Los ciberdelincuentes han puesto en marcha una campaña de suplantación de la Agencia Tributaria a través de correos electrónicos con el fin de robar credenciales, según alerta la compañía de ciberseguridad ESET. La campaña tiene como objetivo engañar a los usuarios con notificaciones falsas de la Agencia Tributaria, aprovechando los meses en los que se realiza la declaración de la renta. Durante los últimos días se han identificado dos tipos de correo malicioso que simulan ser una notificación oficial de la Agencia Tributaria para engañar al usuario.

En algunos de estos correos, los actores maliciosos envían un enlace que lleva al usuario a una web fraudulenta que simula ser la oficial de la Agencia Tributaria. Para incentivar que el usuario pulse dicho enlace, los ciberdelincuentes indican que se trata de un aviso de una notificación enviada por dicho organismo. Una vez se pulsa en el enlace, los actores maliciosos dirigen al usuario a una web fraudulenta que simula ser la web oficial de la Agencia Tributaria.

La campaña de ciberdelincuencia se basa en la suplantación de un sitio web para robar credenciales y el envío de archivos adjuntos infectados con el malware infostealer para robar información personal. Una vez los actores maliciosos obtienen los datos, los ciberdelincuentes los utilizan posteriormente para acceder a otros servicios o venderlos como tráfico de información.

Un aspecto a tener en cuenta para detectar los correos fraudulentos es analizar la URL, ya que la extensión .bz hace referencia a los dominios de Belize, algo extraño para una web gubernamental española. En caso de tratarse de la web oficial de la Agencia Tributaria aparecerían las extensiones .gob y .es. Además, aunque la web está dotada de un certificado de seguridad, lo cual se identifica con el icono del candado cerrado que aparece en la barra de búsqueda, tal característica solo indica que los datos enviados desde el dispositivo del usuario a la web se transmiten por un canal cifrado, no que se trate de una web segura en sí, y no implica ninguna garantía de que el usuario esté navegando por un sitio web legítimo.

Según ESET, la apariencia de estos correos electrónicos es idéntica a la plantilla utilizada en otra campaña de ataques identificada en el mes de enero. En ella, aparecen datos específicos que simulan de forma precisa los correos oficiales de este organismo. Sin embargo, en este caso, en vez de hacer referencia a una comunicación postal, ahora los actores maliciosos se refieren a una notificación electrónica. Por otra parte, el otro tipo de correo electrónico identificado en esta campaña de suplantación de la Agencia Tributaria incluye un documento malicioso que descarga el malware infostealer.

Siguiendo esta línea, los usuarios deben aprender a "identificar este tipo de correos maliciosos" para descartarlos nada más recibirlos y contar con soluciones de seguridad capaces de identificar las amenazas que suelen contener, señala el director de Investigación y Concienciación de ESET España, Josep Albors.