Desde la cuenta oficial de Soporte Técnico de la Agencia Tributaria en Twitter, han confirmado la existencia una campaña fraudulenta, en la que se suplanta la identidad de la propia Agencia Tributaria. El correo malicioso informa al contribuyente que le corresponde un supuesto reembolso económico, y le proporciona un enlace a una web con un formulario cuyo fin es obtener la información personal y bancaria de la víctima.

Recursos afectados

Aquellos usuarios que reciban alguno de los correos electrónicos detallados o de características similares y envíen sus datos para obtener el supuesto reembolso de dinero.

Solución

Si has sido víctima de este engaño:

  1. Si has facilitado tus datos personales en la página web maliciosa, vigila periódicamente qué información tuya circula por Internet para detectar si tus datos privados están siendo utilizados sin tu consentimiento. Practicar "egosurfing" te permitirá controlar qué información sobre ti hay en la red.
  2. Si tras realizar una búsqueda en Internet de tu información personal encuentras algo que no te gusta o se está ofreciendo indebidamente información sobre ti, tienes a tu disposición los derechos de acceso, rectificación, cancelación u oposición (ARCO) al tratamiento de tus datos personales. La Agencia Española de Protección de Datos te proporciona las pautas para que los puedas ejercer.
  3. Del mismo modo, si has facilitado datos bancarios, debes contactar directamente con tu banco para tomar junto a ellos las medidas de seguridad que correspondan, para evitar que te realicen cargos adicionales.
  4. También, si has facilitado tu número de teléfono móvil, contacta lo antes posible con la operadora de telefonía para que bloqueen los números SMS Premium y revisen si se ha realizado algún cargo sin tu consentimiento.
  5. Denuncia la situación ante la Agencia Española de Protección de Datos y/o ante las Fuerzas y Cuerpos de Seguridad del Estado (FCSE).

Para evitar este tipo de engaños, la mejor recomendación es no introducir NUNCA datos personales, bancarios ni el número de teléfono móvil en páginas web de dudosa reputación, que no te inspiren confianza o que te hayan llegado sin ser solicitados, como sería el de este aviso de seguridad.

En caso de duda, siempre se recomienda consultar directamente con las empresas implicadas a través de los mecanismos que facilitan a los usuarios para tal fin. La mayoría de las empresas tienen cuentas en redes sociales (Facebook o Twitter) a través de las cuales contactar con ellas directamente y consultar dudas.

Detalles

Los mensajes de esta campaña fraudulenta se distribuyen a través de correos electrónicos, en donde se comunica al destinatario que, tras el último cálculo de sus actividades fiscales, le corresponde un reembolso de 384,56 €. A continuación, mostramos un ejemplo de email de los que está circulando.

Email phishing Agencia Tributaria

Si el usuario hace clic en el enlace incluido al final del correo, es dirigido a una página web diseñada para hacerse pasar por una web legítima de la Agencia Tributaria (fraude de tipo phishing). Esta página utiliza un certificado digital con el fin de que el navegador muestre que la conexión es segura y así inspirar mayor confianza al usuario.

Dentro de esta web se incluye un formulario en el que se solicita, en primer lugar, un documento de identificación y la fecha de nacimiento.

Página phishing Agencia Tributaria

A continuación, tras introducir estos datos y seleccionar el botón Enviar, la página muestra un segundo formulario, en el que se solicita información relativa a la tarjeta de crédito de la víctima (número de tarjeta de crédito, tipo, fecha de vencimiento y CSC), así como un número de teléfono.

Página phishing Agencia Tributaria

Al finalizar de rellenar todos los campos y enviar el informe, el usuario es redirigido automáticamente a la página de inicio de la web oficial de la Agencia Tributaria para dotar de mayor credibilidad al fraude.

Página web oficial Agencia Tributaria

Desde la cuenta de Twitter de Soporte Técnico de la Agencia Tributaria están informando a los usuarios sobre el correo fraudulento. Así mismo, proporcionan un enlace a un aviso de seguridad en su web, que contiene más información sobre este y otros fraudes electrónicos.

Para prevenir la situación

Como ya hemos mencionado en el apartado solución de este aviso de seguridad, para evitar este tipo de engaños, la mejor recomendación es no introducir NUNCA ni datos personales, ni bancarios, ni el número de teléfono móvil en páginas web online de dudosa reputación, que no te inspiren confianza o que te hayan llegado sin ser solicitados.

En caso de duda, siempre se recomienda consultar directamente con los organismos implicados, en este caso, contactando directamente con la Agencia Tributaria.

No es la primera vez que alertamos desde la OSI de este tipo de campañas maliciosas, anteriormente hemos publicado avisos de otras campañas de phishing haciéndose pasar por la Agencia Tributaria para el robo de dinero o secuestrar tu ordenador, entre otras.