Nueva renta, mismas estafas 'online': por qué seguimos picando (y cómo puedes evitarlo)

• Cómo obtener el borrador de la declaración de la renta 2022-2023
• ​Qué es la casilla 505 de la declaración de la renta y cómo obtener el número de referencia

Da igual que sea un SMS o un e-mail, el objetivo es el mismo: robarte todo lo que puedan. La campaña de la declaración de la renta, que ha comenzado esta semana, ha vuelto acompañada de todo tipo de intentos de estafas online. Este año, se han vuelto a detectar distintas maniobras para tratar de quedarse con la información personal o el dinero de los contribuyentes que piquen el anzuelo. Pero lo más chocante es que, en realidad, no están haciendo nada muy distinto a los últimos años, y eso tiene una explicación sencilla: demasiada gente sigue picando.

TE PUEDE INTERESAR

Así venden tu tarjeta de crédito: 3 € por fundirte la cuenta corriente

Mario Escribano

"No te líes y acude la web oficial", ha avisado la Policía Nacional a través de sus redes sociales, donde ya han alertado de una campaña de SMS fraudulentos (smishing) que se ha extendido esta semana por todo el país. En ella, un supuesto mensaje de texto de la Agencia Tributaria notifica "un reembolso de impuestos" de 244,79 euros. No hay más información que un enlace que dirige a un formulario de aspecto casi idéntico al de Hacienda, aunque la dirección es sospechosa, ya que no tiene nada que ver con esta institución.

Una vez ahí, te solicitan distintos datos, incluida la contraseña, para recibir un pago que, en realidad, no existe. Si los das, toda esa información ya ha abierto las puertas de tu teléfono móvil e, incluso, de tu banco. Como ya ha explicado este periódico, estos últimos datos se usan después para clonar tu tarjeta y hacer compras online con ella. Además, si se pide una verificación de doble factor, los atacantes vuelven a utilizar este mismo mecanismo de suplantación y piden ese código a la víctima, como si fuera una comprobación para recibir la devolución.

La firma de ciberseguridad ESET también lleva varios días alertando sobre este tipo de ataques. En su caso, han avisado de otras dos campañas. Una de ellas es del tipo phishing y se lleva a cabo a través de e-mail, donde el mensaje cuenta con un diseño muy similar al que tendría uno de la Agencia Tributaria. En él, se explica que se ha recibido una "notificación electrónica" con una plantilla, por cierto, muy similar a otra que se difundió el pasado enero para una estafa similar. Sea como sea, no se indica nada más para incitar a hacer clic en el enlace que, en este caso, sí cuenta con una dirección muy similar a la original (solo es sospechoso el dominio .bz). Una vez dentro, la operativa es similar a la del caso del SMS.

Por otro lado, también se ha detectado un troyano bancario para ordenadores que, de nuevo, también llega mediante correo electrónico. En este caso, la operativa es algo más compleja. El malware se incluye como fichero adjunto en un correo en el que se suplanta la identidad de la Fábrica Nacional de Moneda y Timbre, que habría enviado un mensaje en nombre de la Agencia Tributaria. Sin embargo, no se trata de ningún archivo PDF ni nada que se parezca, sino de un ejecutable enmascarado con la extensión.rar. Una vez desplegado, puede robar todo tipo de contraseñas en el ordenador.

Sin embargo, ninguna de estas campañas extrañarán a ningún usuario que haya seguido mínimamente la actualidad del mundo de la ciberseguridad durante los últimos años, y es ahí donde está el problema.

"Seguimos igual que hace 15 años"

"Si se sigue realizando, es porque mucha gente sigue cayendo", afirma Josep Albors, jefe de investigación en ESET España, que enfatiza que "no es lo mismo ser víctima por un ataque a un proveedor en la cadena de suministro a que caigas porque tus empleados pinchen un enlace". "Hace 10 o 15 años, podía ser entendible que esto les funcionara, pero es que seguimos igual. Incluso a grandes empresas les entran por ataques de phishing", continúa este especialista, que subraya que ha habido un importante esfuerzo de divulgación —"es raro que un día no se hable de ciberseguridad en los medios", apostilla—, pero no se ha correspondido con una concienciación más o menos amplia sobre estos peligros.

