Desde hace unas semanas parte de la ciudadanía española prepara la presentación anual de su declaración de la Renta y Patrimonio. Como cada año, preparamos nuestra documentación y realizamos este trámite, mayoritariamente por Internet, a través de nuestros teléfonos utilizando la aplicación oficial de la Agencia Estatal de Administración Tributaria o acudiendo a sus oficinas de forma presencial. Según este organismo, se esperan para este año 22,8 millones de declaraciones, la mayor parte de ellas se realizarán por Internet y contarán como novedad este año con la ayuda de un asistente virtual.
Aquellos que cumplen con sus compromisos tributarios a través de las plataformas electrónicas que ofrece la Administración cuentan con las ventajas de inmediatez, servicio 24×7, seguimiento de la situación del trámite sin la necesidad de realizar desplazamientos, acceso a la información de forma personalizada, descarga e intercambio de documentación, etc. Todas ellas son ventajas fruto de las capacidades de la tecnología, que facilita la vida a los ciudadanos ofreciéndoles la posibilidad de realizar gestiones indispensables para su vida diaria con apenas un click de ratón. Es por tanto esperable y deseable que se expanda y desarrolle la e-Administración de forma similar a como ha ocurrido en otras industrias, incorporando nuevas funcionalidades que beneficien lo más posible a los ciudadanos en el ámbito de su relación con lo público.
“A pesar de las innumerables ventajas del avance de la digitalización en el sector público, no hay que minusvalorar el reto de ciberseguridad que supone su despliegue”, afirma Hervé Lambert, Global Consumer Operations Manager de Panda Security.
La Administración es uno de los sectores que más ha sido objeto de ataques cibernéticos en los últimos años, entre otras cuestiones, por la cantidad de datos sensibles y personales que posee sobre la población, que en manos de “los malos” pueden generar sustanciales beneficios económicos y un gran daño incluso a la seguridad nacional de un país. Sin ir más lejos, las administraciones públicas sufrieron en nuestro país el año pasado 55.000 ciberataques, de los cuales 71 fueron críticos y llegaron a ocasionar y paralizar la actividad de la Administración, ocasionando un daño altísimo para los ciudadanos, según datos ofrecidos por el Departamento de Seguridad Nacional.
Algunos ejemplos de ataques cibernéticos perpetrados contra la Agencia Tributaria
Como estamos en plena campaña de la Renta, desde Panda Security queremos advertir de ejemplos de ataques perpetrados utilizando el nombre de la Agencia Tributaria o aprovechando vulnerabilidades en sus sistemas. Principalmente abarcan agresivas campañas de phishing suplantando la identidad de la Administración, pero también ataques directos a sus servidores para el robo de datos internos con estrategias de ransomware.
De hecho, algunos medios se han hecho eco de un ataque reciente a la Agencia Tributaria con el objetivo de penetrar en sus bases de datos para robar información fiscal y números de cuenta de la población. Gracias a los sistemas de ciberseguridad de este organismo, el ataque habría quedado en una tentativa que logró ser abortada. Aún así, como medida de prevención, el organismo canceló el teletrabajo de forma temporal, ya que los atacantes, para perpetrar su ataque, podrían haber aprovechado vulnerabilidades derivadas de las conexiones remotas que se usan para que los empleados públicos puedan teletrabajar.
Este año la AEAT ha alertado de los siguientes ataques:
- Envío de correos masivos en los que se suplanta la identidad e imagen de la AEAT o bien de su personal directivo con falsos mensajes en el que supuestamente el organismo remite una denuncia a la víctima por facturas y tickets no declarados. Este correo vendría acompañado de un fichero adjunto que al descargarlo sustraería la contraseña de la dirección de correo electrónico de la víctima.
- Intento de fraude a través de Bizum con el consiguiente asunto “AEAT pago renta 2022” suplantando a la Agencia Tributaria solicitando a la víctima que envíe dinero como pago de la renta de 2022.
- Intento de redirigir a las víctimas a una página que imita la de la autentificación de la Sede de la AEAT y que pide un correo y contraseña. Al introducir cualquier correo electrónico y contraseña en las casillas, sale un mensaje diciendo que la validación no es correcta y que es necesario introducir la dirección de correo y contraseña de nuevo.
- Email que se corresponde con un aviso de una notificación en la Dirección Electrónica Habilitada Única (DEHÚ), con el objetivo de que la víctima pinche en el enlace directo a la supuesta notificación.
- SMS que suplanta la identidad de la Agencia avisando de un supuesto reembolso de impuestos. El mensaje lleva incluido un enlace que lleva a una página falsa que suplanta la imagen de la Agencia Tributaria. Pinchando en “Reembolso” aparecería un formulario para cumplimentar y hacer el reembolso:
Por otro lado, la Agencia también ha informado de que se ha detectado en determinados markets de apps para móviles, aplicaciones falsas que utilizan su imagen ofreciendo servicios en su nombre.
Además de ataques por Internet, el nombre de la Agencia Tributaria es utilizada para perpetrar timos a través de servicios telefónicos que supuestamente conciertan una cita previa para la confección de declaraciones o la modificación de borradores en oficinas de la Agencia Tributaria. Según ha informado la agencia, estos números, totalmente ajenos a la misma, suponen elevados costes de tarificación para las personas que los utilizan y las citas que conciertan podrían no ser válidas.
“La Agencia Tributaria nunca solicita por correo electrónico, SMS o Bizum información confidencial, económica o personal, ni números de cuenta o de tarjetas, ni adjunta anexos con información de facturas u otros tipos, ni hace devoluciones a tarjetas de crédito o débito. Así que si recibes un mensaje de la Agencia Tributaria cerciórate bien de que es un mensaje original antes de pinchar un enlace, rellenar un formulario con tus datos o descargarte un fichero”, añade Lambert.