Estafa en la Agencia Tributaria: cómo identificar los mensajes falsos de la Declaración de la Renta

Los hackers siempre buscan la manera de mejorar sus engaños online. Aprovechar las fechas señaladas del calendario español, es un acierto. Todos los años, muchos ciudadanos tienen dificultades para tramitar su declaración de la renta, ya sea por el desconocimiento técnico sobre el proceso en sí o la marcada brecha digital generacional, teniendo en cuenta que cada vez se gestionan más solicitudes administrativas en la nube. Enviar un SMS suplantando a los funcionarios de la Agencia Tributaria o Hacienda, puede funcionar y que la víctima caiga en la trampa.

La estafa a través de SMS de la Agencia Tributaria, que en realidad son emitidos por un ciberdelincuente, es un modus operandi ya identificado en varias campañas de la Declaración de la Renta. Y no solo en este tipo de situaciones, Correos también ha sido víctima de los SMS falsos con pedidos que nunca existieron, una técnica que en el sector de la ciberseguridad se denomina smishing.

La redacción de las notificaciones o mensajes de texto fraudulentos que llegan a los dispositivos de los usuarios está muy bien pensada. No siempre resulta sencillo identificar el timo y evitar abrir links que comprometen la privacidad en línea de la víctima. Sin embargo, para tratar de impedir verte envuelto en una de estas estafas online, puedes tomar nota de las características principales, que te servirán para activar todas las alarmas.

La Guardia Civil, debido al aumento de las denuncias de estafas de la Agencia Tributaria mediante SMS, publicó hace poco en la red social X lo siguiente:

Detectada una campaña que suplanta a la #AgenciaTributaria vía SMS informando de una devolución de la #renta del año 2023. #NoPiques

La suplantación de la identidad no solo afecta al individuo, a veces se emplea para engañar a terceros y hacerles creer que están hablando con un empleado cualificado de la Agencia Tributaria, el Ministerio del Interior, Hacienda o una multinacional de reconocido prestigio.

Las autoridades españoles emplean el hashtag #NoPiques en redes sociales para alertar de la grave amenaza que implican los intentos de estafa en línea. Lo primero que se debe hacer cuando se recibe un mensaje atribuido, en teoría, a un organismo oficial como Hacienda o la Agencia Tributaria, es reparar en la redacción del SMS. Los mensajes falsos de Hacienda relacionados con la Declaración de la Renta, consisten en frases similares a estas:

“Se ha ordenado el pago de su devolución del Impuesto sobre la Renta de las Personas Físicas del ejercicio 2023”.

En ningún momento se indica un número de expediente, el nombre completo del usuario y otra clase de detalles personales necesarios para realizar el pago de impuestos en un país. Por otra parte, la situación de cada contribuyente es particular, no será lo mismo reclamar los ingresos generados en una gran empresa que un único sueldo. En la Declaración de la Renta, cada individuo indica si pertenece a una unidad familiar (indicando el número de miembros) o si desea hacer una donación. En resumen, el proceso implica numerosa información concreta que no queda reflejada en los SMS manipulados.

Las fuerzas de seguridad nacionales ponen el acento en otro rasgo característico de estos engaños digitales: acostumbran a ser buenas noticias. El mensaje anuncia una revolución de cierta cantidad de dinero, incluso se llega a estipular la cantidad exacta. Por ejemplo, en SMS de estafadores que ya han sido interceptados por la policía, se podía leer lo siguiente:

AGENCIA TRIBUTARIA: Se ha ordenado el pago de 411,00¿ de devolución del IRPF de la Renta 2023. Mas informacion* en la web: XXX.

Al igual que en otras campañas de phishing, la redacción del mensaje contiene errores gramaticales y de puntuación. Tampoco se indica la divisa ni se establece a qué se debe este cambio, insistiendo en que es necesario abrir el link adjunto. A continuación te explicaremos con mayor precisión los pasos a seguir para verificar si un SMS de la Agencia Tributaria es legítimo o no.

Para empezar, ten en cuenta que la Administración española envía notificaciones por correo certificado y manteniendo la confidencialidad. Ni la DGT ni Hacienda envían multas por email o con un escueto SMS, así como jamás adjuntan enlaces desvinculados a los sitios web oficiales. Por lo tanto, para saber si un SMS o correo electrónico de la Agencia Tributaria es real, toma en consideración estos consejos:

• Los links adjuntos no son oficiales. Desconfía de los mensajes atribuidos a la Administración que adjunten enlaces shortcut, ya que probablemente se haya acortado para que no puedas ver a simple vista que es malicioso. En eso consiste el phishing, en que caigas en la trampa por el mero hecho de abrir un enlace manipulado.
• Los mensajes son demasiado generales o están mal redactados. Un organismo oficial como Hacienda lo sabe todo sobre ti, o casi. Conoce tu nombre completo, los ingresos del último año y lugar de residencia. En el supuesto de ponerse en contacto contigo, que sería vía postal o empleando otro canal oficial, se identificaría correctamente e indicaría claramente qué gestión está pendiente. No habría errores ortográficos en el texto ni se omitiría la información personal. Si el mensaje que ha llegado a tu bandeja de entrada se puede enviar a otra persona haciendo un simple copy-paste, probablemente sea fraudulento.
• Las notificaciones de la carpeta de spam no pueden tomarse en serio. Los dispositivos electrónicos actuales tienen la capacidad de detectar ciertos indicios de peligro y enviar los mensajes maliciosos directamente a la carpeta de spam. Revisa las direcciones de correo electrónico o el número de teléfono desde el que se han mandado, sobre todo porque en la Administración se sigue un formato en concreto, pero lo recomendable es no abrirlos. A veces es fácil caer en un timo digital porque los delincuentes son muy buenos falsificadores, llegan a imitar los logos oficiales y el estilo de redacción de la corporación, por eso se debe tener cuidado. La Protección contra amenazas es una excelente herramienta para evitar caer en las estafas cibernéticas.
• Si el mensaje no es realista, desconfía. A todos nos gusta recibir buenas noticias, entre ellas, que la Declaración de la Renta sale a devolver este año. Sin embargo, no podemos fiarnos solo de un escueto SMS simplemente porque nos comunica algo que estamos deseando escuchar. Ocurre lo mismo que con las ofertas falsas de Black Friday, esta “buena noticia” solo es un anzuelo para que cometamos el error de terminar en un sitio web poco seguro.

Los ciberdelincuentes estudian a conciencia los hábitos online de los españoles y particularidades de nuestra cultura, por ejemplo, los festivos o la época de campañas como la Declaración de la Renta. Con esta información, son capaces de personalizar los ataques informáticos y ponérselo más difícil a la Guardia Civil. El principio básico de la ciberseguridad es la prevención, así que si recibes un supuesto SMS de la Agencia Tributaria en estos meses, comprueba si es real siguiendo los pasos indicados en este apartado.

En esta Declaración de la Renta, #NoPiques. Frena las estafas digitales de la Agencia Tributaria o Hacienda a tiempo.