Desde el Instituto Nacional de Ciberseguridad (INCIBE) han advertido sobre la presencia de una campaña de correos electrónicos fraudulentos de tipo phishing que trata de robar las credenciales de acceso de las víctimas suplantando a la Agencia Tributaria. Esta campaña tiene como objetivo engañar a los destinatarios para comprometan su seguridad.

La campaña de phishing en curso se caracteriza por correos electrónicos en los que el mensaje es impersonal, se dirige al destinatario como “Estimado solicitante” sin aportar ningún tipo de dato que lo identifique.

Por otro lado, los ciberdelincuentes intentan manipular a la víctima escribiendo en tono de urgencia “NOTIFICACIÓN FINAL: QUEDAN 48 HORAS PARA RESPONDER”. Con ello, pretenden que la víctima actúe rápido y sin tiempo para pensar. Tras esto, se informa de que existe una nueva notificación para la cuenta de correo electrónico a la que va dirigido el mensaje y se aportan datos, seguramente aleatorios, como el identificador. En este caso, la supuesta notificación está relacionada con la declaración del impuesto sobre el valor añadido (IVA) y la falta de documentación en la misma.

Posteriormente, se vuelve a hacer hincapié en la urgencia del supuesto trámite, indicando a la víctima que tiene un plazo de 48 horas y que es “imperativo actuar con diligencia” ante la solicitud fraudulenta. Para terminar, pretendiendo dar más credibilidad al mensaje, se nombra una ley y se firma el mensaje como si de la Agencia Estatal de Administración Tributaria (AEAT) se tratase.

En el segundo tipo de correo los ciberdelincuentes también hacen referencia a una supuesta notificación y facilitan un enlace de acceso que resulta ser fraudulento. No se descartan mensajes similares a los descritos anteriormente.

En caso de hacer clic en el enlace, se redirige al usuario a una página web fraudulenta, muy similar a la legítima, en la que se solicitan las credenciales de acceso. De introducir los datos y hacer clic en “Entrar”, estos quedarán en manos de los ciberdelincuentes.

Es importante destacar que para acceder al área personal de la Agencia Tributaria, se solicita el certificado digital, DNI electrónico o Cl@ve, nunca el correo electrónico, por lo que el hecho de que en el formulario se pida la dirección de correo electrónico, debería ser señal de sospecha.

Acciones Recomendadas

En caso de haber recibido un correo electrónico como los que se describen en este aviso, es recomendable eliminarlo inmediatamente, sin acceder al enlace ni proporcionar ningún dato, y ponerlo en conocimiento del resto de compañeros y del equipo de Sistemas para evitar posibles víctimas.

Si se ha accedido al enlace y se han introducido las credenciales, se recomienda:

• Cambiar inmediatamente la contraseña que se ha proporcionado, tanto en este como en todos los servicios donde se utilice.
• Activar un doble factor de autenticación siempre que sea posible.
• Reportar el incidente desde la web de INCIBE para evitar que la campaña se siga propagando.
• Informar a la Agencia Tributaria sobre el correo recibido a través de su página de ayuda.