Actualidad

Contacto

Jueves, 04 Abril 2019 11:18

Campaña de la Renta 2018: ¿cómo evitar ataques de phishing?

  • Las técnicas de suplantación de identidad de la Agencia Tributaria, con el fin de obtener información confidencial de los usuarios, se multiplican de forma exponencial con la llegada, el pasado martes, 2 de abril, de la Campaña de la Renta.
  • Desde Entelgy Innotec Security ofrecemos una serie de consejos para reconocer y evitar este tipo de ataques que, en ocasiones, son el preludio de otros incidentes más relevantes.

El pasado 2 de abril dio comienzo la campaña Renta 2018 y, con ella, la proliferación de ataques de suplantación de identidad de la Agencia Tributaria, a través de la técnica del phishing. Se trata del envío de comunicaciones (a través de correos electrónicos fraudulentos, SMS, mensajes de redes sociales o smartphones)  suplantando la identidad de una persona u organización con el objetivo de que el destinatario revele información personal, como pueden ser credenciales de usuario, datos de sus tarjetas de crédito y de la seguridad social o números de cuentas bancarias. Estos correos, con enlaces a sitios web en teoría conocidos o archivos adjuntos dañinos, son muy habituales y pueden ser la fase inicial de otro tipo de ataques de mayor relevancia. De hecho, suelen ser la primera etapa de un ciberataque para establecer un primer punto de entrada en los sistemas de la víctima y desarrollar ulteriores acciones de espionaje o exfiltración de información.

El medio más utilizado tradicionalmente para llevar a cabo ataques de phishing es a través de mensajes SMS y correos electrónicos. En la mayoría de los casos, el correo no deseado se envía a través de servidores comprometidos, sistemas cliente infectados o de cuentas de correo electrónico legítimas, utilizando información de inicio de sesión robada.

Sin embargo, dado el auge de las aplicaciones de mensajería instantánea como Whatsapp o Telegram, así como de redes sociales, se observa un incremento importante en el envío de mensajes fraudulentos por medio de estos canales, aumentando las posibilidades de que los usuarios caigan en alguno de estos engaños.

Inmersos ya en la campaña Renta 2018, y como ya viene siendo habitual, los ciberdelincuentes no quieren perder la ocasión de estafar a los contribuyentes.

Cómo identificar los mensajes fraudulentos

Cada año, cuando se acerca esta fecha, la propia Agencia Tributaria incluye en su portal web información relevante en relación a los ataques de phishing durante esta época del año. En este sentido, avisan del tipo de mensaje más común dirigido por parte de los ciberdelincuentes por cauces tecnológicos. Concretamente, este suele aludir a supuestos reembolsos de impuestos. Para poder disponer del dinero, el remitente solicita al usuario que acceda a una dirección web, donde se le pedirán datos de cuentas bancarias y tarjetas de crédito. No obstante, la Agencia Tributaria recuerda que nunca solicita por correo electrónico información confidencial, económica o personal, números de cuenta ni números de tarjeta de los contribuyentes. Tampoco paga devoluciones con cargo a tarjetas de crédito, insisten, ni cobra importe alguno por los servicios que presta.

Con el objetivo de evitar estos ciberataques, Entelgy Innotec Security ofrece algunas recomendaciones a tener en cuenta:

  • Observa el dominio del remitente del correo. En este caso comprueba que el dominio de la Agencia Tributaria es aeat.es. Cualquier otro dominio es falso.
  • No abras correos de usuarios desconocidos o que no hayas solicitado: elimínalos directamente y no contestes a ellos.
  • No hagas clic en los hipervínculos o enlaces que te adjunten en el correo, SMS, mensajes de Whatsapp o en redes sociales, dado que pueden redirigir a una web fraudulenta. Si tienes dudas, teclea directamente la dirección web en tu navegador.
  • Ten precaución al descargar ficheros o ejecutables adjuntos de correos, en SMS, mensajes en WhatsApp o en redes sociales, aunque provengan de personas que conoces.
  • Introduce tus datos personales solamente en webs seguras, con protocolo https://, y con un icono de un candado pequeño. Recuerda que ni la AEAT, ni tu banco, te pedirán nunca que envíes tus claves o datos personales por correo. Ante cualquier duda, llama directamente a uno u otro.
  • Revisa periódicamente tus cuentas bancarias para estar al día de cualquier irregularidad.
  • Modifica periódicamente tus contraseñas y utiliza una diferente para cada una de tus cuentas en redes sociales, correos y páginas web. Además, asegúrate de que estas sean robustas, es decir, largas y con caracteres de diferente tipo.
  • Mejor ser prudente. Siempre es mejor rechazar cualquier mensaje que genere dudas o enlace con una web cuya URL no coincida con el Organismo en cuestión.

Como conclusión, desde Entelgy Innotec Security recomendamos dudar siempre de todos aquellos correos o mensajes que soliciten información personal y eliminarlos sin interactuar con ellos. Es decir, hay que evitar clickar en ningún enlace que incluyan o descargar los posibles archivos adjuntos. De esta forma, la declaración de la renta se podrá llevar a cabo de forma (ciber) segura.

Medios

Félix Muñoz (Entelgy Innotec Security) en Radio 5 (RNE) - Campaña de phishing en la Renta 2018

S5 Box