La campaña de la Renta en España para el año 2024 ya está en marcha desde el pasado 3 de abril con la presentación de las declaraciones por internet y finaliza el 1 de julio de 2024. Es el momento que aprovechan muchos ciberdelincuentes para intentar robar datos confidenciales o, directamente, acceder a las cuentas bancarias de los contribuyentes. Como sabemos, los fraudes y estafas sobre el IRPF no son nuevos y se suceden año tras año, y de hecho, están incrementándose.
En este sentido, es probable que muchos ciudadanos hayan recibido ya algún tipo de e-mail o de SMS por parte de la Agencia Tributaria o de una entidad bancaria y que aparentemente es legítimo, pero que en realidad es un mensaje falso que pretende engañarles para robar sus datos personales o bancarios.
Los tipos de amenaza más frecuentes
La variedad de técnicas que emplean los ciberdelincuentes para hacerse con los datos y acceder a las cuentas bancarias es muy variada, y unas de las más habituales son el phishing y el smishing. En el caso del primero, el medio utilizado para confundir al usuario es el correo electrónico y en el segundo el mensaje utiliza el teléfono móvil, bien a través de mensajes de SMS o aplicaciones de mensajería como Whatsapp o Telegram.
Los ciberdelincuentes emplean tácticas de suplantación de identidad; hacen pasar por bancos de confianza, por la misma la Agencia Tributaria, e incluso por los propios departamentos de RR.HH. de las compañías para tratar de engañar ciudadanos y empleados para que compartan información confidencial enviándoles e-mails para que, supuestamente, confirmen o respondan una información.
Habitualmente, esta serie de mensajes dan una sensación de urgencia alegando falsamente que se requieren respuestas inmediatas para evitar consecuencias legales o sanciones. Y todos ellos tienen algunas de estas características: o bien un enlace que deriva a una web falsa (que también simula la de la propia entidad pública o bancaria, para que el usuario proporcione datos e información personal o bancaria como las claves de la banca electrónica), o bien un archivo adjunto que introducirá algún tipo de malware en el equipo del usuario o en la red corporativa.
En otras ocasiones, el mensaje de suplantación hace que el usuario se descargue un malware que lo que hace es que es tomar el control del dispositivo móvil del usuario de forma remota, lo que permite acceder a todos los datos, incluidas las diferentes contraseñas e incluso, a la información biométrica.
Y un tercer método, relacionado con la propia campaña de la renta, tiene que ver con mensajes que ofrecen la posibilidad de concertar una cita para su confección o la modificación de borradores. En este caso, el ciberdelincuente proporciona un número de teléfono totalmente ajeno a la Agencia Tributaria y que, o bien supone elevados costes de tarificación para los usuarios, o bien se le piden los datos de cuentas personales para acceder a ellas.
Cómo combatir estos fraudes
Como vemos, ciudadanos y empresas van a sufrir en un momento u otro algún tipo de ciberataque de suplantación de identidad y hay claves esenciales para evitarlo, como no abrir mensajes de usuarios desconocidos o que no se hayan solicitado y eliminarlos directamente. Es fundamental no clicar en los enlaces o descargar archivos que se reciban por correo electrónico o por mensaje en el móvil, incluso aunque sean de contactos conocidos. En este sentido, es esencial que las empresas insistan en la formación de los empleados para que sepan reconocer los correos de phishing o los mensajes de smishing.
Asimismo, es eficaz que tanto las empresas como los usuarios posean un almacenamiento seguro en la nube para los documentos financieros e implementen controles que impidan que los ciberdelincuentes accedan a información sensible. La implementación de medidas de autenticación multifactor (MFA) juega un papel muy importante ya que añade una capa extra de defensa, que actúa como un doble candado en la protección de los datos digitales.
Todo ello se debe acompañar con la ejecución de actualizaciones periódicas de software ya que reducen significativamente las brechas de seguridad y garantizan que, gracias a la aplicación constante de parches, se puedan eliminar las vulnerabilidades que se encuentren tanto en la infraestructura de TI de la organización como en los propios dispositivos de los usuarios.
Con este conjunto de medidas estratégicas se está protegiendo a los usuarios y a las propias empresas fortaleciendo su estrategia de ciberseguridad de forma eficaz.Además, es conveniente que las organizaciones tengan una postura proactiva con respecto a la ciberseguridad mediante la realización continua de ejercicios de phishing y smishing para que sus usuarios (que son el eslabón más débil de la cadena en su estrategia de ciberseguridad), estén en alerta de forma constante. Una de las principales funciones de un departamento de ciberseguridad, no es sólo contar con las herramientas de defensa adecuadas en su infraestructura de TI, sino fomentar una cultura corporativa que aliente la detención y notificación de actividades sospechosas para crear un frente común contra todas las amenazas potenciales.
Firmado: George Subin, Director Regional para el Sur de Europa y América Latina.
La entrada La campaña de la Renta, periodo crítico para cibertaques es original de MuySeguridad. Seguridad informática.