Con el inicio de la campaña de la declaración de la renta es frecuente que los ciberdelincuentes recrudezcan su actividad y las estafas relacionadas con la declaración aumenten a medida que se acerca el periodo para realizar la declaración de la renta.
La forma más habitual es la suplantación. Los ciberdelincuentes suelen aprovecharse de la confianza de los usuarios para generar mensajes que imitan las comunicaciones de la Agencia Tributaria y así robar sus datos y obtener sus claves obligándoles a pinchar en enlaces de dudosa procedencia.
Para empezar, Hacienda nunca va a solicitarnos información personal a través de un mensaje de texto o un correo electrónico, como han explicado repetidas veces en pasados ejercicios fiscales. Jamás pedirán que demos “información confidencial, económica o personal, números de cuenta ni de tarjeta ni adjunta anexos con información de facturas”, explican en su página web.
El mero hecho de recibir una de estas comunicaciones ya debería hacernos sospechar doblemente de la procedencia y las intenciones del mensaje recibido.
Una de las mejores formas de identificar los fraudes son las herramientas y las alertas que la entidad pone a disposición de los usuarios. En su página web, se recopilan distintos mensajes e intentos de estafa, como el que sigue a continuación (correspondiente a 2024).
“Concepto: Requerimiento de Información
Le facilitamos un enlace directo a la notificación.
Por medio de la presente, la Agencia Estatal de Administración Tributaria (AEAT) le informa que, tras la revisión de su declaración del Impuesto sobre el Valor Añadido (IVA) del último ejercicio fiscal, se ha detectado la necesidad de solicitar documentación adicional debido a inconsistencias observadas Se le notifica que este comunicado constituye el aviso final. El plazo para la presentación de la documentación requerida concluye en 48 horas.
Para facilitar el proceso, le recordamos que hemos habilitado un espacio en línea donde puede subir la documentación solicitada. Es imperativo actuar con diligencia ante esta solicitud. Le invitamos a acceder a su área personal en nuestro sitio web para adjuntar los documentos correspondientes. […] Si no se cumple con este plazo, el contribuyente estará sujeto a sanciones automáticas y posibles acciones legales adicionales por parte de la AEAT. Agradecemos su atención inmediata a este asunto crítico".
En este caso, es relativamente sencillo detectar la trampa: las continuas llamadas a la acción y la forma en la que el mensaje apremia al receptor a solucionar una supuesta infracción tributaria: “Agradecemos su atención inmediata a este asunto crítico”, “Quedan 48 horas para responder”, “Es imperativo actuar ante esta solicitud”.
En lo que se refiere a la campaña de la renta, en años anteriores han circulado SMS con la forma de requerimientos de información (Smishing), y otros que adjuntaban un enlace donde se informa de una supuesta devolución de IRPF, un falso ‘reembolso electrónico’ en el que se invitaba a los usuarios a introducir datos bancarios.
De nuevo, hay que usar la lógica. La Agencia Tributaria ya cuenta con toda la información que necesita para realizar una supuesta devolución, ya que somos nosotros mismos los que se la facilitamos al hacer la declaración de la renta. Nunca nos pedirá que introduzcamos datos sensibles y claves a través del enlace de un SMS.
Otro detalle clave es el modo de explicar el trámite. Por ejemplo, un mensaje auténtico de la Agencia Tributaria puede informarnos de la tramitación de la devolución del IRPF (“Se ha ordenado el pago de su devolución del Impuesto sobre la Renta de las Personas Físicas del ejercicio 2023"), pero jamás incluirá ningún enlace en el que pinchar.
Conviene estar muy atentos, ya que es previsible que este tipo de comunicaciones fraudulentas se repitan este año según desde la fecha de inicio de la campaña de la Renta 2023.