El falso correo de Hacienda para estafarte con la declaración de la renta

P.A

ACTUALIDAD

Chema Moya

Un correo que suplanta la identidad de la Agencia Tributaria es la vía de entrada para vaciar la cuenta bancaria de los usuarios

12 may 2023 . Actualizado a las 16:50 h.

La campaña de la declaración de la renta 2022 lleva en marcha casi un mes. Desde el pasado 11 de abril todos los contribuyentes han podido empezar a tramitar las autoliquidaciones del impuesto por vía telemática. Y este momento de rendir cuentas ante el fisco es aprovechado por los estafadores, para tratara de engañar al mayor número de usuarios posibles.

Uno de cada cuatro delitos que se cometen en la comunidad son estafas informáticas, que han crecido un 53,6% en apenas un año, según los datos de la Xunta. En concreto, la trampa de la declaración se repite cada año y en diferentes países. Durante las últimas semanas, la compañía de ciberseguridad ESET ha analizado varias campañas que redirigían a páginas webs que suplantaban a la Agencia Tributaria o que directamente adjuntaban ficheros maliciosos. Es decir, virus.

El correo electrónico es una de las principales puertas de entrada para los ciberdelincuentes. La estafa comienza suplantando la identidad de Hacienda. En la bandeja de entrada de nuestra de cuenta de correo aparece un mensaje advirtiéndonos de que hay algún problema con la declaración de nuestro IRPF (Impuesto sobre la Renta de las Personas Físicas) y nos invitan a pulsar sobre un enlace para revisarlo.

El mensaje parece venir de un remitente legítimo, está correctamente redactado y además coincide con la campaña de la renta, tres elementos que pueden hacer que más de un usuario caiga en la trampa. ¿Qué pasa si pulsamos el enlace? Automáticamente nos redirige a la descarga de un fichero alojado en un servidor de Azure —perteneciente al servicio en la nube de Microsoft. Estas descargas solo funcionan durante unas horas, tiempo suficiente para que los estafadores logren sus objetivos.

Una vez descargado el fichero del sistema, puede comprobarse que se trata de un archivo comprimido, que a su vez contiene otros dos: uno ejecutable y otro en formato xml.  El archivo ejecutable es un código malicioso.  «En este caso, estamos ante otra muestra del troyano bancario, del cual se ha detectado bastante actividad últimamente y que tiene muchas similitudes con el troyano bancario Grandoreiro, con origen en Latinoamérica y que viene realizando campañas dirigidas también a usuarios españoles desde hace más de tres años», explican desde ESET.

Este tipo de troyanos infectan el sistema y después esperan, mientras revisan la actividad del usuario hasta que accede a la web de una entidad bancaria. Cuando detectan ese acceso, los estafadores superponen una web fraudulenta sobre la web legítima y roban al usuario sus credenciales de acceso. Con esta información ya pueden obtener acceso a su cuenta. A partir de ahí, dependiendo de la seguridad de cada quién, pueden vaciar los ahorros en poco tiempo. «Este tipo de campañas son bastante esperables durante estas semanas, aunque, durante los últimos años, hemos visto como los correos suplantando a la Agencia Tributaria se han desestacionalizado y ya no es extraño detectarlos en otros períodos del año», advierten los expertos de ESET.