RENTA 2022

Ciberestafa que suplanta a la AEAT en el inicio de la campaña de la renta

Noticia

Actores maliciosos han lanzado una campaña de suplantación de la Agencia Tributaria a través de correos electrónicos para el robo de credenciales, aprovechando los meses en los que se realiza la declaración de la renta para crear confusión.

Malware para la campana de la renta_img

En concreto, se han identificado durante los últimos días dos tipos de correo malicioso que simulan ser una notificación de la Agencia Tributaria para engañar al usuario. En estos correos los ciberdelincuentes utilizan técnicas ya conocidas, como son la suplantación de un sitio web para robar credenciales y el envío de archivos adjuntos infectados con el 'malware' infostealer para robar información personal.

Así lo ha advertido la compañía de ciberseguridad ESET en un comunicado, quien ha identificado estos ataques e insiste en la importancia de prestar atención a estos 'emails', sobre todo, ahora que se inicia la campaña de la declaración de la renta.

En este sentido, en algunos de estos correos, los actores maliciosos envían un enlace que lleva al usuario a una web fraudulenta que simula ser la oficial de la Agencia Tributaria. Para incentivar que el usuario pulse dicho enlace, los ciberdelincuentes indican que se trata de un aviso de una notificación enviado por dicho organismo. De esta forma, para que el usuario pueda acceder a la supuesta notificación se les ofrece un enlace directo.

Una vez se pulsa en el enlace, los actores maliciosos dirigen al usuario a una web fraudulenta que simula ser la web oficial de la Agencia Tributaria. Sin embargo, se trata de una página falsa que tiene una apariencia y un diseño muy similares a la oficial, incluso, según apunta ESET, un dominio que resulta creíble y un certificado de seguridad.

Dentro de la página, el objetivo de los actores maliciosos es el de robar las credenciales de los usuarios, aunque no está claro qué datos precisos se pretenden obtener, ya que pueden ser credenciales de 'email' o cualquier otro dato relativo a la Agencia Tributaria, como apuntan desde la firma de ciberseguridad. Una vez obtienen los datos, los ciberdelincuentes los utilizan posteriormente para acceder a otros servicios o venderlos como tráfico de información.

No obstante, se puede identificar que se trata de un engaño analizando la URL, que incluye detalles que revelan que se trata de una web falsa. Por ejemplo, en la URL de los correos analizados aparece la extensión '.bz' que hace referencia a los dominios de Belize, algo extraño para una web gubernamental española. En caso de tratarse de la web oficial de la Agencia Tributaria aparecerían las extensiones '.gob' y '.es'.

Asimismo, según comprobó ESET en investigaciones respecto a este dominio, se trata de una web registrada hace alrededor de dos meses desde Moscú lo que, "debería encender todas las alarmas".

Siguiendo esta línea, a pesar de que la web está dotada con un certificado de seguridad, algo que se identifica con el icono del candado cerrado que aparece en la barra de búsqueda, esta característica solo indica que los datos enviados desde el dispositivo del usuario a la web se transmiten por un canal cifrado, no que se trate de una web segura en sí, y no implica ninguna garantía de que el usuario esté navegando por un sitio web legítimo.

Además, tal y como verificó la compañía de ciberseguridad a través de Certificate Viewer, este certificado también se obtuvo muy recientemente, concretamente a finales de marzo, lo que se convierte en "otro indicativo de que se trata de una web fraudulenta".

Por otra parte, la apariencia de estos correos electrónicos es idéntica a la plantilla utilizada en otra campaña de ataques identificada en el mes de enero, según detalla ESET. En ella, aparecen datos específicos que simulan de forma precisa los correos oficiales de este organismo. Sin embargo, en este caso, en vez de hacer referencia a una comunicación postal, ahora los actores maliciosos se refieren a una notificación electrónica.

'Email' con infostealer

El otro tipo de correo electrónico identificado en esta campaña de suplantación de la Agencia Tributaria incluye un documento malicioso que descarga el 'malware' infostealer. Así, con este correo los actores maliciosos pretenden robar la información personal que se encuentre almacenada en los sistemas del dispositivo que queden infectados.

En este caso, el 'email' también utiliza la excusa de un aviso de una supuesta notificación de la Agencia Tributaria, pero en el remitente también se hace referencia a la Fábrica Nacional de Moneda y Timbre, todo ello con el fin de parecer un aviso creíble y ganarse la confianza del usuario.

De esta forma, los actores maliciosos incluyen en el 'email' un documento identificado como 'AEAT - Aviso de Notificación administrativa', dando a entender a los usuarios que deben abrirlo para acceder al contenido de la notificación.

Concretamente, se trata de un archivo adjunto comprimido que, lejos de incluir una notificación, contiene un fichero '.bat' en el que se encuentra el código malicioso que ejecuta la fase inicial del 'malware' infostealer.

Al respecto, tal y como ha señalado ESET, se basa en una variante del troyano identificada como 'NSIS/Injector.BVJ trojan'. Este tipo de 'malware' descarga y ejecuta en el sistema infostealer, que de esta forma consigue atacar al usuario robando sus credenciales personales tanto en aplicaciones instaladas en el dispositivo infectado, como introducidas en navegadores de Internet, en el correo electrónico o, incluso, en el acceso a VPNs.

Por todo ello, tal y como ha indicado el director de Investigación y Concienciación de ESET España, Josep Albors, los usuarios deben aprender a "identificar este tipo de correos maliciosos para descartarlos nada más recibirlos y contar con soluciones de seguridad capaces de identificar las amenazas que suelen contener".


Memento Fiscal 2025
Derecho Tributario

Memento Fiscal 2025

196,00
176,40

  • Una obra esencial que contiene el análisis de toda la información fiscal en un solo volumen.
  • Incluye ejemplos y soluciones prácticas completadas por más de 24.700 citas a la legislación, jurisprudencia y doctrina administrativa más reciente.
  • Primera referencia de consulta para asesores fiscales, directores financieros y para el resto de profesionales relacionados con la fiscalidad.
  • La suscripción al Memento Fiscal  incluye: - El servicio “Extras Mementos” con el que puedes consultar en cualquier momento si un número marginal del Memento ha sido modificado. - Un servicio de alerta vía e-mail con las novedades que se vayan produciendo cada semana.
  • El Memento Fiscal lo tienes disponible también en el siguiente Pack con un precio especial para que domines todas las modificaciones que afectan al conjunto de nuestro sistema fiscal: Pack Memento Fiscal  + Memento Express Novedades Tributarias 


Curso Fiscalidad de la empresa familiar 2025: planificación sucesoria y protocolo familiar (3 sesiones webinar)
Derecho Fiscal

Curso Fiscalidad de la empresa familiar 2025: planificación sucesoria y protocolo familiar (3 sesiones webinar)

320,00
256,00

Analizamos los principales aspectos para la optimización de los beneficios fiscales de la empresa familiar, y planificación sucesoria.