¿Qué ciberriesgos corremos a la hora de hacer la declaración de la renta?
- SOCIEDAD DIGITAL
Un estudio de S21sec señala que los ciberdelincuentes aprovechan el período de presentación de la declaración de la renta para aumentar sus acciones de phishing, smishing o vishing, o sea, engaños desde el e-mail, el sms o la llamada telefónica. La ingeniería social, el robo de credenciales bancarias y datos personales, el compromiso de redes y el ransomware son sus principales acciones.
Hasta el próximo 30 de junio, los contribuyentes pueden presentar ante Hacienda la declaración del IRPF. Ésta puede hacerse por Internet, pero los usuarios deben saber que no están exentos de ciertos riesgos. Especialmente, el robo de datos bancarios, según apunta un informe de S21sec.
El texto prevé un incremento de ciberdelitos por parte de los hackers, con la ingeniería social, el robo de credenciales bancarias y datos personales, el compromiso de redes y el ransomware como principales acciones. “Los ciberdelincuentes utilizan un conjunto de tácticas, técnicas y procedimientos (conocidos como TTP) para defraudar y estafar a los contribuyentes. Este fraude suele comenzar en los meses previos al plazo de presentación de la renta, pero alcanza su punto máximo durante la campaña y se extienden, aunque con menos intensidad, a los meses posteriores”, señala Sonia Fernández, responsable del equipo de inteligencia de S21sec
Utilizando el anzuelo del periodo de recaudación, una de las estafas más recurrentes es el phishing, un método de engaño que se sirve del correo electrónico. Durante la campaña de la renta, los ciberdelincuentes envían correos masivos fraudulentos. El objetivo es el robo de datos personales o bancarios, ya sea a través de la remisión de la víctima a una página web falsa que suplanta a la de la Agencia Tributaria o mediante la descarga de ficheros con programas maliciosos. “El contenido del correo contiene numerosos errores gramaticales que hacen desconfiar de su veracidad y, por tanto, de su procedencia”, advierte Fernández.
También se usa el smishing o envío de mensajes de texto (SMS) que incluyen enlaces maliciosos. Ofrecen una URL para concertar cita previa o modificar el borrador. Si la víctima accede, aparecerá un sitio web en el que encontrará un formulario donde se recogen datos personales y financieros.
Los estafadores se sirven igualmente del canal telefónico para engañar a ciudadanos y empresas con el gancho del IRPF. El vishing utiliza la metodología VoIP (voz sobre IP) a través de llamadas telefónicas haciéndose pasar por la Agencia Tributaria para llevar a cabo ingeniería social y robar información de los contribuyentes.
Por otro lado, y aprovechando que en 2018 se lanzó la aplicación oficial de la Agencia Tributaria para los sistemas operativos iOS y Android, a través de la cual es posible realizar diversos trámites y generar y presentar la declaración de renta, los ciberdelincuentes a menudo se hacen pasar por aplicaciones legítimas engañando a los usuarios para que se descarguen una app infectada con malware con la finalidad de sustraer credenciales al intentar iniciar sesión e introducir datos.
Los expertos de S21sec recomiendan disponer de un antivirus actualizado y, en caso de haber instalado cualquier archivo sospechoso, desinfectar el dispositivo. La Agencia Tributaria nunca solicita por correo electrónico información confidencial.
