Instituto Nacional de ciberseguridad. Sección Incibe
Protege tu empresa. Sección empresas

[Actualización 12/02/2024] Campaña de phishing para suplantar a la Agencia Tributaria

Fecha de publicación 29/01/2024
Importancia
3 - Media
Recursos Afectados

Cualquier empresario, autónomo o empleado que haga uso del correo electrónico y reciba un mensaje similar al descrito en este aviso.

Descripción

Se ha detectado una campaña de correos electrónicos fraudulentos, de tipo phishing, que intenta robar las credenciales de acceso de las víctimas suplantando a la Agencia Tributaria.

Solución

En caso de haber recibido un correo electrónico como los que se describen en este aviso, es recomendable eliminarlo inmediatamente, sin acceder al enlace ni proporcionar ningún dato, y ponerlo en conocimiento del resto de compañeros y del equipo de Sistemas para evitar posibles víctimas.

Si se ha accedido al enlace y se han introducido las credenciales, se recomienda:

  • Cambiar inmediatamente la contraseña que se ha proporcionado, tanto en este como en todos los servicios donde se utilice.
  • Activar un doble factor de autenticación siempre que sea posible.
  • Reportar el incidente desde la web de INCIBE para evitar que la campaña se siga propagando.
  • Informar a la Agencia Tributaria sobre el correo recibido a través de su página de ayuda.

El phishing es uno de los fraudes más extendidos a través de la Red. Los ciberdelincuentes intentan suplantar la identidad de entidades o personas fiables para obtener información confidencial, datos de acceso o información bancaria. Conoce más tipos de phishing en este artículo de blog.

Detalle

Los correos electrónicos detectados siguen una estructura similar a la descrita a continuación. En primer lugar, el mensaje es impersonal, se dirige al destinatario como “Estimado solicitante” sin aportar ningún tipo de dato que lo identifique.

A continuación, los ciberdelincuentes intentan manipular a la víctima escribiendo en tono de urgencia “NOTIFICACIÓN FINAL: QUEDAN 48 HORAS PARA RESPONDER”. Con ello pretenden que la víctima actúe rápido y sin tiempo para pensar.

Se informa de que existe una nueva notificación para la cuenta de correo electrónico a la que va dirigido el mensaje y se aportan datos, seguramente aleatorios, como el identificador.

En este caso, la supuesta notificación está relacionada con la declaración del impuesto sobre el valor añadido (IVA) y la falta de documentación en la misma.

Posteriormente, se vuelve a hacer hincapié en la urgencia del supuesto trámite, indicando a la víctima que tiene un plazo de 48 horas y que es “imperativo actuar con diligencia” ante la solicitud fraudulenta.

Para terminar, pretendiendo dar más credibilidad al mensaje, se nombra una ley y se firma el mensaje como si de la Agencia Estatal de Administración Tributaria (AEAT) se tratase.

Correo fraudulento AEAT

En el segundo tipo de correo los ciberdelincuentes también hacen referencia a una supuesta notificación y facilitan un enlace de acceso que resulta ser fraudulento. No se descartan mensajes similares a los descritos anteriormente.

En caso de hacer clic en el enlace, se redirige al usuario a una página web fraudulenta, muy similar a la legítima, en la que se solicitan las credenciales de acceso.

Web suplantación AEAT

De introducir los datos y hacer clic en “Entrar”, estos quedarán en manos de los ciberdelincuentes.

Es importante destacar que para acceder al área personal de la Agencia Tributaria, se solicita el certificado digital, DNI electrónico o Cl@ve, nunca el correo electrónico, por lo que el hecho de que en el formulario se pida la dirección de correo electrónico, debería ser señal de sospecha.

Contenido realizado en el marco de los fondos del Plan de Recuperación, Transformación y Resiliencia del Gobierno de España, financiado por la Unión Europea (Next Generation).