Renta 2018: cómo evitar un ataque de pishing

La Agencia Tributaria recuerda que nunca solicita por correo electrónico información confidencial, económica o personal, números de cuenta ni números de tarjeta de los contribuyente. Tampoco paga devoluciones con cargo a tarjetas de crédito, ni cobra importe alguno por los servicios que presta.

Con el inicio de la campaña de declaración de la renta sobre el impuesto de las personas físicas (IRPF) proliferan los ataques de suplantación de identidad de la Agencia Tributaria a través de la técnica del phishing. Se trata del envío de comunicaciones (a través de correos electrónicos fraudulentos, SMS, mensajes de redes sociales o smartphones) que suplantan la identidad de una persona u organización con la finalidad de que el destinatario, la víctima, revele información personal, como pueden ser sus credenciales de usuario, datos de sus tarjetas de crédito y de la seguridad social o números de cuentas bancarias.

Los medios más utilizados tradicionalmente para llevar a cabo ataques de phishing son los mensajes SMS y los correos electrónicos. En la mayoría de los casos, el correo no deseado se envía a través de servidores comprometidos, sistemas cliente infectados o desde cuentas de correo electrónico legítimas, utilizando información robada para iniciar sesión. Estos correos, con enlaces a sitios web, en teoría conocidos, o con archivos adjuntos dañinos son muy habituales y pueden ser la fase inicial de otro tipo de ataques de mayor relevancia. De hecho, suelen ser la primera etapa de un ciberataque para establecer un primer punto de entrada en los sistemas de la víctima y desarrollar acciones posteriores de espionaje o exfiltración de información.

Sin embargo, debido al auge de redes sociales como Whatsapp o Telegram, se observa un incremento importante en el envío de mensajes fraudulentos por medio de estos canales, aumentando las posibilidades de que los usuarios caigan en alguno de estos engaños, que suelen aludir a supuestos reembolsos de impuestos. En este sentido, la Agencia Tributaria recuerda que nunca solicita por correo electrónico información confidencial, económica o personal, números de cuenta ni números de tarjeta de los contribuyentes. Tampoco paga devoluciones con cargo a tarjetas de crédito, ni cobra importe alguno por los servicios que presta.

Con el fin de evitar ser víctima de uno de estos ataques, desde Entelgy Innotec Security, la división de Entelgy especializada en ciberseguridad, inteligencia y gestión y prevención de riesgos, recomiendan dudar siempre. Y nos dejan estos consejos:

Cómo identificar los mensajes fraudulentos

● Observa el dominio del remitente del correo. En este caso comprueba que el dominio de la Agencia Tributaria es aeat.es. Cualquier otro dominio es falso.

● No abras correos de usuarios desconocidos o que no hayas solicitado: elimínalos directamente y no contestes a ellos.

● No hagas clic en los hipervínculos o enlaces que te adjunten en el correo, SMS, mensajes de Whatsapp o de redes sociales, dado que pueden redirigir a una web fraudulenta. Si tienes dudas, teclea directamente la dirección web en tu navegador.

● Ten precaución al descargar ficheros o ejecutables adjuntos de correos, en SMS, mensajes en WhatsApp o en redes sociales, aunque provengan de personas que conoces.

● Introduce tus datos personales solamente en webs seguras, con protocolo https://, y con un icono de un candado pequeño. Recuerda que ni la AEAT, ni tu banco, te pedirán nunca que envíes tus claves o datos personales por correo. Ante cualquier duda, llama directamente a uno u otro.

● Revisa periódicamente tus cuentas bancarias para estar al día de cualquier irregularidad.

● Modifica periódicamente tus contraseñas y utiliza una diferente para cada una de tus cuentas en redes sociales, correos y páginas web. Además, asegúrate de que estas sean robustas, es decir, largas y con caracteres de diferente tipo.

● Mejor ser prudente. Siempre es mejor rechazar cualquier mensaje que genere dudas o enlace con una web cuya URL no coincida con el organismo en cuestión.