Si has recibido este correo de la Agencia Tributaria, no piques: es una estafa
- Un correo de la Agencia Tributaria falso está circulando.
- Es un ataque phising: bórralo inmediatamente.
- Correos también ha tenido problemas con el phising.
Noticias relacionadas
Es posible que en los últimos días hayas recibido un correo de la Agencia Tributaria española. En ese supuesto correo se detalla que ha habido irregularidades en la Declaración de la Renta del año 2018 y que, como no podía ser de otra forma, hay que pagar a expensas de una posible multa o cargos.
Como os podéis estar imaginando ahora mismo esto es falso; es un ataque phising, que consiste en suplantar la identidad de un medio, institución o persona para robar credenciales, ya sean bancarias o personales. Ya vimos hace muy poco un caso similar con Correos.
La Agencia Tributaria está al corriente de ello y ha lanzado un aviso de seguridad aclarando las vías por las que podemos constatar que el origen de estos correos (y demás mensajes) son falsos.
El correo de la Agencia Tributaria que dice que tu Declaración de la Renta está mal es falso
@informaticaaeat Buenas, recibir este mensaje hoy por email. Es falsa? pic.twitter.com/kgHQxFvG3c
— Roberto Valverde (@robertovc72) September 16, 2019
En los últimos días se ha visto aumentado el número de personas que afirman haber recibido un correo o un SMS de la Agencia Tributaria. Este correo asegura que nuestra Declaración de la Renta 2018 está mal, tiene irregularidades y nos habla de que debemos abonar una deferencia.
Tanto es así que la Agencia ha tenido que lanzar un aviso de seguridad en el que detallan poco a poco el por qué estos mensajes son un ataque claro de phising. Según la misma Agencia:
"La Agencia Tributaria insiste en que:
- Nunca solicita por correo electrónico información confidencial, económica o personal, números de cuenta ni números de tarjeta de los contribuyentes.
- Nunca realiza devoluciones a tarjetas de crédito o débito.
- Nunca cobra importe alguno por los servicios que presta. El usuario solo asumirá el coste compartido de las llamadas a teléfonos 901."
La Agencia Tributaria es titular del sitio web compuesto por el Portal (dominio: “www.agenciatributaria.es”) y la Sede electrónica (dominios: “www.agenciatributaria.gob.es”, "www1.agenciatributaria.gob.es", "www2.agenciatributaria.gob.es", "www3.agenciatributaria.gob.es", "www6.agenciatributaria.gob.es", "www8.ia.agenciatributaria.gob.es", "www9.agenciatributaria.gob.es", "www10.agenciatributaria.gob.es", "www12.agenciatributaria.gob.es", en adelante denominados conjuntamente por el término “web de la AEAT”).
Tenga presente siempre que cualquier trámite de la Agencia Tributaria que implique un pago se realizará a través de la "Web de la AEAT" y en condiciones de comercio electrónico seguro
Por otra parte, la Agencia Tributaria prohíbe expresamente la realización de "framings" o la utilización por parte de terceros de cualesquiera otros mecanismos que alteren el diseño, configuración original o contenidos en cualquiera de los dominios descritos en este Aviso de seguridad.
Efectivamente se trata de un correo suplantando la identidad de la Agencia Tributaria. Ya está en manos del departamento de Seguridad. Por favor, ante cualquier duda, consulte nuestro aviso de seguridad 👉https://t.co/SQG9iGaIqS
— Soporte Técnico AEAT (@informaticaaeat) September 16, 2019
SMS falso
La Agencia ha detectado diversos casos de intentos de phising a través de SMS. Esta es una forma muy común de realizar dicho ataque, ya que al llegar directamente al smartphone de la víctima arroja una sensación de verosimilitud mezclada con el miedo provocado por el hecho de que una institución te inste a pagar.
La Agencia desmiente estos SMS de forma muy sencilla, recordando que los números de teléfono que usa la institución son los que aparecen en la web de la Agencia Tributaria.
Aplicaciones para smartphones
También se han detectado copias de apps de la Agencia en distintas tiendas de Android. La respuesta de la Agencia es escueta: aseguran que sus aplicaciones "están exclusivamente disponibles para su descarga gratuita en AppStore y Google Play". Precisamente, cuando busques una app así, busca al desarrollador oficial en las tiendas de tu smartphone.
Como hemos dicho en anteriores ocasiones, antes de realizar ninguna acción contacta con la empresa real que te mande este tipo de cosas. En caso de que sea, más que probablemente, un ataque phising borra inmediatamente el correo o el SMS e intenta bloquear al emisor de dichos mensajes.