Ciberdelincuentes suplantan a la web del INE y de Hacienda para robar información bancaria a los encuestados

Si recibe un correo electrónico en el que el Instituto Nacional de Estadística (INE) le pregunta sus datos personales y bancarios con motivo de una encuesta bancaria u otro en el que Hacienda le promete 90 euros, no los abra. Se trata de un nuevo caso de ciberdelincuencia que, valiéndose de la imagen del INE y de la Agencia Tributaria, recaba datos de los supuestos encuestados para, a continuación, realizar un phising (estafa en la Red) masivo con la intención de hacer un ataque personalizado y profesional destinado al robo de claves a usuarios de bancos online.

De tal calibre ha sido el mailing (envío masivo de correos), que el INE se ha visto obligado a publicar una nota en la que comunica oficialmente que el Instituto “no está realizando ni ha realizado ninguna encuesta de este tipo” y aconseja que “no se responda al formulario de Internet que se dirige a los encuestados ni que se envíe ningún tipo de información personal a la dirección de correo electrónico desde la que se ha remitido la supuesta encuesta”.

En el caso de la Agencia Tributaria, detectado hoy, las autoridades han solicitado a los usuarios que no respondan a un supuesto correo de la Agencia Tributaria en el que simula la devolución fiscal de 90 euros. Su propósito, al igual que en el INE, es robar los datos de internauta.

A las 48 horas del ataque, la web trampa sigue activa

El ataque del INE, el más peligroso, fue lanzado el sábado alrededor de las 13,30 horas, curiosamente el Día Europeo de la Protección de Datos. “La novedad respecto a otros phising es que elevan el nivel con especializaciones propias del marketing online” ha dicho Víctor Domingo, presidente de la Asociación de Internautas (AI). “Suplantan una entidad oficial y realizan un formulario de segmentación del mercado para poder personalizar sus ataques futuros”, considera. Pese a las advertencias de la AI, cuarenta y ocho horas después de su detección, la web trampa que suplanta al INE seguía activa.

No se trata de la primera vez que el INE padece uno de estos ataques cibernéticos. En enero de 2005, un grupo de estafadores ya utilizó esta técnica para recabar los datos de los usuarios para, posteriormente, personalizar sus estafas. Ya entonces, el Instituto de Estadística aseguró tajantemente que “jamás pide datos por correo electrónico” y puso en conocimiento de la Policía el suceso. Sin embargo, este ataque fue calificado por la Asociación de Internautas de “fracaso”, ya que “no fue tan refinado como el actual”.

España, cuarto país en phising

El phising consiste en el envío masivo de correos electrónicos en los que se simula ser una compañía, principalmente bancos y cajas, y en los que se pide al cliente que facilite sus datos y claves para actualizarlos, renovar la base de datos o evitar que se corte el servicio, entre otras excusas. El usuario, engañado, entrega la información a estos ciberdelincuentes, que vacían las cuentas corrientes de sus víctimas.

Ésta es una de las técnicas más utilizadas por los delincuentes para estafar a los usuarios en la Red. El año pasado se detectaron en España 1.184 ataques, lo que supone un incremento del 290% con respecto a 2005, casi cuatro veces más, según la Asociación de Internautas. De total de los ataques, en 705 ocasiones se intentó suplantar a entidades bancarias. En este sentido, Banesto, el Banco Santander y Caja Madrid fueron los más afectados.