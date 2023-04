España es uno de los objetivos preferidos por los ciberdelincuentes, y son muchas ya las tácticas que proliferan en las redes de los internautas españoles. El smishing, las ciberestafas por WhatsApp o las campañas de phishing ya son el pan nuestro de cada día. Muchos de ellos suelen aprovechar eventos importantes para afianzar sus estafas, y la que nos atañe no es diferente, ya que usa la campaña de declaración de la Renta 2022 para lanzar una campaña suplantando a la Agencia Tributaria.

Según ha especificado ESET, firma de ciberseguridad ubicada en España, se ha detectado una campaña de phishing a través de correos electrónicos que buscan robar credenciales privadas de los usuarios. En los últimos días, se han visto hasta dos tipos de correos maliciosos que simulan ser la Agencia Tributaria para pedir sus credenciales o bien para distribuir software malicioso o malware para robar información.

Mientras que algunos correos envían un enlace a los usuarios que imita la de la Agencia Tributaria real, otros envían un documento malicioso que instala un malware del estilo 'infostealer', que como su nombre indica, roba la información personal almacenada en los sistemas del dispositivo en el que se descarga, ya sea smartphone, tablet u ordenador.

Cuidado con estos correos

El correo más habitual sigue el modus operandi clásico de esta clase de campañas de estafas. Los ciberdelincuentes envían un correo que hace uso de ingeniería social para pedirle a los usuarios, bajo el contexto de la campaña de la Renta 2022, sus credenciales de inicio de sesión. Se le dice al usuario que el correo es una notificación de la Agencia Tributaria, forzando a este a pinchar en el enlace.

El enlace esconde una web que imita la de la Agencia Tributaria, pero que es completamente falsa. De hecho, ESET apunta a que el peligro de este método radica en que la web suplantada es muy creíble, contando incluso con un certificado de seguridad. La idea es simple; que la víctima inicie sesión y se roben las credenciales de los usuarios.

La ESET especifica que el engaño se puede ver revisando la URL o dirección web que aparece en los correos, ya que aparecen las extensiones .bz. Dicha extensión no aparece en las webs gubernamentales españolas, ya que estas deberían tener las extensiones .gob y .es. Se trata de una web registrada en Moscú hace poco tiempo. Y sí, el certificado de seguridad obtenido para la web también se obtuvo hace muy poco, en marzo.

Por otro lado, está el correo electrónico con malware infoestealer. El procedimiento es similar; se envía un correo que avisa de una supuesta notificación de la Agencia Tributaria (aunque también se puede hacer alusión en algunos a la Fábrica Nacional de Moneda y Timbre) y se le pide que descargue un documento llamado 'Aviso de notificación administrativa'. Este es el archivo malicioso que nunca hay que descargar.

Símbolo de la Agencia Tributaria en una de las oficinas de la Agencia Estatal de la Administración Europa Press

Este documento que no es más que un archivo .bat contiene un troyano (o una variante, más bien) llamada NSIS/Injector.BVJ. Una vez se abre el archivo, el malware se libera en el sistema y roba todas las credenciales del usuario tanto en aplicaciones instaladas como en el propio dispositivo. Esto afecta a navegadores, correos electrónicos, etcétera.

Aunque este método requiere más confianza por parte del usuario ya que no tiene una web que imite la de la Agencia Tributaria, es bastante más peligrosa ya que instala un software peligroso en el dispositivo que posteriormente se debe erradicar. Algo complicado para un usuario que no tenga conocimientos técnicos, y que puede llegar a ser un auténtico quebradero de cabeza.

Hay que evitar siempre esta clase de correos, y sobre todo entender que esta clase de notificaciones no se suelen enviar por este método. Si ves uno de estos correos, es importante que bloquees al remitente y reportes el mensaje en el cliente de correo que uses. Una vez hecho eso, elimina por completo el correo sin entrar a la página web y sin descargar absolutamente nada. No des tus credenciales de usuario si no estás seguro de la procedencia de la web y en caso de duda, contacta con la Agencia Tributaria.

