúa el mail fraudulento.

Si la víctima hace clic en el enlace facilitado con el texto “Su reembolso”, es dirigido a una web fraudulenta que imita la de la Agencia Tributaria de España de una forma más convincente que el correo electrónico. Mientras que este presenta errores evidentes como encabezarlo con “querido: ##email##” o utilizar “monto” en lugar de importe, la web falsa, aunque incompleta en comparación con la original, ofrece un acabado lo suficientemente parecido como para inducir al engaño con éxito.

Una vez en la web creada por los ciberdelincuentes, la víctima se encuentra ante un formulario en el que debe introducir su nombre completo, código postal y los datos de su tarjeta bancaria incluyendo número, fecha de caducidad y código de seguridad, todo lo necesario para poder realizar pagos y compras online. En el momento en que pulse en Continuar tras haber introducido los datos, estos pasarán a manos de los ciberdelincuentes.

En el caso de haber caído en el engaño, la víctima deberá contactar inmediatamente con su banco para comprobar que no se ha producido ningún operación indebida así como sustituir la tarjeta cuyos datos han sido robados.