En plena campaña de la declaración de la renta, se ha detectado una nueva oleada de ataques informáticos orquestados por actores maliciosos. Estos ciberdelincuentes están enviando correos electrónicos suplantando la identidad de la Agencia Tributaria con el fin de robar credenciales y datos personales. La compañía de ciberseguridad ESET ha generado una alerta para prevenir que los usuarios caigan en la trampa.

Los ataques consisten en dos tipos de correo malicioso que simulan ser una notificación oficial de la Agencia Tributaria con la finalidad de engañar al usuario. En estos correos fraudulentos, los ciberdelincuentes utilizan técnicas ya conocidas como la suplantación de una página web para robar credenciales y el envío de archivos adjuntos infectados con ‘malware’ infostealer para robar información personal.

En algunos de estos correos, los actores maliciosos envían un enlace que conduce al usuario a una página web fraudulenta que simula ser la oficial de la Agencia Tributaria. Para incentivar al usuario a pulsar el enlace, los ciberdelincuentes indican que se trata de una notificación enviada por dicho organismo. Así, para que el usuario pueda acceder a la supuesta notificación, se les ofrece un enlace directo.

Cuando el usuario pulsa el enlace, los actores maliciosos lo dirigen a una página web fraudulenta que simula ser la web oficial de la Agencia Tributaria. Sin embargo, se trata de una página falsa que tiene una apariencia y diseño muy similares al de la web oficial, incluso un dominio que resulta creíble y un certificado de seguridad.

Una vez en la página falsa, el objetivo de los ciberdelincuentes es robar las credenciales de los usuarios, aunque todavía no está claro qué datos precisos se pretenden obtener. Una vez que obtienen los datos, los ciberdelincuentes los utilizan posteriormente para acceder a otros servicios o venderlos como tráfico de información.

Según la firma de ciberseguridad ESET, se puede identificar que se trata de un engaño analizando la URL que incluye detalles que revelan que se trata de una web falsa. Por ejemplo, en la URL de los correos analizados aparece la extensión ‘.bz’ que hace referencia a los dominios de Belize, algo extraño para una web gubernamental española. Si se tratara de la web oficial de la Agencia Tributaria, aparecerían las extensiones ‘.gob’ y ‘.es’

La apariencia de estos correos electrónicos es idéntica a la plantilla utilizada en otra campaña de ataques identificada en el mes de enero. En ella, aparecen datos específicos que simulan de forma precisa los correos oficiales de este organismo. En este caso, en vez de hacer referencia a una comunicación postal, ahora los actores maliciosos se refieren a una notificación electrónica.

El otro tipo de correo electrónico identificado en esta campaña de suplantación de la Agencia Tributaria incluye un documento malicioso que descarga el ‘malware’ infostealer. Con este correo los actores maliciosos pretenden robar la información personal que se encuentre almacenada en los sistemas del dispositivo que queden infectados.

En resumen, los usuarios deben estar alerta y aprender a "identificar este tipo de correos maliciosos" para descartarlos nada más recibirlos y contar con soluciones de seguridad capaces de identificar las amenazas que suelen contener", según el director de Investigación y Concienciación de ESET España, Josep Albors.