Los ciberdelincuentes están suplantando a la Agencia Tributaria al filo de la campaña de la renta

La campaña de la renta está a punto de empezar. A partir del 11 de abril, los contribuyentes españoles pueden empezar a presentar sus declaraciones.

Al igual que otros años, los ciberdelincuentes se están preparando para engañar a los más incautos con motivo de esta obligación de los ciudadanos a rendir cuentas con el Estado. Aunque durante años las declaraciones se presentaban en formato papel, ahora la digitalización ha ganado presencia y es más fácil para los criminales cibernéticos causar daños.

La firma de seguridad ESET ha detectado intentos de suplantar a la Agencia Tributaria a través del correo electrónico justo antes del inicio de la campaña de la renta 2022. Los mensajes descubiertos reutilizan tácticas, incluidas plantillas empleadas con anterioridad.

En uno de los casos analizados por ESET, se alerta al usuario de una supuesta notificación electrónica de la Administración y se ofrece un enlace que dice dirigir a una web oficial, cuando en realidad es una copia del sitio legítimo que muestra un dominio similar e incluso un certificado de seguridad. La extensión utilizada en la URL es .bz, correspondiente a Belize, algo que no cuadra con la Agencia Tributaria española. Otra cuestión que debería poner en alerta a los internauta es que el dominio fue registrado hace apenas dos meses desde Moscú.

“Con respecto al certificado de seguridad, es ya una práctica común que los delincuentes lo incluyan en sus webs fraudulentas, ya que muchos usuarios siguen pensando que este certificado y el símbolo del candado que confirma su posesión significan que la web es segura. Nada más lejos de la realidad”, señala Josep Albors, director de investigación y concienciación de ESET España, “ya que el certificado de seguridad solo nos indica que los datos enviados desde nuestro dispositivo a esta web se transmiten por un canal cifrado, no que la web sea segura”.

De hecho, el certificado en cuestión tiene unos días de vida. Los autores del ataque lo sacaron para lanzar esta acción de phishing con motivo de la proximidad de la campaña de la renta.

El objetivo final es robar las credenciales de los usuarios, incluidas las del correo electrónico, que pueden ser aprovechadas para acceder a todo tipo de servicios online o terminar en la dark web.

Otra técnica que también se está desplegando estos días previos al inicio de la campaña tributaria es el envío de un archivo adjunto malicioso que esconde un infostealer, pensado para hacerse con información personal almacenada en los sistemas infectados. Se trata de un procedimiento más trabajado que el anterior. En vez de engañar a los usuarios para que sean ellos los que introduzcan sus datos manualmente, un programa malicioso se encarga de recopilar la información de interés.

En este caso, el remitente del correo con el que se inicia la estafa parece estar relacionado con la Fábrica Nacional de La Moneda y Timbre, pero el texto vuelve a informar de una supuesta notificación de la Agencia Tributaria.

El comprimido .bat que acompaña al email es un fichero ejecutable con extensión renombrada que encierra el código malicioso para desencadenar la descarga de un malware en el sistema. Se trata, concretamente, de una variante del troyano NSIS/Injector.BVJ, a menudo utilizado como malware de primera fase para ejecutar la carga maliciosa elegida. ESET explica que los delincuentes han optado por un infostealer que se hace con las credenciales de aplicaciones de uso cotidiano como navegadores de internet, los clientes de correo y FTP o las redes VPN, por ejemplo.

“Vistos estos ejemplos y sabiendo que la campaña de la renta no ha hecho más que empezar en nuestro país, no será extraño ver ejemplos similares durante las próximas semanas o meses”, prevé Josep Albors, “por lo que debemos aprender a identificar este tipo de correos maliciosos para descartarlos nada más recibirlos y contar con soluciones de seguridad capaces de identificar las amenazas que suelen contener”.

Los expertos recomiendan no abrir adjuntos ni pinchar en enlaces que llegan en correos electrónicos no deseados, revisar quién es el remitente y desconfiar de los mensajes que solicitan información personal.