Implicaciones de la ciberseguridad en la declaración de la renta
¡Hola lectores!
Recién comenzada la campaña de declaración de la renta correspondiente al ejercicio del año 2023, desde el servicio de Cyber Threats & Intelligence de Innotec Security, Part of Accenture, se ha efectuado una investigación acerca de las ciberamenazas más comunes y en auge relacionadas con este periodo fiscal.
Este año la campaña para realizar la declaración de la renta comprende un periodo temporal superior al de años precedentes, puesto que comienza el 3 de abril y el plazo de presentación de solicitudes concluye el 1 de julio, hecho que proporciona a los ciberdelincuentes mayor margen a la hora de diseñar operaciones cibernéticas que suplanten al organismo tributario español o utilicen como señuelo esta campaña.
Teniendo en cuenta además que existe un periodo específico para presentar las solicitudes de declaración tanto en línea (desde el 3 de abril hasta el 1 de julio) como por teléfono con el personal del organismo de la Agencia Tributaria (desde el 7 de mayo hasta el 1 de julio) y presencialmente en las oficinas de la entidad (desde el 3 de junio hasta el 1 de julio), distintos grupos de ciberdelincuentes pueden hacer uso de esta información con el fin de diseñar campañas sofisticadas y desarrolladas a medida para cada uno de los periodos reseñados. Así, es probable que durante todo el ejercicio prevalezcan las campañas de phishing por correo electrónico y smishing y que además desde la segunda semana de mayo también se produzcan operaciones de vishing contra los contribuyentes.
De hecho, ya se han identificado los primeros incidentes relacionados con la campaña de declaración de la renta de este año, puesto que desde finales del mes de marzo se han detectado intentos de smishing en los que cibercriminales desconocidos han suplantado a la Agencia Tributaria informando acerca de un presunto reembolso por un importe de más de 300 euros y en los que se instaba a los usuarios mediante un enlace incorporado en el mensaje a acceder a una página web externa especialmente diseñada.
Ilustración 1. Mensaje de smishing en el que se suplanta a la Agencia Tributaria. Fuente: Elaboración propia
Ilustración 2. Página de phishing en la que se suplanta a la Agencia Tributaria. Fuente: El Español
De acuerdo con la imagen anterior, en esta campaña los ciberdelincuentes habrían diseñado un formulario que cuenta con la apariencia e imagen de marca de la Agencia Tributaria y cuya finalidad radica en que el usuario aporte los detalles de su tarjeta bancaria, incluyendo tanto su numeración completa como su fecha de caducidad y CVV, así como los datos del titular. Incluso, en una etapa posterior se solicita al usuario la introducción de sus datos de telefonía móvil, con la finalidad última de que el código temporal recibido como segundo factor de autenticación (2FA), que garantiza el acceso a la banca online o permite la ejecución de determinadas operaciones financieras, también pueda ser transmitido a los ciberdelincuentes.
De este modo, mientras el usuario considera que está aportando los detalles bancarios para la realización del reembolso, en la práctica los datos son traspasados a los ciberdelincuentes, que pueden utilizarlos para realizar fraude bancario o con fines de comercialización a terceros malintencionados. No obstante, como se puede observar en la ilustración, en ocasiones los ciberdelincuentes no invierten sus recursos en fomentar la credibilidad de la amenaza, puesto que en esta ocasión el phishing se ha alojado en un dominio sospechoso que no guarda relación con el organismo, sino que, por el contrario, abogan por efectuar una propagación indiscriminada a través de listados de usuarios susceptibles de recibir spam, puesto que a mayor número de usuarios que reciban la comunicación más probable será que alguno de ellos crea en ella. Así mismo, en el caso particular mencionado anteriormente también se ha dado a conocer por distintos medios de comunicación que los ciberdelincuentes que desarrollaron el kit de phishing utilizan la aplicación de mensajería instantánea Telegram para generar tanto los dominios en los que se aloja la ciberamenaza como para la filtración de los datos recogidos en la campaña.
En consonancia con lo anterior, con una tendencia al alza en el empleo por actores cibercriminales de técnicas de Phishing as a Service (PhaaS), al igual que ha ocurrido en el pasado con ciberamenazas de esta índole como Frappo o EvilProxy, resulta común que los ciberatacantes utilicen y/o distribuyan kits de phishing preconfigurados y preparados para su uso por terceros, de modo que actores sin demasiados conocimientos y habilidades técnicas pueden emplearlo en su propio beneficio. Esta circunstancia a su vez contribuye al incremento sostenido de campañas de phishing, por lo que resulta previsible considerar que pueda aumentar la cantidad de operaciones que se efectúen durante el periodo fiscal establecido.
