En plena campaña de declaraciones IRPF están llegando con frecuencia a nuestros buzones de correo electrónico, y también por whatsapp y SMS, mensajes supuestamente remitidos por la Agencia Tributaria notificando un pago a nuestro favor, con la intención de que quien lo abre, engañado por la información recibida, acceda al enlace que se facilita. En ese caso los ciberdelincuentes tendrán acceso a nuestra información e incluso control sobre nuestro ordenador o teléfono móvil.
Recibir un correo de la Agencia Tributaria siempre es motivo de inquietud, incluso cuando sea notificando que tienes derecho a una devolución o algún tipo de pago a tu favor. La inquietud se vuelve alarma si no recuerdas haber dado a la Agencia Tributaria la dirección de correo electrónico o el número de teléfono como dato de contacto.
Estos correos electrónicos son claramente phishing. El phishing es una técnica de fraude que consiste en el envío de un correo electrónico por parte de un ciberdelincuente a un usuario simulando ser una entidad legítima (red social, banco, institución pública, etc.) con el objetivo de robarle información privada, realizarle un cargo económico o infectar el dispositivo. Para ello, adjuntan archivos infectados o enlaces a páginas fraudulentas en el correo electrónico. Si quieres aprender más sobre el phishing y cómo evitarlo puedes encontrar información muy interesante en estos artículos del blog de la Oficina de Seguridad del Internauta y del Instituto Nacional de Ciberseguridad.
El phishing solo funciona con la colaboración involuntaria del destinatario, que por exceso de confianza termina accediendo a los enlaces maliciosos. Como en todos los timos y estafas, digitales o no, la prudencia y la desconfianza son nuestros mejores aliados.
En el caso concreto de las notificaciones legítimas remitidas por la Agencia Tributaria hay que tener en cuenta que:
- La Agencia Tributaria nunca solicita por correo electrónico o SMS información confidencial, económica o personal, números de cuenta ni números de tarjeta de los contribuyentes, ni adjunta anexos con información de facturas u otros tipos de datos.
- Solo remite notificaciones a los medios de contacto expresamente facilitados y autorizados por los contribuyentes.
- Nunca contienen información sensible ni hacen mención a una cantidad, normalmente se limitan a avisar de que su contenido está disponible por comparecencia en la Sede Electrónica.
- En la sede electrónica de la Agencia Tributaria puedes leer este recomendable Aviso sobre phishing y consejos de seguridad.
Y en cualquier caso, si dudamos de que pueda ser contenido legítimo o no, conviene tener en cuenta que los mensajes de phishing suelen compartir estas características:
- Se remiten desde direcciones no corporativas: ¿Tú crees que la Agencia Tributaria te va a escribir desde una dirección Hotmail?
- Incluyen indicaciones para acceder a direcciones de enlace extrañas y poco claras, en lugar de las que serían propias de un portal de organismo público o entidad financiera.
- Redacción pobre, con errores gramaticales y de ortografía.
- Utilizando lenguaje informal y desenfadado, por ejemplo, empezando el mensaje con Saludos cordiales!!
- Utilizan palabras impropias de nuestro uso: monto en el lugar de importe, pendencia en lugar de litigio, reembolso en lugar de devolución, etc.
- Utilizando la expresión Estimado cliente, algo que nunca somos en el caso de organismos de la Administración: Agencia Tributaria, Seguridad Social, DGT…
Recuerda que la seguridad empieza en ti: prudencia y desconfianza.
