La Agencia Estatal de Administración Tributaria (AEAT) ha vuelto a encender las alarmas por un nuevo intento de estafa masiva. Esta vez, el fraude llega a través del correo electrónico y se presenta como una supuesta “notificación” oficial en la que se pide al contribuyente que pague una liquidación pendiente mediante transferencia a una cuenta corriente. Un nuevo intento de estafa a través de transferencias bancarias, un método que parece que se está poniendo ‘de moda’ entre los delincuentes.
Según ha informado el propio organismo público en su página web, se trata de una campaña de phishing en la que los estafadores suplantan la identidad de la Agencia Tributaria. El mensaje llega a la bandeja de entrada como si fuera una comunicación institucional y, para resultar más creíble, incluye un número de expediente, una categoría de actuación y la fecha y hora de inicio del procedimiento, como si se tratara de una comprobación real.
En el texto se indica al destinatario que “su administración tributaria ha generado un escrito informativo a su nombre” y se le invita a consultar todos los detalles en un archivo PDF adjunto. Ese documento no es real y es mediante el cual los estafadores buscan engañar al destinatario.
Sin duda, Hacienda es uno de los organismos preferidos por los estafadores para llevar a cabo sus engaños mediante suplantación de identidad, al ser una entidad oficial de la que dependen todos los españoles para sus obligaciones tributarias, lo que genera más confianza en los receptores de las estafas. Solo hay que ver la última campaña de phising que lanzaron mediante notificaciones de la declaración de la renta, aprovechándose del pago de la devolución de esta.
Cómo es el correo electrónico falso de la Agencia Tributaria
El mensaje suele aparecer con un asunto similar a “Notificación de la Agencia Tributaria para xxxx” y un remitente que imita el formato de un correo oficial. En el cuerpo del email se informa al contribuyente de que se ha abierto una actuación de “comprobación limitada” y se le facilita un número de expediente y un supuesto “comunicado oficial”.
A continuación, se indica que puede consultar la información completa en un archivo adjunto, identificado con un nombre del estilo “Notificacion_xxxxxxxx-xxxx,519.pdf”. Ese PDF, que incluye el logotipo y el encabezado de la AEAT, pretende ser una notificación formal de liquidación.
Las imágenes difundidas por la propia Agencia muestran que el documento falso está personalizado con los datos del destinatario: nombre, NIF, domicilio fiscal e incluso un apartado de “perito responsable”. En el cuerpo del texto se detalla una liquidación con distintos conceptos y se indica que existe un importe pendiente de pago.
En la parte inferior del escrito se añade un recuadro con los “datos bancarios”, donde aparece un número de cuenta IBAN y una referencia de expediente o de pago. El objetivo es que el contribuyente, al creer que se trata de una deuda real con Hacienda, realice el ingreso directamente en esa cuenta, que en realidad pertenece a los delincuentes. Los importes, el IBAN y los datos del supuesto perito pueden cambiar de un correo a otro, pero el esquema es siempre el mismo.
La AEAT recuerda que nunca pide ingresos ni datos confidenciales por correo electrónico
La Agencia Tributaria insiste en que estos mensajes no proceden de sus sistemas informáticos y que las notificaciones auténticas nunca exigen al contribuyente que haga un ingreso en una cuenta indicada en un simple correo electrónico ni adjuntan PDFs de este tipo para gestionar pagos.
El organismo vuelve a recordar varias pautas básicas de seguridad:
- Nunca solicita por correo electrónico información confidencial, económica o personal, como números de cuenta, tarjetas bancarias o claves.
- No envía facturas, liquidaciones o documentos similares como ficheros adjuntos para que el ciudadano actúe directamente desde el correo.
- Cualquier notificación real se canaliza a través de la Sede electrónica o de las vías oficiales habituales (Dirección Electrónica Habilitada, notificaciones en papel, etc.).
Ante la mínima duda, la recomendación de Hacienda es clara: no abrir el archivo adjunto, no responder al correo y no realizar ningún pago. En su lugar, el contribuyente debe acceder directamente a la Sede electrónica de la AEAT escribiendo la dirección en el navegador (sin utilizar enlaces incluidos en emails) y comprobar allí si tiene alguna comunicación o notificación pendiente.
Si el ciudadano ya hubiera realizado un ingreso siguiendo las indicaciones del correo falso, se aconseja contactar de inmediato con su entidad bancaria para intentar bloquear la operación y presentar denuncia ante las Fuerzas y Cuerpos de Seguridad del Estado.
Con este nuevo aviso, la Agencia Tributaria vuelve a pedir máxima prudencia a todos los contribuyentes: desconfiar de cualquier mensaje que pida dinero o datos personales en nombre de Hacienda es la mejor defensa frente al phishing.