Detectan una campaña de phishing que suplanta a la Agencia Tributaria para robar credenciales digitales

Policía Nacional ha detectado una nueva campaña de phishing que, indican, suplanta a la Agencia Estatal de Administración Tributaria (AEAT) con el objetivo de engañar a los ciudadanos para que faciliten sus credenciales de acceso a la Dirección Electrónica Habilitada Única.

La amenaza, señalan, se materializa a través de correos electrónicos fraudulentos que simulan comunicaciones oficiales de la administración tributaria.

El fraude consiste en el envío de notificaciones electrónicas en las que se informa de una supuesta reclamación pendiente. Estos mensajes incluyen un enlace que invita a acceder a la plataforma para descargar la notificación, pero dicho enlace redirige en realidad a una página web fraudulenta diseñada para recopilar datos personales y credenciales de acceso.

Aunque los correos presentan una presentación que puede pasar por profesional, se aprecian indicios que permiten identificar el burdo engaño. Uno de los más relevantes es la dirección del remitente, que no guarda relación con el dominio oficial de la Agencia Tributaria, “agenciatributaria.gob.es”.

El asunto más frecuente detectado hasta el momento es “Aviso puesta a disposición de nueva notificación electrónica REF-XXXXXXXX”, si bien no se descarta la existencia de variantes con asuntos diferentes. En caso de haber recibido uno de estos correos sin haber accedido al enlace fraudulento, se recomienda reenviar el mensaje al buzón de incidentes para contribuir a la recopilación de información y a la prevención de nuevos fraudes. Asimismo, es aconsejable bloquear al remitente y eliminar el correo de la bandeja de entrada para evitar futuras interacciones.

Si el usuario ha accedido al enlace y ha facilitado información personal o credenciales, las recomendaciones pasan por contactar con la Línea de Ayuda en Ciberseguridad para recibir asesoramiento personalizado, recopilar y conservar todas las evidencias disponibles del fraude y presentar una denuncia ante las Fuerzas y Cuerpos de Seguridad del Estado. También se aconseja vigilar periódicamente la posible exposición de datos personales mediante egosurfing, cambiar las credenciales de acceso si se reutilizan en otros servicios online y activar el doble factor de autenticación siempre que sea posible.

Por último, se recuerda que ante cualquier duda sobre la legitimidad de una comunicación es fundamental verificar la información a través de los canales oficiales, como la web de la Agencia Tributaria. El acceso a las gestiones de la administración pública solo se realiza mediante sistemas seguros como Cl@ve permanente o móvil, DNI electrónico o certificado digital, nunca a través de enlaces incluidos en correos electrónicos no verificados.