Un falso mensaje de la Agencia Tributaria

La Guardia Civil alerta de una estafa que afecta a los autónomos que pidieron la nueva ayuda de 200 euros

La Guardia Civil advirtió a través de sus redes sociales de una nueva estafa que suplanta la identidad de la Agencia Tributaria solicitando una actualización de datos bancarios para cobrar la ayuda de 200 euros. 
autonomos-compra-tarjeta
La Guardia Civil alerta de una estafa que afecta a los autónomos que pidieron la nueva ayuda de 200 euros
La Guardia Civil alerta de una estafa que afecta a los autónomos que pidieron la nueva ayuda de 200 euros

La Guardia Civil advirtió de un delito que está afectando a muchos de los autónomos y demás personas con bajos ingresos que solicitaron la nueva ayuda de 200 euros. En los últimos días se ha detectado una campaña de smishing donde se suplanta la identidad de la Agencia Tributaria y se solicita a través de un SMS la actualización de determinados datos bancarios para poder cobrar el cheque.

Como en muchas de las anteriores ciberestafas que suplantan la identidad de organismos oficiales, la clave del éxito, según apuntaron distintos expertos a este medio, está en que se trata de un mensaje creíble y que afecta a varios millones de personas. La Agencia Tributaria abrió el pasado´15 de febrero el formulario de solicitud de este cheque que consiste en un pago único de 200 euros, para las personas físicas de bajo nivel de ingresos y patrimonio, que durante el 2022 hayan sido asalariados, autónomos, o beneficiarios de la prestación o subsidio por desempleo.

Desde el momento de la apertura se han registrado miles de solicitudes y se espera superar la cifra de cuatro millones de beneficiarios.  La solicitud de la ayuda es sencilla. El solicitante sólo tiene que incluir correctamente sus datos personales y su cuenta bancaria. Precisamente, la nueva campaña de smishing que ha detectado la Guardia Civil solicita al trabajador por cuenta propia que actualice sus datos bancarios para poder proceder al pago. 

Así es el falso mensaje de la Agencia Tributaria para suplantar datos de los autónomos

Así lo advirtió la Guardia Civil en su cuenta de Twitter. Como aparece en el tweet a continuación, el falso SMS "solicita actualizar la información de pago para recibir una ayuda económica de 200 euros del Gobierno. El objetivo del fraude es robar datos personales o bancarios". 

Aunque el mensaje que reciban los autónomos y demás solicitantes del cheque puede variar ligeramente, el falso SMS del que avisa la Guardia Civil dice lo siguiente: "Agencia Tributaria notificaciones: no hemos podido tramitar la ayuda de 200 euros a tu cuenta bancaria debido a la falta de información de pago. Actualice desde aquí".

Como en cualquiera de estos mensajes, los organismos oficiales advierten que nunca hay que pinchar el enlace y, a poder ser, habría que borrar el mensaje y bloquearlo. 

Distintos organismos alertan del aumento de fraudes por SMS

Algunos organismos como el Banco de España o el Instituto Nacional de Ciberseguridad (INCIBE) han alertado a los autónomos y pequeños negocios de un incremento del fraude de suplantación de identidad conocido como ‘smishing’: el envío de un SMS al móvil simulando ser la Agencia Tributaria, la Seguridad Social, Correos o un banco con el objetivo de robar información privada o hacer un cargo económico, generalmente adjuntado un enlace a una página fraudulenta.

El Banco España recalcó que estos mensajes de texto se están sofisticando cada vez más y pueden llegar a aparecer en la misma sección donde con anterioridad el organismo público o la entidad financiera se ha comunicado con el trabajador por cuenta propia. “Se reemplaza el número de teléfono móvil desde el cual se envía el mensaje por un texto alfanumérico que aparenta ser la entidad, para que el destinatario, cuando lo reciba, no sospeche del emisor y acceda a realizar la operativa solicitada. Esta técnica, conocida como ‘SMS spoofing’, se realiza mediante diversas páginas web y aplicaciones móviles que permiten enviar SMS desde una fuente desconocida suplantando una identidad conocida con relativa facilidad”, explicó  el Organismo Supervisor.

