Estos son los fraudes que podrías sufrir durante la campaña de la renta

La campaña de la renta de la Agencia Tributaria comenzó el pasado 6 de abril con la apertura de la presentación de declaraciones a través de la web y por la aplicación de móvil. Un plazo que permanecerá abierto hasta el próximo 30 de junio.

Con la digitalización de este trámite, también han ido apareciendo los riesgos de ciberseguridad y los fraudes online. Los ciberdelincuentes aprovechan los procedimientos, trámites y aluvión de datos para llevar a cabo su particular campaña de recaudación a costa de los contribuyentes.

Para evitar caer en alguna de estas trampas, la Oficina de Seguridad del Internauta, del Instituto Nacional de Ciberseguridad (INCIBE), ha publicado una guía para detectar los principales fraudes con los que todo contribuyente, entre ellos autónomos y directivos, pueden encontrarse durante el tiempo en el que la campaña de la renta esté vigente. Conocerlos y distinguirlos es la mejor forma de ponerles freno, además de poder alertar a conocidos, compañeros o empleados para que ninguno de ellos resulte víctima de las estafas.

Suplantación de identidad

El primer fraude que enumera la OSI son los correos electrónicos que suplantan la identidad de la Agencia Tributaria para infectar tu ordenador. Este tipo de emails suelen incluir, con alguna falsa razón, un enlace. En ningún caso hay que pulsar sobre ese vínculo, ya que es mediante el cual se produce la entrada de los ciberdelincuentes en nuestro ordenador.

Normalmente utilizan excusas como:

• Devolución de impuestos: se anexa, por ejemplo, una supuesta documentación pendiente de presentar a la Agencia Tributaria y por la que obtendremos una cantidad de dinero pendiente de cobrar.
• Comprobante de transferencia bancaria: se anexa el supuesto comprobante de transferencia de un reembolso.
• Acción fiscal pendiente: en este caso, el enlace se dirige a la información sobre una presunta acción fiscal registrada en la base de datos de la Agencia Tributaria.
• Factura por pagar pendiente: si las primeras excusas eran cantidades por recibir, en este caso se intenta captar al usuario utilizando el temor de impago a la Agencia Tributaria. El enlace malicioso se dirige en este caso a la supuesta información sobre la multa pendiente.
• Revisión de un comprobante fiscal: similar a lo anterior, el email fraudulento intenta atraer al usuario informándole de la existencia de un comprobante fiscal digital pendiente de presentar.

Recopilación de datos personales y bancarios de los usuarios

En ocasiones, no es necesario ni que infecten nuestro ordenador, sino que, mediante un engaño bien milimetrado, son los propios usuarios los que entregan sus datos personales y bancarios a los ciberdelincuentes, creyendo en todo momento que las páginas webs en las que se están moviendo son efectivamente las de la Agencia Tributaria.

En este caso, como explica la Oficina de Seguridad del Internauta, hay dos excusas principales que suelen utilizar los ciberdelincuentes:

• Por una parte, se reciben correos electrónicos que suplantan la identidad de la Agencia Tributaria. Ese mensaje, similar a los vistos anteriormente, indica al usuario que debe abonar una determinada cantidad de dinero, e incluye un enlace que redirige a una web falsa. En esta web, el usuario puede descargarse un documento -perfectamente “disfrazado” de documento oficial-, en el que se le indica el importe de la deuda y dónde abonarla.
• Por otra, está el correo electrónico en cuyo mensaje se indica que se va a efectuar un supuesto reembolso. Se facilita un enlace, que a su vez redirige a una página web que suplanta perfectamente a la oficial de la Agencia Tributaria, de tal forma que el usuario, si no revisa la URL, puede confundir perfectamente el sitio fraudulento con el real. En esta web, se le pide rellenar los datos personales y bancarios, que acaban directamente en manos de los defraudadores.

¿Cómo prevenir los fraudes?

Desde INCIBE insisten en que la mejor forma de no caer en este tipo de fraudes es estar alerta siempre que se reciba un correo o mensaje de texto que supuestamente provenga de la Agencia Tributaria, más aún si no lo esperábamos. Hay que analizar detenidamente todo el mensaje, desde el remitente (los emails de origen suelen imitar a los originales, pero incluyendo números u otras palabras), el asunto, la URL, etc.

Ante la menor sospecha, lo mejor que se puede hacer es no seguir las indicaciones de ese email o SMS y consultar directamente a través de los canales oficiales de la Agencia Tributaria. Cabe destacar que este tipo de notificaciones -deudas, sanciones, certificaciones, etc.- se envían generalmente por correo postal y no por correo electrónico.

Por tanto, no debemos pulsar nunca sobre el enlace que facilita el correo o el SMS. En caso de haber pulsado para la descarga de un archivo, jamás debemos ejecutarlo; y, en caso de dirigirnos a una web, nunca debemos facilitar datos personales, bancarios o el número del móvil.

¿Qué hacer si somos víctimas de una ciber-estafa?

En caso de haber recibido alguno de estos fraudes -conocidos como phishing y smishing-, con un enlace o un archivo adjunto y haber pulsado en él para descargarlo, ejecutarlo y dar así acceso a un archivo malicioso, es posible que el dispositivo se haya infectado. Para saberlo y detenerlo, será necesario escanear el equipo con un antivirus actualizado, o seguir los pasos que marca la Oficina de Seguridad del Internauta para la desinfección de dispositivos. Si los problemas persisten, INCIBE ofrece su servicio de respuesta y soporte ante incidentes de seguridad.

Si, por otro lado, lo que se recibe es un enlace que redirige a una web falsa, en la que hemos facilitado nuestros datos personales y bancarios, la recomendación de INCIBE es vigilar periódicamente la información sobre uno mismo que circula por Internet, para detectar así si tus datos privados están siendo utilizados sin tu consentimiento. Si se encuentra algún dato que se está ofreciendo sin consentimiento, hay que denunciar. La Agencia Española de Protección de Datos ofrece pautas sobre cómo hacerlo. Asimismo, si has facilitado datos bancarios, hay que contactar con urgencia con tu entidad bancaria para tomar las medidas de seguridad correspondientes, evitando así cargos adicionales.