El INCIBE y la OCU alertan: nueva campaña de phishing usando a la Agencia Tributaria y la Renta 2023

No se han hecho esperar demasiado. El periodo de presentación de la declaración de la Renta del año 2023 comenzó el pasado día 3 y ya tenemos aquí la primera campaña de phishing que trata de aprovechar esta circunstancia, como sucede todos los años, para obtener datos personales y bancarios de los usuarios.

El Instituto Nacional de Ciberseguridad, INCIBE, y la OCU han alertado de esta campaña de lo que en el lenguaje de las ciberestafas se conoce como smishing. Esto es una variante del phishing, que se caracteriza porque los cibercriminales suplantan a un determinado organismo o empresa, en la que el contacto con la víctima se inicia a través del móvil con la recepción de un SMS.

En este caso, el INCIBE ha detectado varios tipos de mensajes con la misma finalidad. Entre los ejemplos mostrados, los hay “remitidos” por la Agencia Tributaria y la Seguridad Social. En ellos se indica a la víctima que se ha ordenado el pago de 411 euros en concepto de una supuesta devolución de impuestos correspondientes a la declaración de la renta del año 2023.

A continuación, se facilita un enlace que conduce a una web fraudulenta que replica la de la Agencia Tributaria y en la que, a través de un formulario, se solicitan los siguientes datos: nombre completo, número de tarjeta de crédito, fecha de caducidad, CVV y hasta el PIN de la tarjeta, algo absolutamente irregular en cualquier proceso de pago.

Uno de los SMS denunciados por el INCIBE contiene el siguiente texto:“AGENCIA TRIBUTARIA: Se ha ordenado el pago 411,00¿ de su devolucion del IRPF de la renta 2023. mas informacion en la web: [URL web fraudulenta]”.

Los errores ortográficos también caracterizan el siguiente ejemplo de esta campaña de smishing: “SEGURIDAD SOCIAL: Le informamos que se ha ordenado el pągo 411,00€. De su dęvolucion de impuęstos pagądos. Dęvolucion a su favor del TGSS 2023. Encuentra mas información en la página: [URL web fraudulenta]”.

En el caso de haber caído en el engaño, la OCU recomienda ponerse en contacto con la entidad emisora de la tarjeta cuyos datos han sido sustraídos, guardar las pruebas de la estafa y denunciarla ante las Fuerzas y Cuerpos de Seguridad del Estado.