Cuidado si recibes este mensaje de Hacienda ¡No piques!

Un mensaje de texto que aparenta ser oficial, una supuesta incidencia con su declaración de la Renta y la amenaza de una posible multa si no se actúa "inmediatamente". Este es el cebo que los ciberdelincuentes están utilizando una vez más, aprovechando la actual Campaña de Renta, para intentar engañar a los contribuyentes y hacerse con sus datos personales y bancarios.

La Oficina de Seguridad del Internauta (OSI) del Instituto Nacional de Ciberseguridad (INCIBE) ha venido alertando periódicamente sobre estos casos de 'smishing' y 'phishing' que utilizan la imagen de la Agencia Tributaria (AEAT). La alerta más reciente incide en la persistencia de estas campañas fraudulentas.

Así funciona el engaño: un SMS que suplanta a Hacienda

El modus operandi de los estafadores es consistentemente similar. El ciudadano recibe un SMS en su teléfono móvil que, presuntamente, proviene de la Agencia Tributaria. En este mensaje se notifica una supuesta incidencia en la declaración del IRPF o, en otras variantes, se informa sobre un reembolso de impuestos o el pago de una devolución.

Estos mensajes fraudulentos siempre incluyen un enlace que redirige a una página web diseñada para imitar la apariencia del portal oficial de Hacienda. Un detalle preocupante es que, en ocasiones, estos SMS falsos logran "colarse" en el historial de mensajes legítimos que el contribuyente haya podido recibir de la AEAT en años anteriores, lo que puede aumentar la confusión.

Aunque los detalles como las cuantías, las excusas o las entidades mencionadas pueden variar cada año, el objetivo final es siempre el mismo: conseguir que la víctima introduzca sus datos personales (nombre, apellidos) y, fundamentalmente, la información de su tarjeta de crédito.

¿Qué hacer ante un SMS sospechoso?

La recomendación principal ante la recepción de un mensaje de estas características es clara: no hacer clic en el enlace proporcionado. Lo aconsejable es bloquear al remitente y eliminar el mensaje inmediatamente.

Es crucial recordar que organismos oficiales como la Agencia Tributaria, la Seguridad Social o el Ministerio de Hacienda no suelen solicitar información sensible o datos personales a través de SMS o correo electrónico. Ante cualquier duda, es preferible contactar directamente con la entidad a través de sus canales oficiales (página web o teléfono) y nunca respondiendo a la comunicación sospechosa.

Otros indicios que pueden alertar sobre un fraude son la presencia de erratas o faltas de ortografía en el mensaje. Además, antes de pulsar cualquier enlace, se recomienda pasar el cursor sobre él (en dispositivos que lo permitan) para visualizar la URL real. Si no se corresponde con el dominio oficial del organismo, no se debe abrir, ya que los logotipos y cabeceras son fácilmente imitables, pero la dirección web no puede ser idéntica a la oficial.

Si ya has caído en la trampa: pasos a seguir

En el caso de haber accedido al enlace fraudulento e introducido los datos solicitados, es fundamental actuar con rapidez. Se debe contactar de inmediato con la entidad emisora de la tarjeta bancaria para informar de lo sucedido y proceder a su bloqueo o cancelación.

Es igualmente importante guardar todas las pruebas posibles del 'smishing', incluyendo capturas de pantalla de los mensajes y los enlaces recibidos. Finalmente, se debe denunciar el engaño ante las Fuerzas y Cuerpos de Seguridad del Estado y comunicar el incidente al buzón de reporte de fraude del INCIBE.

Organizaciones como la OCU también ofrecen información y orientación para detectar estos engaños y asesoran sobre cómo proceder para defender los intereses de los afectados.