El 2 de abril comienza la campaña Renta 2018 y, con ella, la proliferación de ataques de suplantación de identidad de la Agencia Tributaria, a través de la técnica del phishing.
Se trata del envío de comunicaciones (a través de correos electrónicos fraudulentos, SMS, mensajes de redes sociales o móviles) suplantando la identidad de una persona u organización. El objetivo es engañar al destinatario para que revele información personal: credenciales de usuario, datos de tarjetas de crédito y de la seguridad social o números de cuentas bancarias.
Estos correos, con enlaces a sitios web supuestamente conocidos o con archivos adjuntos dañinos son muy habituales. Pueden ser la fase inicial de otro tipo de ataques de mayor relevancia, pues establecen un primer punto de entrada en los sistemas de la víctima.
Los medios más utilizados tradicionalmente para llevar a cabo ataques de phishing son los mensajes SMS y los correos electrónicos. En la mayoría de los casos, el correo no deseado se envía a través de servidores comprometidos, sistemas cliente infectados o desde cuentas de correo electrónico legítimas, utilizando información robada para iniciar sesión.
Sin embargo, con el auge de las aplicaciones de mensajería instantánea como Whatsapp o Telegram, se bserva un incremento importante en el envío de mensajes fraudulentos por medio de estos canales, aumentando las posibilidades de que los usuarios caigan en alguno de estos engaños.
Cómo identificar los mensajes fraudulentos
La propia Agencia Tributaria incluye en su portal web información relevante en relación a los ataques de phishing durante esta época del año. Avisan del tipo de mensaje más común dirigido por parte de los ciberdelincuentes por cauces tecnológicos, normalmente aludiendo a supuestos reembolsos de impuestos.
La Agencia Tributaria recuerda que nunca solicita por correo electrónico información confidencial, económica o personal, números de cuenta ni números de tarjeta de los contribuyentes. Tampoco paga devoluciones con cargo a tarjetas de crédito, ni cobra importe alguno por los servicios que presta.
Con el objetivo de evitar estos ciberataques, Entelgy Innotec Security ofrece algunas recomendaciones:
- Observar el dominio del remitente del correo. Comprobar que se trata del dominio de la Agencia Tributaria: aeat.es. Cualquier otro es falso.
- No abrir correos de usuarios desconocidos: elimínalos directamente y no contestes a ellos.
- No hacer clic en los hipervínculos o enlaces adjuntos al correo, SMS, mensajes de Whatsapp o de redes sociales. Pueden redirigir a una web fraudulenta. Ante la duda, teclear directamente la dirección web en el navegador.
- Tener precaución al descargar ficheros ejecutables adjuntos de correos, en SMS, mensajes en WhatsApp o en redes sociales, aunque provengan de personas conocidas.
- Introducir datos personales solamente en webs seguras, con protocolo https:// e icono de un candado pequeño. Ni la AEAT ni los bancos piden enviar claves o datos personales por correo. Ante cualquier duda, llamar directamente a uno u otro.
- Revisar periódicamente las cuentas bancarias para estar al día de cualquier irregularidad.
- Modificar periódicamente las contraseñas y utilizar una diferente para cada cuenta en redes sociales, correos y páginas web. Las contraseñas seguras son largas y con caracteres de diferente tipo.
- Mejor ser prudente. Siempre es mejor rechazar cualquier mensaje que genere dudas o enlace con una web cuya URL no coincida con el organismo en cuestión.
Desde Entelgy Innotec Security recomiendan dudar siempre de todos aquellos correos o mensajes que soliciten información personal y eliminarlos sin interactuar con ellos.
También te puede interesar:
- Todo lo que las pymes necesitan saber de ciberseguridad está en el diccionario de Hiscox
- Ciberseguridad y economía underground de datos: el cliente espera que las aseguradoras reaccionen