La Policía Nacional ha alertado de nuevas campañas de smishing en las que se suplanta la identidad de la Agencia Tributaria. Los ciberdelincuentes solicitan a las víctimas la información de su tarjeta bancaria para recibir el reembolso de un impuesto o una devolución de la renta de 2022.
Agentes de La Rioja han informado sobre un intento de estafa masivo que ha llegado a través de SMS a los móviles de los ciudadanos. No es la primera vez que se registra este tipo de estafas; hace unos meses la Policía de La Rioja alertaba de una campaña de suplantación de identidad de la Seguridad Social.
Por su parte, el Instituto Nacional de Ciberseguridad (INCIBE) ha dado aviso de las últimas campañas de smishing detectadas ofreciendo los consejos que recopilamos a continuación.
Smishing que suplanta a la Agencia Tributaria
La finalidad de las campañas de smishing es robar los datos personales y bancarios de las víctimas por medio de una página web fraudulenta que contiene un formulario.
Algunos de los SMS identificados «contienen errores ortográficos y gramaticales en su redacción, lo que hace sospechar de su veracidad», aclaran desde INCIBE. Contrariamente, otros textos fraudulentos no presentan faltas ortográficas, «por lo que hacen más complicada su identificación».
Al analizar la URL que del mensaje, es posible comprobar que no pertenece al dominio oficial de la Agencia Tributaria. Por tanto, pinchar en el enlace redirigirá a una web maliciosa, que solicitará a través de un formulario la siguiente información: nombre completo o nombre y apellidos, número de tarjeta o cuenta bancaria, fecha de caducidad, código de seguridad, PIN de seguridad, DNI o teléfono.
Los consejos de INCIBE
INCIBE informa que ante cualquier duda se puede consultar el aviso de seguridad de la campaña de la renta 2022, donde se indica cómo se realizan realmente las notificaciones. Además aclaran que es importante no pinchar en el enlace de este tipo de SMS, al mismo tiempo que se aconseja eliminarlo. Si se ha accedido al enlace facilitando los datos, desde INCIBE avisan que es necesario seguir estos pasos:
- Notificar al banco y bloquear todos los movimientos.
- Cambiar los códigos de seguridad y el PIN de la tarjeta de crédito.
- Revisar los movimientos realizados en la cuenta bancaria durante los meses siguientes.
- Reunir las evidencias para denunciar el fraude a las Fuerzas y Cuerpos de Seguridad del Estado. Después será necesario presentar una copia de la denuncia al banco.
Desde el Instituto Nacional de Ciberseguridad recomiendan también realizar un egosurfing para asegurarse de que no se hayan compartido los datos personales, utilizando herramientas como Google Dorks. Al encontrar los datos, se podrá solicitar el derecho al olvido a través de la Agencia Española de Protección de Datos.