Los autónomos deben desconfiar de un SMS de la Agencia Tributaria que les informa de una devolución
Con la llegada de la digitalización ha nacido otro tipo de delincuencia. Un método para robar datos confidenciales de forma rápida y con un impacto que podría provocar incluso el cierre de un negocio: los ciberataques. Hoy en día, si algo resulta fundamental para los autónomos es la ciberseguridad. De hecho, aunque muchos trabajadores por cuenta propia piensen que a ellos no les puede ocurrir, diversos estudios realizados en los últimos años aseguran que los ciberdelincuentes no tienen sus ojos puestos en las grandes empresas, sino en las más pequeñas.
Una de las prácticas fraudulentas más utilizadas en los últimos meses es lo que se conoce como phishing, que, tal y como explicaron desde el Instituto Nacional de Ciberseguridad (INCIBE), “son un tipo de fraude que se comete generalmente a través de correo electrónico y cuyo objetivo principal es robar información confidencial y credenciales de acceso”.
El pasado martes 30 de agosto INCIBE advirtió sobre la existencia de un nuevo fraude cibernético: el envío de un SMS en el que se suplanta la identidad de la Agencia Tributaria y se informa sobre el reembolso de una cantidad concreta de dinero, provocando que aquellos que piquen el anzuelo hagan click en un enlace y sean víctimas de un ciberataque. Según los distintos informes, el coste medio de estos ataques puede superar los 30.000 euros, provocando que un alto porcentaje de los negocios perjudicados se vean obligados a cerrar pocos meses después.
Un SMS fraudulento que informa sobre el reembolso de 450 euros
Desde el Instituto Nacional de Ciberseguridad llevan años advirtiendo sobre los nuevos métodos de fraude. Los ciberataques se han convertido en un verdadero problema para todas aquellas personas que caen en la trampa, ya que suponen un elevadísimo coste y unos daños que, en muchas ocasiones, son irreparables. Ya a principios de junio INCIBE advirtió sobre una campaña de phishing en la que se suplantaba la identidad de la Agencia Tributaria a través de un correo electrónico y se intentaba captar la atención informando sobre la devolución de una cantidad correspondiente a la Declaración de la Renta.
Ahora, desde INCIBE han detectado una nueva campaña fraudulenta, parecida a la anterior pero realizada de distinto modo. Esta vez, se suplanta la identidad de la Agencia Tributaria con el envío de un sms, algo que se conoce como smishing.
Dicho sms llega a través de un número de móvil particular y dice lo siguiente: “AGENCIA TRIBUTARIA:Os ha calificado para un reembolso de impuesto de (450,00€). Encontrar mas informacion en pagina web :”. A este mensaje le sigue un enlace, que es donde se encuentra el verdadero peligro. Si bien es cierto que los mensajes detectados por el momento nombran la cantidad de 450 euros, desde INCIBE explicaron que “esta cifra podría variar”.
“Estos mensajes suelen ser fáciles de detectar, ya que la redacción de los mismos suele dar pistas sobre si se trata de un mensaje oficial o no. Si nos fijamos en el mensaje podemos ver que faltan tildes y espacios y la frase no está bien compuesta. Un mensaje proveniente de un organismo oficial nunca tendría fallos de este tipo”, explicó a este medio un experto informático. Aun así, añadió, “muchas personas no se dan cuenta, caen en la trampa y pinchan en el enlace, que es el primer paso que hay que evitar”.
Si el autónomo cae en la trampa, deberá actuar lo antes posible
Si un autónomo -o cualquier contribuyente- recibe este mensaje fraudulento, lo único que tiene que hacer es ignorarlo. Es importante no responder al SMS ni pinchar en el enlace. Tal y como explicaron desde INCIBE, “hay que eliminarlo directamente”. Sin embargo, muchas veces no se detecta a tiempo que se trata de un intento de fraude, se pincha en el enlace y se cae en la trampa.
En este caso, tal y como recomiendan los expertos, si se han facilitado las credenciales de la cuenta bancaria, “lo más importante es modificar al instante las claves de acceso y contactar con el banco lo antes posible para informar sobre lo sucedido”. Además, explicaron desde INCIBE, “hay que recopilar todas las pruebas y contactar con las Fuerzas y Cuerpos de Seguridad del Estado para presentar una denuncia”.
¿Qué son el phishing y el smishing?
Tal y como explicaron desde el Instituto Nacional de Ciberseguridad, tanto el phishing como el smishing son un tipo de fraude cuyo objetivo principal es robar información confidencial y credenciales de acceso. El primero se realiza a través de correo electrónico, mientras que el segundo se hace mediante sms. Para engañar a las víctimas, los ciberdelincuentes suelen suplantar la identidad de empresas (como bancos, empresas de logística o empresas energéticas) y de organismos oficiales (como la Agencia Tributaria o la Seguridad Social).
“Este tipo de ciberataques contienen en el cuerpo del mensaje un enlace que lleva a una página web fraudulenta, generalmente con la misma estética que la página web legítima a la que intenta suplantar. En dicha web se solicita la información confidencial que se desea sustraer y, para ofrecer más veracidad, suele utilizar un nombre de dominio similar al legítimo”, explicaron desde INCIBE.
Normalmente, una vez se ha facilitado la información, suele producirse una redirección a la página web original de la empresa u organismo suplantado, con el objetivo de que el fraude pase desapercibido durante más tiempo.
Estas son las claves para detectar una campaña de phishing o smishing
Si bien es cierto que los ciberdelincuentes consiguen en muchas ocasiones lo que quieren, no es una tarea compleja detectar que este tipo de mensajes son parte de una campaña de fraude. Esto puede conseguirse al identificar a tiempo una serie de factores que suelen tener en común este tipo de campañas. Tal y como recoge el portal web de INCIBE, estas son las características que suelen tener este tipo de mensajes.
- Los mensajes fraudulentos en ocasiones contienen remitentes que no coinciden con la organización a la que supuestamente representan. Aun así, puede suceder que se haya falseado el remitente, logrando que parezca que proviene de la entidad legítima.
- Los ciberdelincuentes suelen utilizar como gancho determinados temas que generan sensación de urgencia a la persona que los recibe. Por ello, suelen usarse temas como cancelación de cuentas bancarias, multas o sanciones, o pagos y reembolsos (como es el caso de esta nueva campaña fraudulenta).
- Los enlaces suelen aparentar que corresponden a la web legítima, pero en realidad no son iguales. Por ello es necesario realizar una comprobación antes de pinchar.
- Este tipo de comunicaciones suelen contener un mensaje genérico, sin datos personales. Sin embargo, las comunicaciones oficiales suelen ser personales y utilizan datos como el nombre o el apellido.
- La ortografía y la gramática es clave para detectar un mensaje fraudulento. Normalmente suelen contener errores de este tipo, algo que nunca sucederá si se trata de un mensaje o aviso proveniente de una entidad u organismo oficial.
Aun así, en caso de duda, lo más aconsejable es contactar directamente con la entidad implicada a través de sus canales oficiales. De esta manera se podrá evitar a ciencia cierta un ciberataque y se podrán mantener a salvo los datos personales.