Cuatro trucos para evitar ciberataques en la declaración de la renta

Estos son los cuatro trucos que pueden ayudarte a detectar el envío de correos fraudulentos durante la campaña de la declaración de renta: desde observar el dominio del mail a detectar faltas de ortografía

Ilustración de una persona sentada frente a una pantalla de computadora en Moers, Alemania, el 4 de enero de 2019. EPA / SASCHA STEINBACH

Ilustración de una persona sentada frente a una pantalla de computadora en Moers, Alemania, el 4 de enero de 2019. EPA / SASCHA STEINBACH

La campaña de declaraciones de Renta y Patrimonio de 2020 ha comenzado marcada por los ciberataques. Esta semana el Instituto Nacional de Ciberseguridad de España (Incibe) ha alertado de un fraude en el que los usuarios reciben un email con el asunto Acción fiscalAparentemente parece un correo que advierte sobre movimientos en la base de datos pero, en realidad, lo que busca es robar información personal.  

Estos actos son un clásico de las campañas de la renta. Lo que buscan los cibernautas es suplantar la identidad de sus víctimas, a las que conducen a abrir un malware, bien solicitando el acceso a la  Sede Electrónica o remitiendo a la descarga de un PDF para acceder a una presunta información fiscal. Si se accede a cualquiera de ellos el usuario es redirigido a la web desde la que se descarga un archivo a través del cual se infiltran en el dispositivo, identificado como el Trojan Cryxos

Ante estos hechos que se repiten año tras año, la Agencia Tributaria ha puesto a disposición de los usuarios en su página web algunos ejemplos de campañas fraudulentas para alertar a los ciudadanos. Coincide que uno de ellos es el relativo a la declaración de la renta del año anterior.  

En la imagen, una oficina de la Agencia Tributaria en Oviedo. EFE/ José Luis Cereijido
En la imagen, una oficina de la Agencia Tributaria en Oviedo. EFE/ José Luis Cereijido

“Se han detectado irregularidades en su declaración jurada de Renta correspondiente al 2019. Adjunto a este mensaje va su factura con la deferencia que debe. En caso de no realizar el pago en fecha puede incurrir en cargos y multas extras”, decía el mensaje.  

Pero también hay otras formas de detectar la estafa. Entelgy Innotec Security, división de ciberseguridad de Entelgy, ha enumerado cuatro trucos, recogidos por Europa Press, para evitar a los ciudadanos verse en esta situación.  

1. Atención al dominio: el real es ‘correo.aeat.es’. 

El primer aspecto a tener en cuenta es el dominio. En uno de los ejemplos que menciona Hacienda, el remitente es aviso@agencia.es. No obstante, el correcto, tal y como recoge la AEAT en su portal es: ‘correo.aeat.es’. Por lo tanto, el primer paso será comprobar si el envío se realizada desde una dirección oficial.  

2. La AEAT nunca solicita información vía email 

El segundo punto que destaca la compañía experta en ciberseguridad es que la AEAT nunca solicita información a los contribuyentes a través de correo electrónico, por lo que cualquier información que llegue a través de este medio debe ser objeto de sospecha.  

3. Correos con faltas gramaticales y ortográficas 

El tercer indicador es que la redacción del email destaca por sus deficiencias gramaticales y numerosas faltas de ortografía. Algunos casos que se ven en los ejemplos es que la palabra ‘declaración’ suele ir estricta sin tilde, o algunas erratas, como poner jurata en vez de ‘jurada’.  

4. Presencia de archivos adjuntos  

Finalmente, el cuarto indicio de indica que estamos ante un ataque phising -conjunto de técnicas que persiguen el engaño a una víctima ganándose su confianza haciéndose pasar por alguien de confianza, para manipularla y hacer que realice acciones que no debería realizar-, es la presencia de archivos adjuntos o enlaces. Por medio de ambas opciones el estafador puede acceder a tu dispositivo.  

Por ejemplo, en el último fraude alertado por Incibe, aparecía un archivo que siempre seguía el patrón de ‘9 números aleatorios + .zip’

 Recomendaciones del Instituto Nacional de Ciberseguridad 

Para proteger el equipo, Incibe aconseja escanearlo con un antivirus actualizado y ante la necesidad de un soporte o asistencia para la eliminación del malware ofrece su servicio de respuesta ante incidentes de seguridad. 

Para evitar futuros incidentes cibernéticos, este instituto también aconseja no abrir correos de usuarios desconocidos, eliminarlos directamente o nunca responder. Antes de hacer click en cualquier enlace hay que prestar atención a su longitud: si son muy cortos es preferible desconfiar, y también si llevan archivos adjuntos.  Además, es recomendable tener actualizado el antivirus y el sistema operativo y contar con contraseñas de difícil acceso.   

En caso de duda siempre está la opción de contactar directamente con la Agencia Tributaria a través de uno de cualquiera de sus teléfonos oficiales (901 200 347, 91 757 57 77 o 93 442 27 64) y preguntar por la veracidad del correo recibido.