¿Qué pueden hacer los autónomos para detectar y prevenir este fraude?

El Banco de España detalló algunas claves para que los trabajadores por cuenta propia y particulares puedan enfrentarse a estos mensajes de texto fraudulentos:

  • Algunos móviles incorporan detectores de spam y bloquean este tipo de mensajes.
  • “Aunque los recibes en el mismo sitio que el resto de mensajes de la entidad, fíjate en el formato o contenido, o si tienen faltas de ortografía”, afirmó el Banco de España
  • También existen aplicaciones que te permiten conocer la identidad real del que te llama.
  • La entidad nunca te pedirán que les facilites contraseñas o claves completas.
  • Usa el sentido común: coteja que lo que te dicen realmente es verdad, por ejemplo, si te llaman diciéndote que se ha hecho una operación fraudulenta, accede a tu posición y verifica que es cierto. O si no te cuadra lo que te dicen, cuelgas y les llamas tú.
  • Si no has realizado tú una operación, no tiene sentido que te llegue una clave temporal y mucho menos que el banco sea quien te la solicite verbalmente por teléfono. Y no, tu banco no necesita un código para anular esa supuesta operación fraudulenta.

Otros tipos de fraude que afectan a los autónomos

Además del smishing, hay otros tipos de suplantación de identidades conocidas que afectan a los autónomos por diferentes vías. Éstos son algunos de los principales.

Phishing’ telefónico

Con los intentos de phishing a través del teléfono, a veces llamados phishing de voz o ‘vishing’, el atacante llama afirmando representar a su banco local, la policía o incluso la Agencia Tributaria. A continuación, le asustan con algún tipo de problema e insisten en que lo solucione inmediatamente facilitando su información de cuenta o pagando una multa. Normalmente le piden que pague con una transferencia bancaria o con tarjetas prepago, porque son imposibles de rastrear.

Asimismo, el ‘phishing’ vía SMS, o ‘smishing’, es muy similar al ‘vishing’, que realiza el mismo tipo de estafa (algunas veces con un enlace malicioso incorporado en el que hacer clic) por medio de un mensaje de texto SMS.

Spear ‘phishing’

Mientras la mayoría de las campañas de ‘phishing envían correos electrónicos masivos al mayor número posible de personas, el spear phishing es un ataque dirigidoSpear phishing ataca a una persona u organización específica, a menudo con contenido personalizado para la víctima o víctimas. Requiere un reconocimiento previo al ataque para descubrir nombres, cargos, direcciones de correos electrónicos y similares. Los hackers buscan en Internet para relacionar esta información con lo que han averiguado sobre los colegas profesionales del objetivo, junto con los nombres y las relaciones profesionales de los empleados clave en sus organizaciones. Con esto, el autor del phishing crea un correo electrónico creíble.

Según ejemplifica  Malwarebytes, un estafador podría crear un ataque de spear phishing a un empleado cuyas responsabilidades incluyen la capacidad de autorizar pagos. El correo electrónico aparenta proceder de un ejecutivo en la organización, que exige al empleado que envíe un pago sustancial al ejecutivo o a un proveedor del negocio.

‘Phishing’ de clonación

En este ataque, los delincuentes hacen una copia, o clonan, correos electrónicos legítimos enviados anteriormente que contienen un enlace o un archivo adjunto. Luego, el autor del phishing sustituye los enlaces o archivos adjuntos con contenido malicioso disfrazado para hacerse pasar por el auténtico. Los usuarios desprevenidos hacen clic en el enlace o abren el adjunto, lo que a menudo permite tomar el control de sus sistemas. Luego el autor del phishing puede falsificar la identidad de la víctima para hacerse pasar por un remitente de confianza ante otras víctimas de la misma organización.