Cuidado con los falsos correos ‘@aeat.es’: la Agencia Tributaria desmiente alertas fiscales
La Agencia Tributaria ya ha avisado en sus canales oficiales de una nueva campaña de estafas electrónicas a través de un correo que informa de una supuesta obligación fiscal urgente
Archivo – Varias personas son atendidas en la Agencia Tributaria
Comentarios
La Agencia Tributaria ha lanzado una advertencia urgente ante la proliferación de una nueva campaña de estafas electrónicas que está circulando por todo el país. El fraude se presenta en forma de correos electrónicos aparentemente enviados desde direcciones oficiales con el dominio ‘@aeat.es’.
Una estafa que se ha hecho muy común a lo largo de las últimas semanas, siguiendo un modus operandi en el que informan al destinatario de una supuesta obligación fiscal pendiente de carácter urgente. Sin embargo, se trata de una de las clásicas trampas que hacen uso del spoofing, y que están cuidadosamente diseñadas para engañar al usuario y robarle información sensible.
Así hacen uso los ciberdelincuentes del spoofing para engañar a miles de españoles
Ya es mucha la gente que ha caído en el engaño, y no sin motivos. Y es que el mensaje fraudulento llega desde una dirección que parece legítima, lo que induce fácilmente a error. En su contenido, los ciberdelincuentes alertan de una notificación fiscal pendiente o de un pago inminente, con el objetivo de generar una sensación de urgencia y preocupación en el receptor, como suele ser habitual en estos casos.
El correo incluye además un archivo adjunto o un enlace que supuestamente contiene la información detallada sobre la obligación tributaria. Sin embargo, al abrir dicho archivo o pulsar el enlace, el usuario es redirigido a una página web falsa que imita con gran precisión el diseño de la propia Agencia Tributaria, que es precisamente el aspecto que lleva a equívoco a los usuarios.
En esa web se solicita al usuario que introduzca sus datos personales, bancarios o de acceso a la Sede Electrónica, a lo que los usuarios, ante la creencia de que están en contacto con la propia Agencia Tributaria, acceden. Precisamente este hecho, aparentemente inocente, permite a los estafadores robar información confidencial y utilizarla posteriormente con fines delictivos.
Pero, ¿cómo es posible que hagan esto? Tal y como indica el Instituto Nacional de Ciberseguridad, más comúnmente conocido como INCIBE, y tal y como hemos mencionado previamente, este tipo de fraude se enmarca dentro de lo que se conoce como email spoofing, una técnica con la que los atacantes falsifican la dirección del remitente para que el mensaje parezca proceder de una entidad oficial.
Por su parte, el INCIBE hace especial hincapié a la hora de recalcar que los ciberdelincuentes no han hackeado el sistema ni han accedido al dominio de la Agencia Tributaria, sino que utilizan un protocolo antiguo de transferencia de correo electrónico que no cuenta con mecanismos de verificación de identidad. Aprovechando esa vulnerabilidad, consiguen que el correo aparezca como si proviniera realmente de la AEAT.
El objetivo por parte de los ciberdelincuentes es claro: lograr que el usuario confíe en la autenticidad del mensaje, abra los archivos adjuntos o acceda a los enlaces maliciosos, momento en el que se produce la descarga de software espía o el robo de credenciales. Y con este sencillo modus operandi, se cobran cientos de víctimas cada semana.
La Agencia Tributaria sale al paso y ofrece una serie de medidas preventivas para no caer en el engaño
Desde la Agencia Tributaria han confirmado que la suplantación de dominios “no es algo especialmente complejo ni extraordinario”, aunque recalcan que el organismo cuenta con sistemas de seguridad avanzados para prevenir este tipo de ataques. Por ello, en su página web oficial, la Agencia ha publicado un aviso específico sobre esta campaña, donde explica en detalle cómo opera la estafa y cuáles son los pasos que los ciudadanos deben seguir para protegerse.
Y es que tal y como recalcan, todos esos protocolos de seguridad permiten que los principales proveedores de correo electrónico, como Gmail, Outlook o Yahoo, rechacen los mensajes que no sean auténticos. No obstante, la AEAT reconoce que en ocasiones los filtros no logran detectar el engaño, por lo que algunos de estos correos fraudulentos terminan llegando a los buzones de los usuarios.
El en el siguiente paso en el ámbito de las medidas preventivas, la Agencia Tributaria recuerda que nunca envía por correo electrónico archivos adjuntos con información sobre facturas, pagos o datos personales. Cualquier comunicación oficial se realiza a través de la Sede Electrónica, a la que el ciudadano debe acceder introduciendo directamente la dirección oficial en el navegador, a la que también podéis acceder haciendo clic en este enlace.
Asimismo, el organismo recomienda no pulsar en enlaces ni descargar archivos de procedencia desconocida, aunque el correo parezca auténtico o esté firmado con logotipos oficiales. En caso de duda, es preferible eliminar el mensaje o contactar directamente con la Agencia Tributaria a través de sus canales oficiales.
El INCIBE, por su parte, aconseja verificar siempre el certificado digital del sitio web antes de introducir cualquier dato sensible, así como mantener actualizado el software antivirus y el sistema operativo del dispositivo. Si un usuario sospecha que ha sido víctima del fraude, debe cambiar inmediatamente sus contraseñas y contactar con las autoridades competentes.
Y es que, en palabras del propio INCIBE, “la mejor defensa es la información”. Desconfiar, comprobar la procedencia y acceder siempre por vías oficiales son los pasos esenciales para evitar caer en un fraude que, aunque sofisticado, puede neutralizarse con una simple dosis de precaución.
