El pasado miércoles comenzó la campaña de la Renta 2020 y con ella los ciberdelincuentes no han querido dejar pasar el tiempo para ponerse ‘manos a la obra’ con una nueva campaña de phishing.
El Instituto Nacional de Ciberseguridad (INCIBE) alertó con importancia ‘Alta’ (cuatro sobre cinco) este nuevo malware que puede afectar a cualquier persona que reciba el correo y clique en su enlaces o descargues los archivos adjuntos
¿Cómo se realiza?
Se trata de una campaña de phishing, que suplanta la identidad a la Agencia Tributaria a través de un correo con el asunto “Acción fiscal” aprovechando el inicio de la campaña de la declaración de la Renta.
En el cuerpo del mensaje se solicita el acceso a Sede Electrónica o la descarga de un PDF para acceder a una presunta información fiscal relacionada con el usuario. Tanto si se hace clic en uno como en otro, la víctima del correo malicioso será redirigida a una web donde se descarga el ‘malware’.

Recomendaciones
A continuación, se recopilan algunas prácticas comunes para reconocer estos correos de phishing:
- El correo electrónico no está dirigido a usted: muchos tipos de phishing, incluidos los del tipo estándar, utilizan una red de arrastre para atrapar a cuantos puedan. Por ese motivo el mensaje no está personalizado con el nombre del destinatario, sino que saluda de forma vaga, por ejemplo, con «Estimado cliente», aunque puede llegar a utilizar el nombre de usuario del correo electrónico.
- Una oferta que no se puede rechazar: si le llega una oferta o ganga que parece demasiado buena para ser cierta, probablemente no lo sea. No deje que los timadores le engañen con ofertas tentadoras.
- Debe actuar de inmediato: a los ciberdelincuentes les encanta jugar con la urgencia. No caiga en el síndrome FOMO (siglas en inglés de «miedo a perderse algo»), no se crea las amenazas y, lo que es más importante, conserve la calma. Ninguna entidad legítima, ni gubernamental, ni empresarial, ni de ninguna clase, le dará una única y urgentísima posibilidad antes de cerrarle la puerta.
- Enlaces falsos: los hackers crean versiones falsificadas de sitios legítimos con URLs casi idénticas, animando en sus mensajes de phishing a hacer clic en estos enlaces. Esté atento a los errores deliberados, ya sean tipográficos (los hackers intentarán engañarlo con versiones ligeramente incorrectas de las URL legítimas) u ortográficos (cuando se hace uso de letras y caracteres de aspecto similar). Lea atentamente los enlaces antes de hacer clic en ellos.
- Mensajes escritos de forma incorrecta: el banco no envía correos electrónicos llenos de faltas de ortografía y errores gramaticales. Un atacanque sí que puede hacerlo, y a menudo lo hace. Descuidos como estos son claras indicaciones de un mensaje de phishing.
- Archivos adjuntos: los archivos adjuntos no tienen nada de malo en sí mismos… si los espera y proceden de alguien de confianza. Fuera de este contexto, aléjese de los archivos adjuntos desconocidos. Los estafadores pueden incluso ocultar malware en archivos de contenido enriquecido, como los PDF.
- Solicitudes de información personal: Si recibe un correo electrónico donde se le pide que confirme su información de cuenta, las credenciales de inicio de sesión u otros datos personales, es probable que se trate de una estafa.
CONCLUSION
Las amenazas digitales están a solo un clic, una descarga, un sitio web o un correo electrónico. Hay que tener especial cuidado y saber dónde se está accediendo o qué información se está facilitando. Hay muchos atacantes que están esperando el mínimo despiste. En este sentido, la mejor manera de evitar minimizar los riesgos ante un incidente de seguridad es contar con una serie de protocolos y una buena gestión de copias de seguridad de nuestra información.
Recuerda que desde GRUPO GIE, podemos ayudarte con el backup de tus datos gracias a nuestros servicios de ciberseguridad para empresas.