Hay varios motivos que explican esta situación. "Muchos siguen pensando que no pueden ser objetivos de estas estafas porque dicen aquello de que no son personas importantes. Es algo que también ocurre en las pymes, y al final son las que más suelen sufrir los ciberataques", apunta Albors, que también considera que las campañas de divulgación deberían abordar a toda la población. "De menores a jubilados, todos pueden ser víctimas", recuerda.

En cualquier caso, hay otra explicación más probable que explica todo esto. "Hay también mucho hartazgo por parte de la sociedad, así que ven que tienen tanto que vigilar, que les da igual todo y que pase lo que tenga que pasar. Al final, si tienen que pararse a mirar medidas de seguridad para todo, no van a tener tiempo material para disfrutar de la tecnología, así que abandonan la esperanza", asume.

"Entre tantas comunicaciones, es mucho más fácil disimular una campaña maliciosa, porque la gente sospecha menos cuando lo que le está llegando tiene relación con la actualidad, sea la campaña de la renta, Navidad o el Día del Padre o la Madre", comenta por su parte Eusebio Nieva, director técnico de Checkpoint Software en España, que añade que "es más fácil picar porque bajas la guardia". Eso sí, destaca que ni siquiera necesitan ser campañas dirigidas —es decir, indicando datos personales de la víctima para hacerlo más creíble—, ya que suelen lanzar la misma comunicación de manera masiva.

TE PUEDE INTERESAR

"Ha habido un problema con su envío": así usan la paquetería como cebo para estafarte

Mario Escribano

Además, hay otro punto relevante. Si bien a nivel técnico las campañas son igual de sofisticadas, en el plano formal se han ido perfeccionando. "Antes era habitual ver fallos de ortografía o gramática, algo que es cada vez más raro ver", comenta antes de subrayar el parecido con las webs suplantadas, hasta el punto "incluir enlaces reales entre los fraudulentos o un remitente que parezca legítimo, porque todo eso da mucha confianza". "Con herramientas de inteligencia artificial como ChatGPT vamos a ver correos mejor traducidos y escritos, y eso va a dificultar todo aún más", avisa.

En qué te tienes que fijar para no picar

La propia Agencia Tributaria ha publicado este miércoles una breve nota en la que advierte sobre los intentos de fraude, pero también da algunos consejos para no picar el anzuelo. Así, recuerdan que nunca piden ningún tipo de "información confidencial, económica o personal" por correo electrónico o SMS, además de que no cobra importes por ningún servicio ni realiza las devoluciones mediante tarjetas bancarias o sistemas de pago como Bizum. También inciden en que los únicos teléfonos que usan para esta campaña de la renta y del que pueden llamar a los contribuyentes son el 810520052 y el 917276222 para números extranjeros.

Por su parte, en ESET recomiendan seguir las mismas medidas que en la ciberseguridad corporativa y, en concreto, el modelo de confianza cero (zero trust). Dicho de otro modo, estar siempre alerta porque siempre se está bajo algún tipo de riesgo. A nivel de usuario, esto se traduce en "desconfiar de cualquier comunicación que no esperes, sea la Agencia Tributaria, tu jefe o tus padres", recalca Albors. De hecho, recomienda que, si se recibe un SMS o correo de este tipo, se haga una llamada para comprobar su veracidad.

"Suena desconfiado y poco práctico, pero hay que aplicarlo en nuestro día a día. Estamos a un nivel en el que pulsar un enlace puede servir para infectarte a ti, a tu empresa, proveedores, clientes...", desarrolla este especialista, que también aporta otros indicios para sospechar, como tirar de sentido común. "Puedes esperar alguna comunicación de la renta, pero un reembolso cuando empezó la campaña hace nada, es raro. Además, no se comunica por SMS, sino por vías seguras, donde tienes que identificarte con Cl@ve. El problema es que mucha gente no conoce esta forma de acceder a la Administración pública y se aprovechan de eso", lamenta.

Nieva, además, destaca que "mucha gente está acostumbrada a mirar solo algunas señales, y eso no basta, hay que estar atento a todos los elementos posibles". "Los humanos no estamos programados para detectar amenazas en internet, sino en el mundo real. Nos manejamos bien el lenguaje no verbal, pero tenemos que aprender a racionalizar si algo es bueno o malo atendiendo a otros elementos. Con la tecnología, a veces actuamos por instinto, y ahí es más difícil reconocer las amenazas", remacha.