Los intentos de suplantación de mensajes de la Agencia Tributaria y de los bancos forman ya parte de la rutina de muchos receptores de correos y SMS en los que reciben comunicados que pueden estar personalizados con su nombre y que recrean, por lo general, bastante bien la identidad de quien se supone que los ha enviado.

El phishing es un conjunto de técnicas que se emplean para engañar a quienes se convertirán en sus víctimas al proporcionarles datos, como contraseñas, números de cuentas bancarias, información de tarjetas de crédito, etc, que terminarán siendo empleados para el beneficio del estafador, también conocido en estos casos como phisher.

Por lo tanto, cualquier técnica que tenga como objetivo ganarse la confianza de otra persona, al simular un correo, SMS, o sitio web que se han creado como gemelos de los verdaderos, o utilizando su misma estética, logotipos, etc, deberá de ser considerada como phishing.

Cómo podemos detectar el phishing

En realidad no resulta nada complicado detectar estos intentos de estafa porque en esos mensajes se realizan solicitudes que son, por completo, ajenas a lo que se puede esperar de la Agencia Tributaria o de los bancos.

La Agencia Tributaria nunca va a solicitar información confidencial mediante correos electrónicos o SMS, que pueda identificarle, como su DNI, ni tampoco le va a solicitar por este sistema números de cuentas bancarias o de tarjetas de crédito. Tampoco le va a enviar archivos adjuntos o aplicaciones para que las instale en su ordenador o móvil.

En el phishing se incluyen enlaces a webs que simulan las originales, aunque lo acertado es no pulsar en dichos enlaces porque:

  • Van a detectar que usted, como destinatario, ha recibido el correo y se ha interesado por él. Así que esto le convertirá en un objetivo a tener en cuenta.
  • Esas webs de destino pueden contener malware o virus.

En cuanto al phishing que afecta a los bancos los intentos de engaño se realizan utilizando correos, SMS y llamadas telefónicas. Es frecuente en estos casos que se simule la web del banco que es enlazada desde un correo, con lo cual el destinatario, al loguearse estará proporcionando el usuario y contraseña de acceso. También le pueden solicitar que introduzca los datos de su tarjeta de crédito, de la que se menciona que ha sido bloqueada, con la supuesta intención de volver a activarla. En cualquier caso su banco jamás le va a solicitar que realice ninguna de estas acciones, y en caso de que tuviese alguna duda lo razonable es que sea usted quien se ponga en contacto con el banco sin utilizar los enlaces mencionados en un correo, o proporcionándole a alguien que le ha llamado por teléfono datos sensibles.

Consejos adicionales para identificar el phishing

  • La redacción de los mensajes o correos suele ser deficiente. En algunos casos los textos parecen traducciones realizadas desde otros idiomas.
  • El motivo por el que le contactan suele ser un asunto muy urgente que requiere su rápida intervención. Pueden decirle que le han bloqueado la tarjeta o que Hacienda ha detectado que algún error en su declaración y le solicita que proporcione la información correcta, por lo general algún medio de pago.
  • Aunque en ocasiones los correos pueden llegar personalizados con su nombre, lo más frecuente es que se dirijan a usted como cliente o contribuyente.
  • Si los correos le llegan a direcciones de email que ni su banco ni la Agencia Tributaria conocen, aunque se dirijan a usted por su nombre, es evidente que van a ser phishing.
  • Siempre que en un correo o SMS nos soliciten datos de identificación personales, o de cuentas bancarias o tarjetas, hay que evitar la vía propuesta por esos mensajes, y si tenemos alguna duda, debemos de consultar directamente con la entidad que creemos que nos está contactando.
  • Nunca responda a esos mensajes solicitando que no se los vuelvan a enviar, porque estará confirmando que el destino es correcto.
  • Si los correos incluyen algún archivo, sin que importe su extensión, no lo abra nunca. Ante la menor intuición de que está siendo objeto de un intento de estafa, contacte primero con la Agencia Tributaria o con su banco.

Ejemplos de phishing ofrecidos por la Agencia Tributaria. Para conocer más casos de phishing pulse en el enlace.