EMPRENDER, INNOVAR, TRIUNFAR
viernes, 19 de abril de 2019
Formación
Renta 2018: ¿cómo evitar los ataques de phishing?
Las técnicas de suplantación de identidad de la Agencia Tributaria, con el fin de obtener información confidencial de los usuarios, se multiplican de forma exponencial con la llegada, este martes, 2 de abril, de la Campaña de la Renta
Redacción TICPymes02/04/2019

Acaba de dar comienzo la campaña Renta 2018 y, con ella, la proliferación de ataques de suplantación de identidad de la Agencia Tributaria, a través de la técnica delphishing. Se trata del envío de comunicaciones (a través de correos electrónicos fraudulentos, SMS, mensajes de redes sociales o smartphones)  suplantando la identidad de una persona u organización con el objetivo de que el destinatario revele información personal, como pueden ser sus credenciales de usuario, datos de sus tarjetas de crédito y de la seguridad social o números de cuentas bancarias. Estos correos, con enlaces a sitios web, en teoría conocidos, o con archivos adjuntos dañinos son muy habituales y pueden ser la fase inicial de otro tipo de ataques de mayor relevancia. De hecho, suelen ser la primera etapa de un ciberataque para establecer un primer punto de entrada en los sistemas de la víctima y desarrollar acciones posteriores de espionaje o exfiltración de información.

Los medios más utilizados tradicionalmente para llevar a cabo ataques de phishing son los mensajes SMS y los correos electrónicos. En la mayoría de los casos, el correo no deseado se envía a través de servidores comprometidos, sistemas cliente infectados o desde cuentas de correo electrónico legítimas, utilizando información robada para iniciar sesión. 

Sin embargo, dado el auge de las aplicaciones de mensajería instantánea como Whatsapp o Telegram, así como de las redes sociales, se observa un incremento importante en el envío de mensajes fraudulentos por medio de estos canales, aumentando las posibilidades de que los usuarios caigan en alguno de estos engaños.

Inmersos ya en la campaña Renta 2018, y como ya viene siendo habitual, los ciberdelincuentes no quieren perder la ocasión de estafar a los contribuyentes.

Cómo identificar los mensajes fraudulentos

Cada año, cuando se acerca esta fecha, la Agencia Tributaria incluye en su portal web información relevante en relación a los ataques de phishing durante esta época del año. En este sentido, avisan del tipo de mensaje más común dirigido por parte de los ciberdelincuentes por cauces tecnológicos. Concretamente, este suele aludir a supuestos reembolsos de impuestos. Para poder disponer del dinero, el remitente solicita al usuario que acceda a una dirección web, donde se le pedirán datos de cuentas bancarias y tarjetas de crédito. No obstante, la Agencia Tributaria recuerda que nunca solicita por correo electrónico información confidencial, económica o personal, números de cuenta ni números de tarjeta de los contribuyentes. Tampoco paga devoluciones con cargo a tarjetas de crédito, ni cobra importe alguno por los servicios que presta.

Con el objetivo de evitar estos ciberataques, Entelgy Innotec Security ofrece algunas recomendaciones a tener en cuenta: 

  • Observa el dominio del remitente del correo. En este caso comprueba que el dominio de la Agencia Tributaria es aeat.es. Cualquier otro dominio es falso.
  • No abras correos de usuarios desconocidos o que no hayas solicitado: elimínalos directamente y no contestes a ellos.
  • No hagas clic en los hipervínculos o enlaces que te adjunten en el correo, SMS, mensajes de Whatsapp o de redes sociales, dado que pueden redirigir a una web fraudulenta. Si tienes dudas, teclea directamente la dirección web en tu navegador.
  • Ten precaución al descargar ficheros o ejecutables adjuntos de correos, en SMS, mensajes en WhatsApp o en redes sociales, aunque provengan de personas que conoces.
  • Introduce tus datos personales solamente en webs seguras, con protocolo https://, y con un icono de un candado pequeño. Recuerda que ni la AEAT, ni tu banco, te pedirán nunca que envíes tus claves o datos personales por correo. Ante cualquier duda, llama directamente a uno u otro. 
  • Revisa periódicamente tus cuentas bancarias para estar al día de cualquier irregularidad.
  • Modifica periódicamente tus contraseñas y utiliza una diferente para cada una de tus cuentas en redes sociales, correos y páginas web. Además, asegúrate de que estas sean robustas, es decir, largas y con caracteres de diferente tipo. 
  • Mejor ser prudente. Siempre es mejor rechazar cualquier mensaje que genere dudas o enlace con una web cuya URL no coincida con el organismo en cuestión.

Como conclusión,la recomendación es dudar siempre de todos aquellos correos o mensajes que soliciten información personal y eliminarlos sin interactuar con ellos. Es decir, hay que evitar clickar en enlaces que incluyan o den permiso para descargar los posibles archivos adjuntos. De esta forma, la declaración de la renta se podrá llevar a cabo de forma (ciber) segura.