Es noticia
"Se ha ordenado el pago de 425 euros". Cómo la declaración de la renta es un coladero de estafas
  1. Tecnología
NO ES LA AGENCIA TRIBUTARIA

"Se ha ordenado el pago de 425 euros". Cómo la declaración de la renta es un coladero de estafas

Notificaciones falsas, mails fraudulentos, SMS sospechosos… los ciberdelincuentes están aprovechando la campaña de la declaración de la Renta para llevar a cabo prácticas de 'phishing' y 'smishing' con el fin de robar

Foto: Un ordenador muestra un simulador de la renta. (Agencia Tributaria)
Un ordenador muestra un simulador de la renta. (Agencia Tributaria)

“Cargo pendiente de 657,35€ por declaración de la renta errónea, actualice su documentación en este enlace para cancelar el cargo”. El mensaje va firmado por la Agencia Tributaria. Al dirigirte a la página que indica, aparece el logo de la institución. Y todo se asemeja a los formularios típicos de Hacienda. Pero no, no lo es. Es una estafa destinada a hacerse con tus datos y, en el peor de los casos, con tu dinero.

La persona detrás de ese SMS no es la Agencia Tributaria, sino un grupo de delincuentes que está aprovechando la temporada de la presentación de la declaración de la Renta y el desconocimiento de los ciudadanos para llevar a cabo técnicas fraudulentas con el fin de robar. El pasado miércoles 3 de abril arrancó oficialmente la campaña de la Renta de este año para saldar cuentas con el Estado. También lo hizo un periodo en el que los ladrones de toda España se frotan las manos.

La Agencia Tributaria lleva años haciéndose eco de estas fechorías. Y este año, preocupados por la cantidad de timos que aparecen en internet, ha aprovechado para emitir varios comunicados alertando a los contribuyentes para que no caigan en estos engaños, que suelen basarse en notificaciones falsas. La mayoría de estas se dan en forma de SMS o correos electrónicos, con supuestos requerimientos de información, lo que se conoce en el mundo de la ciberseguridad como phishing o smishing, un tipo de estafa que consiste en la suplantación de identidad.

En los mensajes, los ladrones se hacen pasar por funcionarios y suelen incluir enlaces donde se informa de una supuesta devolución de IRPF o un falso “reembolso electrónico” para pedir a los usuarios introducir una serie de datos, entre ellos la cuenta bancaria: "Se ha ordenado el pago de 425,00€ de su devolución de impuestos pagados en IRPF en la declaración de la Renta 2023. Encuentre más información en este enlace".

“La campaña de la declaración de la renta es una oportunidad perfecta para timar porque los ciudadanos se encuentran más vulnerables. Y cuando se trata de organismos de este tipo, la gente confía mucho más en un SMS que en un mail. Los ratios de apertura de un mensaje al uso son infinitamente mayores que los que hay en un correo electrónico, donde estamos más acostumbrados a ver spam”, explica a El Confidencial Luis Corrons, experto en ciberseguridad y security evangelist del Grupo Gen.

Los ciberdelincuentes se aprovechan de la confianza de los contribuyentes para crear comunicaciones que imitan a las del organismo y así obtener sus claves cuando pinchan en enlaces que llevan a webs espejo de la Agencia Tributaria con las mismas imágenes y tipografías oficiales. Un ejemplo claro es un SMS viral que arranca con "Notificación final: Quedan 48 horas para responder".

“En estos casos, es importante destacar que la mayoría de estafas siempre llevan impregnada esa sensación de urgencia. Cuando las ves desde lejos y de manera fría, lo piensas bien, pero los mensajes de apremio son clave para que las víctimas no lo piensen dos veces antes de caer”, señala Corrons.

Otro caso digno de estudio:

placeholder Captura de pantalla de una estafa que intenta suplantar a la Agencia Tributaria.
Captura de pantalla de una estafa que intenta suplantar a la Agencia Tributaria.

Como se puede apreciar, los estafadores realizan varias llamadas a la acción, metiendo prisa al usuario y confundiéndole. Otra cosa que sorprende de este ejemplo en concreto es el lenguaje empleado, que muy fácilmente podría pasar por una notificación de la AEAT: “Las webs y los mensajes son iguales que los de Hacienda. Hay muy pocas probabilidades de que pienses que son falsas. Y ahora, con ayuda de la IA, los ladrones usan textos perfectos con el mismo tono del organismo. Puedes incluso decirle a ChatGPT que te prepare un escrito como si lo hubiera escrito la Agencia Tributaria”, apunta el experto.

Para atraer a los usuarios, se juega además con el anzuelo de que te van a devolver dinero. Si aún no has presentado tu declaración, el mensaje no tendrá ningún tipo de sentido. Pero si lo has hecho recientemente, es muy posible que te llame la atención y caigas en la trampa. Además, suelen tentarte con cantidades realistas de entre 300 y 600 euros.

placeholder Captura de pantalla de una página fraudulenta que imita un formulario de la Agencia Tributaria.
Captura de pantalla de una página fraudulenta que imita un formulario de la Agencia Tributaria.

Otra técnica común se basa en llevar a cabo los engaños en apps falsas que imitan a la de la Agencia Tributaria. “Conocemos casos de aplicaciones fraudulentas que han pasado los filtros de App Store o Google Play. Hecha la ley, hecha la trampa. Puedes crear una app que parece que hace una cosa al principio y después de un tiempo la modifican para hacer otras cosas maliciosas cuando ya están dentro”, comenta.

Para evitar caer en estas trampas, lo primero a tener en cuanta es que el simple hecho de recibir estas comunicaciones ya debe hacernos arquear la ceja. Primero, porque Hacienda nunca va a pedirnos información personal a través de un SMS o un correo electrónico. Y mucho menos información bancaria como números de cuenta o tarjetas de crédito. Y segundo, porque la institución ya cuenta con toda esa información de los contribuyentes en su base de datos para realizar cualquier proceso de devolución o cargo que corresponda con las declaraciones.

Foto: Foto: Giles Lampert (Unsplash / CC)

Otro detalle clave es el modo que usan para describir el trámite. Un mensaje oficial de la Agencia Tributaria podría informarnos de la devolución del IRPF, sí, pero jamás incluiría un enlace. Y aquí es muy importante fijarse en la barra de direcciones si ya has pinchado sin querer. En algunas ocasiones te percatarás de que se trata de un enlace acortado o totalmente diferente al oficial, que es Agenciatributaria.gob.es.

Y en el caso de que no lo tengas claro, puedes usar páginas como sitecheck.sucuri.net, que te avisan de qué dominios están en la lista negra de webs peligrosas. Para tener la máxima seguridad, el experto en ciberseguridad recomienda no abrir ningún mail que diga ser de la Agencia Tributaria y acudir directamente a su web para identificarte y comprobar tú mismo si hay notificaciones o trámites pendientes. Si no, ya sabes, huye.

“Cargo pendiente de 657,35€ por declaración de la renta errónea, actualice su documentación en este enlace para cancelar el cargo”. El mensaje va firmado por la Agencia Tributaria. Al dirigirte a la página que indica, aparece el logo de la institución. Y todo se asemeja a los formularios típicos de Hacienda. Pero no, no lo es. Es una estafa destinada a hacerse con tus datos y, en el peor de los casos, con tu dinero.

Declaración de la Renta Ministerio de Hacienda
El redactor recomienda