El auge del “smishing” en la campaña de la Renta: qué es y cómo evitarlo

Los ciberdelincuentes suplantan la identidad de la Agencia Tributaria para robar datos bancarios de los contribuyentes

Publicado el 09 May 2023

80186_32

Inetum, compañía europea de soluciones informáticas y digitales, alerta del auge de ciberataques a través de mensaje de texto, conocido como “smishing” y una de las variantes más frecuentes de “phishing” durante la Campaña de la Renta. Se trata de un intento de fraude en el que se suplanta la identidad del organismo (en este caso, la Agencia Tributaria) y se intenta atraer a la víctima a acceder a enlaces maliciosos que redirigen a páginas controladas por los cibercriminales, o bien, a descargar algún tipo de documento que contiene malware, comprometiendo así los dispositivos de las víctimas y procediendo al robo de credenciales e información.

Además del habitual correo electrónico, (uno de los grandes protagonistas durante 2022 en cuanto a propagación de amenazas) los ciberdelincuentes han incrementado el uso de SMS como vector de ataque en la campaña actual de la Renta, por ejemplo, enviando mensajes de texto SMS a los usuarios de telefonía móvil en donde se incluye un enlace malicioso para su descarga. En él, se señala que el resultado de la campaña ha sido positivo y, por ello, el receptor obtendrá dinero a cambio. Las cantidades pueden variar, aunque estas normalmente oscilan entre los 150 y los 250 euros.

Este tipo de ataques se pueden combinar con otra técnica que implica una llamada al usuario, estos ataques son conocidos como “vishing”, donde se utilizan llamadas telefónicas para persuadir a las víctimas y que compartan información confidencial con diferentes excusas (verificación datos bancarios, acogerse a alguna promoción, etc.). Un ataque de ingeniería social exitoso suele combinar ambas técnicas, un SMS fraudulento y una posterior llamada.

Manuel Calderón Group VP y Director de Ciberseguridad & Identidad Digital de Inetum, subraya que “la propia Agencia Tributaria ha advertido de estas campañas de “smishing”, que por ejemplo ofrecen la posibilidad de concertar cita previa para confeccionar las declaraciones o modificar borradores en las oficinas, alertando que esos números de teléfono le son totalmente ajenos a la misma”. Calderón incide que, además de suponer elevados costes de tarificación para los usuarios, las citas que se obtengan a través de dichos números no son válidas. España está 13 puntos por encima de la media mundial en cuanto a engaños, estafas y fraudes en Internet*.

Cómo evitarlo

  • Hay que tener en cuenta que la Agencia Tributaria nunca solicita por ningún medio información personal ni confidencial del contribuyente. Por ello, se recomienda eliminar todas aquellas comunicaciones que soliciten este tipo de información. Igualmente, hay que estar atentos cuando en el propio cuerpo del mensaje pide un pago o algún tipo de acción ya que hay que recordar que normalmente se debe acceder dentro de la plataforma para ver la resolución de la situación por lo tanto seria otro indicador sospechoso.
  • Es necesario disponer de un antivirus actualizado para evitar infectarse tanto en el móvil como en el ordenador.
  • La Agencia Tributaria solamente dispone de dos apps oficiales, denominadas Agencia Tributaria y Cl@ve PIN”, por lo que es obligatorio cerciorarse que la aplicación descargada sea la oficial, donde sí aparece la Agencia Tributaria como desarrollador. Cabe destacar que, si aparece publicidad, no es la aplicación oficial.

¿Qué te ha parecido este artículo?

Tu opinión es importante para nosotros.

T
Redacción TICPymes

Artículos relacionados

Artículo 1 de 3