Este tipo de fraudes, como el 'phishing', son habituales todo el año y afectan también a otros organismos, como la Seguridad Social, pero se intensifican en periodos concretos, como la declaración del IRPF, cuando los contribuyentes están más atentos a posibles notificaciones.

El director de investigación y concienciación de ESET España, Josep Albors, señaló que la forma de suplantación más habitual es a través de un correo a los usuarios en el que los ciberdelincuentes se hacen pasar por la Agencia Tributaria. Esta técnica se ha ido perfeccionando, con logotipos oficiales que hacen más creíbles los correos y con menos faltas de ortografía, o incluso sin ellas.

“Hay casos en los que simplemente se utilizan direcciones de correo electrónico comprometidas o temporales y otras en las que, al menos aparentemente, estos emails parecen provenir realmente desde un organismo oficial, siendo más creíbles de cara a las víctimas”, agregó Albors.

Este tipo de correos pueden servir tanto para propagar malware en un fichero adjunto, introducir un enlace para descargar una amenaza o usar ese enlace para dirigir a la víctima a una web preparada para robar sus datos.

Durante la Campaña de la Renta, los contribuyentes también están más expuestos a recibir SMS fraudulentos con un remitente haciéndose pasar por la Agencia Tributaria. Desde ESET advierten de que estos mensajes pueden incluso tener “un identificador que los haga pasar por legítimos”, ya que aparecen identificados como Hacienda o Agencia Tributaria.

El contenido de los SMS suele advertir de un supuesto fallo en la declaración de la renta o advierte de una sanción. Otra modalidad es informar de un abono en la cuenta. En cualquier caso, siempre transmiten al receptor una sensación de urgencia e incluyen un enlace para redirigir a la víctima a páginas web de 'phishing'.

“Ante este tipo de mensajes, lo mejor que podemos hacer es ignorarlos y, si tenemos dudas de si son legítimos, contactar con la Agencia Tributaria por los cauces oficiales, ya sea usando alguno de los teléfonos oficiales o a través de su aplicación móvil oficial”, recomendó Albors.

En Hacienda, también advierten de los peligros del fraude por Internet, no solo durante la Campaña de la Renta, ya que los ciberdelincuentes aprovechan cualquier momento del año para hacerse con los datos personales o bancarios de los contribuyentes. Por lo general, suelen hacer referencia a un reembolso de impuestos inexistente y para cobrarlo exigen aportar datos bancarios y de tarjetas de crédito.

La Agencia Tributaria ya ha detectado este tipo de campañas en otras ocasiones, tanto por correo electrónico como por SMS, por lo que pide a los contribuyentes que no abran esos mensajes y procedan a borrarlos directamente, porque son “un intento de fraude suplantando la imagen de la Agencia Tributaria”.

“La Agencia Tributaria insiste en que nunca solicita por correo electrónico o SMS información confidencial, económica o personal, números de cuenta ni números de tarjeta de los contribuyentes ni adjunta anexos con información de facturas u otros tipos de datos”, detalla en su web.

Además, a mediados de marzo, el Instituto Nacional de Ciberseguridad (Incibe) detectó una campaña de 'phishing' suplantando a la Agencia Tributaria. En estos casos, Incibe recomienda reportarlo en su buzón de incidencias, para recopilar la información, y bloquear y eliminar al remitente.

Para los casos en los que el usuario haya facilitado sus datos, Incibe cuenta con una Línea de Ayuda en Ciberseguridad, para recibir asesoramiento. Además, insta a cambiar las contraseñas de acceso de todas las cuentas, sobre todos las bancarias, y a reunir todas las evidencias posibles sobre el fraude, como capturas de pantalla o enlaces maliciosos.

También anima a las víctimas a presentar una denuncia ante las Fuerzas y Cuerpos de Seguridad del Estado y a consultar su información de forma periódica durante unos meses en Internet, para detectar si los datos personales están expuestos o utilizados de forma indebida.