Se ha detectado un phishing con el que se suplanta a la Agencia Tributaria con el inicio de la campaña de la Renta 2022. Los ciberdelincuentes envían notificaciones para robar los datos personales de los usuarios.

En qué consiste este phishing

La compañía de ciberseguridad, ESET, ha identificado dos tipos de correo electrónico fraudulento que se hacen pasar por notificaciones de la Agencia Tributaria. Los ciberdelincuentes han aprovechado el momento en el que se lleva a cabo la declaración de la renta para engañar a los usuarios.

ESET ha comentado que los ciberatacantes emplean técnicas como la suplantación de un sitio web y el envío de archivos adjuntos infectados con malware. El tipo de malware que propagan es el infostealer, que utilizan para robar información personal.

Primer tipo de phishing

Algunos correos incluyen un enlace que redirige a las víctimas a una página web que se hace pasar por la de la Agencia Tributaria. El email les indica que tienen una notificación pendiente de la Agencia Tributaria y que pueden acceder a través del enlace.

ESET afirma que la página falsa tiene un dominio que puede parecer muy creíble y un certificado de seguridad, por lo que se complica el hecho de que los usuarios se den cuenta de la estafa.

Cuando los ciberdelincuentes consiguen los datos que quieren, los utilizan para acceder a otros servicios o los venden.

Para detectar que se trata de una página web falsa, los usuarios deben analizar la URL, ya que aparece la extensión “.bz”, no habitual en una web gubernamental española. Deberían aparecer las extensiones “.gob” o “.es” si se tratara de la página web oficial.

Además, ESET investigó el dominio y comprobó que se trata de una web registrada en Moscú hace dos meses, por lo que se puede observar que se trata de una web completamente falsa. Por otro lado, el certificado de seguridad también fue obtenido recientemente, lo que indica que se trata de una web maliciosa.

Segundo tipo de phishing

Otro tipo de phishing es el que incluye un archivo adjunto para propagar el malware infostealer, como comentábamos anteriormente.

Con este phishing, los ciberdelincuentes quieren robar la información almacenada en los dispositivos de los usuarios. En estos correos electrónicos hacen alusión a un aviso de la Agencia Tributaria, pero también se menciona a la Fábrica Nacional de Moneda y Timbre, para parecer más creíble.

El archivo adjunto en el correo electrónico malicioso tiene de nombre “AEAT – Aviso de Notificación administrativa” y contiene un fichero “.bat” en el que está el código para ejecutar el malware infostealer.

El malware infostealer ataca a los usuarios robando sus credenciales en aplicaciones instaladas en el dispositivo infectado, introducidas en navegadores de internet, en el correo electrónico e, incluso, en el acceso a VPNs.

Los usuarios deben estar alerta para no caer en estos engaños, además ahora que es el periodo para realizar la declaración de la renta. Deben saber cómo identificar este tipo de correos electrónicos maliciosos y tener instalados antivirus para identificar las posibles amenazas.