Además de lo anterior, también se han producido durante los meses de febrero y marzo campañas de phishing precursoras del escenario de la declaración de la renta y que permiten dilucidar el tipo de operaciones que tendrán lugar o se intensificarán en lo sucesivo. De este modo, hasta el momento han sido preponderantes las campañas de smishing en las que se suplanta al organismo argumentando la tramitación de una devolución monetaria en curso por ajustes de IRPF, la recepción de comunicaciones de la entidad presuntamente dirigidas al usuario y la existencia de supuestas incidencias que revisten un carácter grave y que podrían derivar en la imposición de costosas sanciones económicas para el usuario. Además, en todas las comunicaciones fraudulentas identificadas y, al igual que ocurría en el caso anterior, se instaba a los usuarios a acceder a un enlace externo desde el que se solicitaba al sujeto la introducción de determinados datos de carácter personal o bien a la instalación de una aplicación fraudulenta.
Ilustración 3. Mensaje de smishing en el que se suplanta a la Agencia Tributaria. Fuente: X (@RvstaSegSocial)
Ilustración 4. Mensaje de smishing en el que se suplanta a la Agencia Tributaria. Fuente: X (@nuskafe)
Ilustración 5. Mensaje de smishing en el que se suplanta a la Agencia Tributaria. Fuente: X (@maverick69i)
Por su parte, en aquellos casos en los que se redirige al usuario a la descarga de una aplicación fraudulenta, lo más habitual es que los ciberdelincuentes alojen un determinado tipo de malware en ella, suplantando a tal fin a la Agencia Tributaria. No obstante, también se ha detectado distribución de aplicaciones que no albergan ninguna carga útil y que únicamente tratan de recabar datos, hecho que ya tuvo lugar en el año 2018 con la aparición en Google Play Store de una aplicación denominada “Renta 2018”.
Ilustración 6. Aplicación fraudulenta que suplantaba a la Agencia Tributaria. Fuente: Yahoo!
En términos equiparables, en ocasiones los mensajes de correo electrónico y SMS de phishing y smishing en los que se suplanta a la Agencia Tributaria durante el ejercicio de un periodo de declaración fiscal también tienen por objetivo la distribución de malware, habitualmente especializado en el fraude bancario. Así, a mediados del año 2023 se identificaron campañas de distribución de las familias de malware bancario Grandoreiro y Mekotio, en las que se utilizaban como señuelo pretextos tanto relacionados con presuntos reembolsos de impuestos como con la supuesta aportación de documentación inválida. En el transcurso de esta operación los atacantes también hicieron uso de enlaces externos que en este caso conducían a la descarga de un archivo .zip que almacenaba la carga útil.
Ilustración 7. Mensaje de correo electrónico en el que se suplantaba a la Agencia Tributaria. Fuente: INCIBE
Ilustración 8. Mensaje de correo electrónico en el que se suplantaba a la Agencia Tributaria. Fuente: INCIBE
En último lugar, también resulta preciso hacer referencia a las estafas de vishing en las que los atacantes suplantan a la Agencia Tributaria. En relación con este punto, resulta común tanto que los ciberdelincuentes efectúen llamadas telefónicas suplantando al organismo desde el inicio de la campaña de la renta utilizando como pretexto la posibilidad de concertar una cita para confeccionar la declaración, como desde el periodo de atención telefónica que se establece para elaborarla junto con el personal del organismo, siendo habitual que los cibercriminales aleguen durante la llamada que resulta preciso realizar ciertas modificaciones en el borrador. En estos casos, los atacantes comúnmente pretenden obtener un determinado beneficio económico mediante el empleo de números de telefonía de tarificación especial o bien mediante la recopilación de datos personales o bancarios que se solicitan directamente al usuario.
Con el fin de prevenir el impacto de potenciales ciberataques que pudiesen producirse durante la campaña de declaración de la renta correspondiente al ejercicio del año 2023, la Agencia Tributaria pone a disposición de los usuarios en su página web una serie de recomendaciones y datos con los que pretende reducir su incidencia e información sobre los canales y métodos de atención oficiales del organismo en caso de producirse cualquier evento susceptible de sospecha. Así, se debe reseñar lo siguiente:
- La Agencia Tributaria no requerirá mediante correo electrónico ninguna clase de información sensible o confidencial al usuario en ningún supuesto, como datos bancarios o personales. Del mismo modo, tampoco aportará por este medio ningún documento adjunto con facturas o de cualquier otra índole.
- Además, en caso de precisarse una devolución de impuestos el organismo nunca emitirá el pago a una tarjeta de crédito o débito.
- La tramitación de borradores de declaración de la renta y cualquier otro aspecto relacionado con la campaña se realizará por la entidad gratuitamente, sin que en ningún caso se cobre o facture ninguno de los servicios proporcionados. Como excepción a este punto, el individuo que haga uso de los servicios telefónicos de la Agencia Tributaria a teléfonos con prefijo 901 asumirá el coste compartido de la llamada.
- En caso de tramitar un borrador de declaración con resultado de pago por el individuo, éste siempre se efectuará mediante la página web oficial de la Agencia Tributaria y a través de medios de comercio electrónico seguro.
