INCIBE alerta de nuevo sobre los correos que suplantan a Hacienda para robar datos de los autónomos

El Instituto Nacional de Ciberseguridad (INCIBE) ha alertado sobre una nueva campaña de correos electrónicos fraudulentos, de tipo phishing, que, como ya sucedió en otras ocasiones, intenta robar las credenciales de acceso de los autónomos, así como cualquier otro tipo de información, haciéndose pasar por la Agencia Tributaria.

Los afectados están siendo empresarios, autónomos o empleados de los mismos que hacen uso del correo electrónico. Desde INCIBE han facilitado dos ejemplos de correos electrónicos que se están recibiendo, así como lo que se debe hacer si llega alguno al buzón de entrada y se comete el error de abrirlo. Por su parte, la Agencia Tributaria ha emitido algunas advertencias y desde la Asociación Española de Asesores Fiscales y Gestores Tributarios (ASEFIGET) han explicado a este diario que Hacienda nunca citaría a un autónomo de esa manera y nunca enviaría una notificación que hubiera que contestar en 48 horas.

El phishing es uno de los fraudes más extendidos a través de la Red. Los ciberdelincuentes intentan suplantar la identidad de entidades o personas fiables para obtener información confidencial, datos de acceso o datos bancarios. Y, según explica INCIBE, los afectados están siendo y pueden ser “empresarios, autónomos o empleados de los mismos que hagan uso del correo electrónico y reciban este tipo de mensaje”. Mediante un enlace, que figura en el correo electrónico recibido, se redirige a una página web que suplanta a la legítima de la AEAT y pide al autónomo que introduzca datos personales. Con lo cual, éstos son facilitados a los ciberdelincuentes.

Los correos falsos de Hacienda dan a los autónomos 48 horas para responder

Los correos electrónicos que ha detectado INCIBE contienen un mensaje impersonal, que se dirige al destinatario como “Estimado solicitante”, sin aportar ningún tipo de dato, nombre o apellidos que lo identifique. Y, además, los ciberdelincuentes intentan manipular a la víctima con frases que contienen carácter de urgencia, como “notificación final: quedan 48 horas para responder”. Con ello pretenden que la víctima actúe rápido y sin tiempo para pensar.

También añaden en el texto que existe una nueva notificación para la cuenta de correo electrónico a la que va dirigido ese mensaje y aportan datos, seguramente aleatorios, como un número de identificador. La supuesta notificación suele estar relacionada con la declaración del Impuesto sobre el Valor Añadido (IVA) y la falta de documentación en la misma. Y de nuevo vuelven a hacer hincapié en la urgencia del supuesto trámite, indicando que hay un plazo de 48 horas y que es “imperativo actuar con diligencia” ante la solicitud fraudulenta.

Para terminar, y pretendiendo dar más credibilidad al mensaje, se cita una ley y se firma el mensaje como si de la Agencia Estatal de Administración Tributaria (AEAT) se tratase.

Son dos los modelos de correos electrónicos que se están recibiendo, según INCIBE. Este es el primero:

En el segundo tipo de mail, los ciberdelincuentes también hacen referencia a una supuesta notificación y facilitan un enlace de acceso que resulta ser fraudulento.

Si se pincha en el enlace, redirige a la víctima a una página web falsa, muy similar a la legítima de la AEAT, en la que se solicitan las credenciales de acceso, con su correo electrónico y la contraseña de ese correo electrónico.

Según avisa INCIBE, estos son los dos tipos de textos que contienen los mails detectados, pero “no se puede descartar que estén circulando mensajes similares a los descritos anteriormente”.

¿Qué deben hacer los autónomos si reciben uno de estos correos electrónicos?

Lo primero que INCIBE destacó es que “para acceder al área personal de la Agencia Tributaria, se solicita el certificado digital, DNI electrónico o Cl@ve, pero nunca el correo electrónico, por lo que el hecho de que en el formulario se pida la dirección de correo electrónico, debe ser señal de sospecha”.

Recomiendan, además, eliminarlo inmediatamente sin acceder al enlace ni proporcionar ningún dato, y ponerlo en conocimiento del resto de compañeros y equipo de trabajo. Ahora bien, si se ha accedido al enlace y se han introducido las credenciales, se pueden seguir estos pasos:

• Cambiar inmediatamente la contraseña que se ha introducido en todos los servicios donde se utilice la misma.
• Activar un doble factor de autenticación siempre que sea posible.
• Reportar el incidente desde la web de INCIBE para evitar que la campaña se siga propagando.
• Informar a la Agencia Tributaria sobre el correo recibido a través de su página de ayuda.

La AEAT advierte sobre los correos falsos que suplantan su identidad

Según la Agencia Tributaria, la mejor medida es la prevención ante comunicaciones sospechosas que incluyan la petición de datos bancarios, y recuerda y advierte que por su parte:

• Nunca solicita por correo electrónico información confidencial, económica o personal, números de cuenta ni números de tarjeta ni adjunta anexos con información de facturas u otros tipos de datos.
• Nunca realiza devoluciones a tarjetas de crédito o débito.
• Nunca cobra importe alguno por los servicios que presta. La persona que los utiliza solo asumirá el coste compartido de las llamadas a teléfonos 901.

Hacienda da de plazo hasta diez días hábiles para contestar un requerimiento real

Por otra parte, hay que llamar la atención a ese carácter de urgencia que muestra el cuerpo del mensaje, del cual alerta INCIBE. El plazo que ofrece la Agencia Tributaria para acceder a las notificaciones electrónicas viene determinado en el artículo 43 de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas: “Las notificaciones por medios electrónicos se entenderán practicadas en el momento en que se produzca el acceso a su contenido. Cuando la notificación por medios electrónicos sea de carácter obligatorio, o haya sido expresamente elegida por el interesado, se entenderá rechazada cuando hayan transcurrido diez días naturales desde la puesta a disposición de la notificación sin que se acceda a su contenido”. Es decir, hay diez días para acceder a la notificación electrónica.

Y una vez abierta, hay también un plazo para contestar que puede ser superior a esos diez días. Desde la Asociación Española de Asesores Fiscales y Gestores Ttributarios (ASEFIGET), su presidente, Adolfo Jiménez, explicó a este diario que Hacienda nunca citaría a un autónomo o empresario de esa manera y nunca enviaría una notificación que hubiera que contestar en 48 horas.

“El plazo mínimo que otorga Hacienda para solicitar datos o comprobar alguna situación son diez días hábiles, que empiezan a contar al día siguiente de la recepción del comunicado al que ya se haya accedido”. Y hay plazos más amplios, según para qué otra gestión o requerimiento, pero nunca inferiores a los diez días”, aseguró Adolfo Jiménez.

Además, este mínimo plazo de diez días “se puede ampliar en un 50%”, añadió. “Si es de diez días, Hacienda tiene la obligación de conceder cinco más, si así se necesitan”. Y si, por ejemplo, ya se entra en fase de recurso, el plazo es de un mes, puntualizó. “Hacienda siempre marca un plazo de diez días en adelante, nunca inferior a ello”, concluyó.