El pasado miércoles arrancó la campaña de la declaración de la renta correspondiente al año 2020. En paralelo, los ciberdelincuentes comenzaban su particular "campaña" de estafas. El modus operandi consiste en hacerse pasar por la Agencia Tributaria, lo que se denomina suplantación de identidad o phishing, con el objetivo de hacerse con los datos confidenciales de los cibernautas.

De hecho, el Instituto Nacional de Ciberseguridad (INCIBE) ya ha alertado sobre un virus (malware) que suplanta la identidad de la Agencia Tributaria mediante un correo con el asunto 'Acción fiscal'. El objetivo es robar información sensible de los usuarios a los que ataca.

Esta técnica de delincuencia consiste, generalmente, en calcar el logo y la identidad de marca de las empresas u organismos que suplanta para pedir una serie de datos, siempre de carácter sensible -contraseñas, nombres de usuario- que posteriormente utilizan para realizar pagos a su favor, compras, acceder a cuentas de correo electrónico o extorsionar a quienes 'pican'. Como norma general, se aconseja no descargar ni ejecutar archivos recibidos de remitentes desconocidos -pueden introducir un virus en nuestro equipo-. Así las cosas, el INCIBE da las claves para identificar las campañas de phishing.

Como norma general no hay que descargar ni ejecutar archivos recibidos de remitentes desconocidos

Declaración de la renta y estafas

En primer lugar, el INCIBE explica que el atacante se hace pasar casi siempre por una persona u organización de confianza. "El objetivo es obtener información personal confidencial, como credenciales de inicio de sesión o números de tarjeta de crédito", explican desde el organismo.

Los correos electrónicos nunca suelen estar personalizados, porque se envían a grandes paquetes de cuentas, generalmente robadas por otros ciberdelincuentes, que las venden en los mercados negros de Internet. Los 'malos' buscan alcanzar con este tipo de ataques a cuanta más gente, mejor. Veamos algunas de las claves que da INCIBE para saber cuándo un correo es phishing:

  • El correo electrónico no está dirigido a usted. "Muchos tipos de phishing, incluidos los del tipo "engaño" estándar, utilizan una red de arrastre para atrapar a cuantos puedan. Por ese motivo el mensaje no está personalizado con el nombre del destinatario, sino que saluda de forma vaga, por ejemplo con "Estimado cliente", aunque puede llegar a utilizar el nombre de usuario del correo electrónico", explican desde el organismo con sede en León.
  • Una oferta que no puede rechazar. Algo demasiado bueno para ser verdad suele no serlo. Las ofertas tentadoras tienen como objetivo que piquemos. Hay que sospechar siempre de este tipo de gangas.
  • Debe actuar de inmediato. Los ciberdelincuentes siempre piden las cosas "para ayer". Buscan la urgencia; la fuerzan. "Si no abona ahora su deuda en el número de cuenta indicado, mañana los intereses la incrementarán notablemente". El objetivo es que no pensemos, que directamente piquemos en la estafa. "Ninguna entidad legítima, ni gubernamental, ni empresarial, ni de ninguna clase, le dará una única y urgentísima posibilidad antes de cerrarle la puerta", explican desde el INCIBE.
  • Enlaces acortados. Es importante buscar enlaces maliciosos en los enlaces acortados. Para ello, basta con pasar el puntero del ratón sobre el enlace en cuestión. Al hacerlo, se mostrará realmente qué tipo de enlace es y hacia dónde redirige -ahí comprobaremos que el dominio no es el del sitio oficial del cual el correo dice ser-.
  • Enlaces con errores. Los ciberdelincuentes crean versiones falsificadas de sitios legítimos con enlaces idénticos, pero siempre tienen algún error mínimo para que se parezcan lo máximo posible a la fuente oficial. Ejemplo: www.santanderm.com, en lugar del dominio oficial www.santander.com. Si el usuario no se percata de que se le han añadido una 'm' al enlace, pensará que está ante un correo oficial, verdadero. Es importante leer los enlaces con detenimiento.
  • Mensajes escritos de forma incorrecta. Los bancos, los organismos públicos y empresas no acostumbran a escribir correos con faltas de ortografía, algo que suele suceder con los emails de phishing. En ocasiones se trata de redes internacionales que los escriben usando traductores online. Debemos fijarnos también en la forma en la que se dirigen a nosotros, la manera en que construyen las frases.
  • Solicitudes de información personal. Si nos reclaman credenciales o contraseñas, lo normal es que sea una estafa. Los organismos oficiales y empresas nunca hacen esto por correo. Lo mejor es que, si recibes un correo en el que se te solicita esta clase de información, llames por teléfono a la empresa o entidad supuestamente suplantada para certificar lo que dice el correo.