- Las aplicaciones oficiales de la Agencia Tributaria únicamente se encuentran disponibles de manera segura en las plataformas de descarga App Store, Google Play Store y Huawei AppGallery.
Por nuestra parte, desde Innotec Security, Part of Accenture, se establecen una serie de recomendaciones de ciberseguridad destinadas a minimizar el impacto de potenciales comunicaciones fraudulentas relacionadas con la campaña de declaración de la renta del ejercicio 2023:
- Mantenerse informados acerca de las ciberamenazas más activas y habituales en el presente, como el phishing y el malware.
- Evitar descargar o ejecutar archivos vinculados a enlaces de origen desconocido o adjuntos a mensajes de correo provenientes de remitentes que no sean de confianza y en ningún caso proporcionar información sensible a través de estos medios.
- Evitar acceder a enlaces externos desde correo electrónico o vía SMS ante cualquier indicio de sospecha y muy especialmente si el contenido alojado en la redirección alberga algún formulario o pasarela de pago.
- Revisar la existencia de faltas de ortografía, errores de traducción o errores gramaticales en la expresión constituye siempre una buena práctica en ciberseguridad, pues podrían constituir claros indicativos de la recepción de un correo electrónico o SMS fraudulento.
- Verificar la barra de direcciones del navegador para comprobar si la dirección URL a la que se pretende acceder concuerda con la dirección del sitio web oficial.
- Evitar la descarga de aplicaciones móviles desde plataformas de terceros no oficiales y poner atención sobre aspectos como la fecha de publicación de la aplicación y a los datos del desarrollador.
- Mantenerse escépticos ante cualquier comunicación que afirme provenir de un organismo oficial y exija información de manera urgente.
- Prestar atención a los avisos de tarificación telefónica.
- Utilizar únicamente los canales de comunicación oficiales de la Agencia Tributaria para entablar conversación con la entidad.
Y hasta aquí la entrada de hoy. Espero que os haya sido de ayuda, ¡hasta la próxima!
Bibliografía
Bustos, V. & Llano, A. (2024). ¿Te ha llegado un SMS de la Agencia Tributaria para devolverte dinero? Cuidado con la estafa masiva. El Español. Disponible en: https://www.elespanol.com/invertia/mis-finanzas/llegado-sms-agencia-tributaria-devolverte-dinero-cuidado-estafa-masiva/828667479_0.html.
Sisó, P. V. (2024). Declaración de la renta 2023-2024: novedades para que la devolución de Hacienda sea más alta. Antena 3. Disponible en: https://www.antena3.com/noticias/economia/declaracion-renta-20232024-novedades-que-hacienda-devuelva-mas_20240331660897280999030001c49501.html.
Sin autor (2024). Revista de la Seguridad Social. X. Disponible en: https://twitter.com/RvstaSegSocial/status/1767100958448775344.
Sin autor (2024). Ana NSK. X. Disponible en: https://twitter.com/nuskafe/status/1758547403974582354.
Sin autor (2024). Isidro M. Pérez. X. Disponible en: https://twitter.com/maverick69i/status/1767200318964531602.
Sin autor (2023). Notificaciones fraudulentas suplantan la identidad de la Agencia Tributaria para propagar malware. INCIBE. Disponible en: https://www.incibe.es/ciudadania/avisos/notificaciones-fraudulentas-suplantan-la-identidad-de-la-agencia-tributaria-para.
Sin autor (2018). Mucho ojo: cuelan una app falsa de la Renta en Google Play. Yahoo! Disponible en: https://es.finance.yahoo.com/noticias/mucho-ojo-cuelan-una-app-falsa-de-la-renta-en-google-play-171250974.html.
Sin autor. A través de Internet: páginas web falsas y phishing. Agencia Tributaria. Disponible en: https://sede.agenciatributaria.gob.es/Sede/condiciones-uso-sede-electronica/aviso-seguridad/traves-internet-paginas-web-falsas-phishing.html.
Sin autor. Mensajes de texto (SMS) no enviados por la Agencia Tributaria. Agencia Tributaria. Disponible en: https://sede.agenciatributaria.gob.es/Sede/condiciones-uso-sede-electronica/aviso-seguridad/mensajes-texto-no-enviados-agencia-tributaria.html.
Sin autor. Aplicaciones para móviles. Agencia Tributaria. Disponible en: https://sede.agenciatributaria.gob.es/Sede/condiciones-uso-sede-electronica/aviso-seguridad/aplicaciones-moviles.html.
Sin autor. Servicios telefónicos de cita ajenos a la Agencia Tributaria. Agencia Tributaria. Disponible en: https://sede.agenciatributaria.gob.es/Sede/condiciones-uso-sede-electronica/aviso-seguridad/servicios-telefonicos-cita-previa-ajenos-tributaria.html.
Raquel Puebla González e Itxaso Reboleiro Torca, Analistas de Ciberinteligencia en Innotec Security, Part of Accenture