Coincidiendo con el inicio de la campaña de la Renta 2022, la Oficina de Seguridad del Internauta (OSI) ha detectado una campaña de smishing que suplanta a La Moncloa y a varias entidades bancarias (CaixaBank, BBVA y Santander) y que notifica un supuesto reembolso de impuestos.
En esta ocasión, los ciberdelincuentes adjuntan en el mensaje de texto un enlace que redirige al usuario a una web donde supuestamente puede reclamar el reembolso de los impuestos. A su vez, esta página redirige a diferentes webs maliciosas que suplantan la página web de la entidad bancaria de cada usuario.
Si has recibido un SMS como ese, elimínalo lo antes posible, ya que se trata de una estafa con la finalidad de robar las contraseñas de los incautos.
Moncloa no notifica un reembolso de impuestos
En esta ocasión, los estafadores envían un SMS suplantando a Moncloa para notificar un supuesto reembolso de impuestos. “Aun no ha recibido el reembolso anual de impuestos para 2022-2023. Reclama tu devolución de 437,78€” (sic), se puede leer en el mensaje. A continuación, se incluye un enlace donde supuestamente el usuario puede reclamar dicha devolución.
Al hacer clic en el enlace, se redirige a una página web maliciosa similar a la oficial de La Moncloa, donde el usuario supuestamente debe solicitar la devolución. No obstante, desde OSI señalan que la página web solo permite interactuar con la ventana emergente.
Posteriormente, esa ventana emergente indica que se han enviado dos correos de la notificación de la solicitud, pero que no se ha obtenido ninguna respuesta. Así piden que se realice la solicitud de manera inmediata, ya que, de no ser así, el reembolso caducará.
A continuación, se redirige a las víctimas a una página web fraudulenta, que suplanta a diversas entidades bancarias (CaixaBank, BBVA, Santander o Bankia, entidad que ya no existe tras ser adquirida por CaixaBank). Allí se solicitan las contraseñas bancarias. Es en ese momento cuando los ciberdelincuentes se hacen con las credenciales de la víctima.
La Agencia Tributaria realiza la devolución mediante transferencia bancaria
La declaración de la renta se realiza a través de la plataforma Renta Web de la Agencia Tributaria. Aunque también se puede presentar de manera telefónica o presencial. Una vez que se ha presentado la declaración de la Renta 2022, si el resultado final es a devolver, se puede consultar el estado de la devolución. La consulta se puede realizar “accediendo a tu expediente a través del Servicio de tramitación del borrador/declaración (Renta WEB)”, se especifica en la página web de la Agencia Tributaria.
Desde que se ha presentado la declaración, el organismo dispone de seis meses para realizar la liquidación. Y esta siempre se efectúa “mediante transferencia bancaria a la cuenta de tu titularidad que hayas indicado en el documento de ingreso o devolución”.
Además, este organismo indica que “nunca realiza devoluciones a tarjetas de crédito o débito ni solicita información confidencial, económica o personal, números de cuenta ni números de tarjeta ni adjunta anexos con información de facturas u otros tipos de datos”.
Otras pistas que alertan que estamos ante una estafa
Aunque no es sencillo detectar una estafa, en esta campaña se señalan algunas pistas que deben hacernos sospechar, además de las anteriormente mencionadas. Para empezar, el SMS en cuestión tiene una redacción correcta, aunque presenta alguna falta ortográfica.
Además, cabe destacar que “se envía desde un número de teléfono particular, sin identificación oficial”, advierten desde la Oficina de Seguridad del Internauta.
Por otro lado, en página web que redirige el enlace solo se puede interactuar con la ventana emergente. En ella se muestra una opción para “Aceptar los Términos y Condiciones de la Moncloa”. No obstante, “no existe ningún enlace para poder leer o ampliar información sobre estos términos y condiciones”.
Además, se apremia al usuario a realizar la gestión con mucha premura bajo la amenaza de que de no hacerlo antes el reembolso caducará. La prisa y la urgencia es una de las tácticas que utilizan los ciberdelincuentes, ya que, de esta manera, los usuarios no tienen tiempo de comprobar que están ante una estafa.
Cómo actuar si se ha caído en la trampa
Desde este organismo recomiendan, en caso de haber sido víctima de la estafa, contactar lo antes posible con la entidad bancaria y alertar de lo sucedido, así como cambiar las credenciales lo antes posible. En el caso de que se utilicen las mismas contraseñas para diferentes cuentas, se recomienda cambiarlas también.
Finalmente, es aconsejable interponer una denuncia y reportar la estafa a través de los canales oficiales de la Oficina de Seguridad del Internauta para alertar a los ciudadanos y evitar que caigan en la trampa.
Este tipo de estafas son frecuentes durante la campaña de la renta. De hecho, desde INFOVERITAS hemos desmentid fraudes similares con anterioridad.
Fuentes
Oficina de Seguridad del Internauta (OSI)
Página web de la Agencia Tributaria