La Guardia Civil y el Instituto Nacional de Ciberseguridad (INCIBE) han emitido un comunicado advirtiendo sobre una campaña de 'phishing' (suplantación de identidad con el objetivo de obtener datos privados) que se está detectando en los últimos días. Según han explicado, los ciberdelincuentes tienen como objetivo engañar a las víctimas para que faciliten sus credenciales de acceso a la Dirección Electrónica Habilitada Única (DEHÚ) , lo que a la postre les abriría las puertas a poder acceder a datos tan sensibles como la declaración de la Renta. El método para cometer el fraude consiste en el envío de notificaciones a través de correo electrónico en el que informan sobre una nueva notificación electrónica sobre una supuesta reclamación realizada por la Agencia Estatal de Administración Tributaria (AEAT) . Esta va acompañada de un enlace para acceder a la plataforma y descargar la notificación, pero dicho enlace redirecciona una web falsa. Lo que hace peligrosa esta campaña es que las notificaciones están aparentemente bien redactadas y maquetadas. La única forma en la que se puede detectar que es una estafa es que la dirección de correo del remitente no tiene relación con el dominio oficial de la agencia tributaria, que es agenciatributaria.gob.es. El asunto con el que se identifican estos correos es: 'Aviso puesta a disposición de nueva notificación electrónica REF-XXXXXXXX', muy similar al de los correos que sí se emiten desde la AEAT de forma lícita. Si el usuario no se da cuenta de lo que está pasando, para él es aparentemente inocuo y, de hecho, finaliza permitiendo el acceso a la web legítima de la Agencia Tributaria. El problema es que el fraude se realiza en un paso previo . La víctima, si pulsa el enlace falso para acceder a la notificación, será redirigido a una página fraudulenta donde se solicita un identificador y una contraseña. Es aquí donde los ciberdelincuentes obtienen las credenciales, y puede redirigir o bien a una página falsa de la plataforma de notificaciones, la Dirección Electrónica Habilitada Única (DEHÚ), o bien a una que suplanta la página legítima de la AEAT pero que, tras introducir los datos solicitados, sí redirige a la página legítima de la Agencia Tributaria. La víctima puede acabar accediendo a su perfil real de la AEAT sin darse cuenta de que, por el camino, ha entregado sus datos a ciberdelincuentes.
