Con la campaña de la Renta a punto de finalizar el próximo 30 de junio, los ciberdelincuentes están aprovechando la expectativa de miles de contribuyentes que esperan una devolución para lanzar nuevas campañas de fraude. ESET, compañía líder en ciberseguridad, ha detectado una nueva estafa que utiliza falsos reembolsos de Hacienda como gancho para robar información bancaria, documentación personal y credenciales de acceso a entidades financieras.

Según ESET, la campaña comienza con el envío de correos electrónicos que aparentan proceder de la Agencia Tributaria e informan a la víctima de una supuesta devolución de impuestos. El mensaje incluye un enlace que dirige a una página web fraudulenta diseñada para imitar la imagen corporativa del organismo oficial y convencer al usuario de que complete el proceso para recibir el supuesto reembolso.

Aunque este tipo de fraudes son habituales durante la campaña de la Renta, los investigadores de ESET han detectado un elemento especialmente preocupante: además de solicitar los datos de la tarjeta bancaria, los delincuentes requieren fotografías del Documento Nacional de Identidad (DNI) por ambas caras, lo que amplía considerablemente las posibilidades de fraude.

«Con la información recopilada en esta campaña, los delincuentes no solo pueden intentar acceder a las cuentas bancarias de las víctimas, sino también utilizar los documentos robados para suplantar su identidad y realizar operaciones fraudulentas en su nombre«, explica Josep Albors, director de Investigación y Concienciación de ESET España.

Un fraude que combina phishing, robo de identidad e ingeniería social

La investigación realizada por ESET muestra cómo los atacantes intentan obtener progresivamente información cada vez más sensible. Tras acceder al enlace incluido en el correo fraudulento, la víctima es conducida a una página que simula la web de la Agencia Tributaria, donde se le solicita información de su tarjeta bancaria, incluyendo número, fecha de caducidad y código de seguridad.

Posteriormente, los delincuentes solicitan imágenes del DNI y muestran un listado de entidades bancarias para que el usuario seleccione la suya. A continuación, se presentan formularios que reproducen la apariencia de diferentes bancos y en los que se solicitan credenciales de acceso y datos personales adicionales.

La última fase del fraude incorpora incluso una llamada telefónica. Los investigadores sospechan que los delincuentes se hacen pasar por empleados de la entidad bancaria seleccionada para solicitar códigos de verificación o autenticación que les permitan completar transferencias fraudulentas o acceder a los fondos de la víctima.

«Los atacantes están combinando diferentes técnicas para aumentar sus posibilidades de éxito. La llamada telefónica aporta una falsa sensación de legitimidad que puede hacer que algunos usuarios bajen la guardia y faciliten información que nunca deberían compartir«, añade Albors.

Cómo evitar caer en la trampa

Desde ESET recuerdan que organismos como la Agencia Tributaria utilizan canales oficiales para realizar sus comunicaciones y recomiendan desconfiar de cualquier correo electrónico que solicite datos personales o bancarios para gestionar devoluciones fiscales.

Para reducir el riesgo de ser víctima de este tipo de campañas, los expertos aconsejan:

• Verificar siempre la dirección del remitente y desconfiar de correos inesperados relacionados con devoluciones de impuestos.
• No acceder a enlaces recibidos por correo electrónico para realizar gestiones relacionadas con la Agencia Tributaria.
• Comprobar cuidadosamente la dirección web antes de introducir cualquier dato personal o financiero.
• No compartir fotografías del DNI u otros documentos identificativos a través de enlaces recibidos por email.
• Desconfiar de llamadas que soliciten códigos de verificación enviados por SMS o aplicaciones bancarias.
• Contar con soluciones de seguridad capaces de detectar y bloquear correos fraudulentos y páginas web maliciosas.