El Agencia Tributaria ha emitido una alerta urgente sobre la proliferación de una nueva campaña de estafa electrónica que circula por todo el país. El fraude se presenta en forma de correos electrónicos aparentemente enviados desde direcciones oficiales con el dominio ‘@aeat.es‘.

Una estafa que se ha vuelto muy común en las últimas semanas, siguiendo un modus operandi en el que informan al destinatario de una supuesta obligación tributaria urgente pendiente. Sin embargo, esta es una de las trampas clásicas que hacen uso de suplantación de identidady que están cuidadosamente diseñados para engañar al usuario y robar información confidencial.

Así utilizan los ciberdelincuentes el spoofing para engañar a miles de españoles

Mucha gente ya ha caído en el engaño, y no sin razón. Y el mensaje fraudulento llega de una dirección que parece legítimalo cual es fácilmente engañoso. En su contenido, los ciberdelincuentes advierten sobre una notificación fiscal pendiente o un pago inminente, con el objetivo de generar una sensación de urgencia y preocupación en el receptor, como suele ocurrir en estos casos.

El correo también incluye un archivo adjunto o enlace que supuestamente contiene información detallada sobre la obligación tributaria. Sin embargo, cuando abre dicho archivo o hace clic en el enlace, el usuario es redirigido a una página web falsa que imita con gran precisión el diseño de la propia Agencia Tributariaque es precisamente el aspecto que despista a los usuarios.

En ese sitio web se le pide al usuario que ingrese sus datos personales, bancarios o de acceso a la Sede Electrónicaa la que acceden los usuarios creyendo que están en contacto con la propia Agencia Tributaria. Precisamente este hecho aparentemente inocente permite a los estafadores robar información confidencial y posteriormente utilizarlo con fines delictivos.

Pero ¿cómo es posible que hagan esto? Como lo indica el Instituto Nacional de Ciberseguridadmás comúnmente conocido como INCIBE, y como hemos comentado anteriormente, este tipo de fraude se encuadra dentro de lo que se conoce como correo electrónico suplantación de identidaduna técnica con la que los atacantes falsifican la dirección del remitente para que el mensaje parezca provenir de una entidad oficial.

Por su parte, INCIBE pone especial énfasis en resaltar que los ciberdelincuentes No han hackeado el sistema ni han accedido al dominio de la Agencia Tributariapero utilizan un antiguo protocolo de transferencia de correo electrónico que no tiene mecanismos de verificación de identidad. Aprovechando esta vulnerabilidad hacen parecer que el correo electrónico realmente procede de la AEAT.

El objetivo de los ciberdelincuentes es claro: conseguir que el usuario confíe en la autenticidad del mensaje, abra los archivos adjuntos o acceda a los enlaces maliciosos, momento en el que se produce una descarga de software espía o un robo de credenciales. Y con este sencillo modus operandi, cada semana se cobran cientos de víctimas.

La Agencia Tributaria se adelanta y ofrece una serie de medidas preventivas para no caer en el engaño

La Agencia Tributaria ha confirmado que el robo de dominio “No es algo especialmente complejo ni extraordinario”aunque recalcan que La organización cuenta con sistemas de seguridad avanzados. para prevenir este tipo de ataques. Por lo tanto, en su sitio web oficialla Agencia ha publicado un aviso específico sobre esta campañadonde se explica detalladamente cómo opera la estafa y qué pasos deben seguir los ciudadanos para protegerse.

Y como destacan, todos estos protocolos de seguridad permiten a los principales proveedores de correo electrónico, como Gmail, Outlook o Yahoorechazar mensajes que no sean auténticos. Sin embargo, la AEAT reconoce que A veces los filtros no logran detectar el engañoalgunos de estos correos electrónicos fraudulentos acaban llegando a los buzones de correo de los usuarios.

En el siguiente paso en materia de medidas preventivas, la Agencia Tributaria recuerda que nunca envía archivos adjuntos a correos electrónicos con información sobre facturas, pagos o datos personales. Cualquier comunicación oficial se realiza a través de la Sede Electrónica, a la que el ciudadano debe acceder ingresando directamente la dirección oficial en el navegadoral que también puedes acceder pinchando en este enlace.

Asimismo, la organización recomienda No haga clic en enlaces ni descargue archivos de fuentes desconocidasincluso si el correo electrónico parece auténtico o está firmado con logotipos oficiales. En caso de duda es preferible borrar el mensaje o contactar directamente con la Agencia Tributaria a través de sus canales oficiales.

INCIBE, por su parte, aconseja Comprueba siempre el certificado digital del sitio web. antes de introducir cualquier dato sensible, así como mantener actualizado el software antivirus y el sistema operativo del dispositivo. Si un usuario sospecha que ha sido víctima de un fraude, deberá Cambie inmediatamente sus contraseñas y comuníquese con las autoridades competentes..

Y, en palabras del propio INCIBE, “La mejor defensa es la información”. Desconfiar, comprobar el origen y acceder siempre por canales oficiales son los pasos imprescindibles para no caer en un fraude que, aunque sofisticado, puede neutralizarse con una simple dosis de precaución.