Alerta policial por fraude en la declaración de la Renta: Precaución ante correos sospechosos
Publicado enSeguridad

Alerta policial por fraude en la declaración de la Renta: Precaución ante correos sospechosos

No hay comentarios

Nueva campaña de phishing suplanta a la Agencia Tributaria: riesgos y medidas técnicas

Las autoridades españolas han alertado recientemente sobre una nueva campaña de phishing que utiliza el nombre de la Agencia Tributaria para engañar a los contribuyentes. Esta estafa, difundida mediante correos electrónicos fraudulentos, busca robar información sensible como credenciales de acceso o datos bancarios bajo el pretexto de gestiones relacionadas con la declaración de la renta.

Mecanismo técnico del ataque

El modus operandi sigue patrones clásicos de ingeniería social mejorados con técnicas actuales:

  • Suplantación de identidad (spoofing): Los correos falsifican el dominio y diseño gráfico de la Agencia Tributaria.
  • URLs maliciosas: Incluyen enlaces que redirigen a páginas clonadas con certificados SSL fraudulentos.
  • Urgencia artificial: Mensajes que presionan al usuario para actuar rápidamente, evitando análisis crítico.

Indicadores de compromiso (IoC) técnicos

Para identificar estos correos fraudulentos, se recomienda verificar:

  • Dominios del remitente no oficiales (ej: “@agenciatributaria-fake.com”)
  • Certificados digitales no emitidos por autoridades reconocidas
  • Formularios que solicitan información sensible sin contexto seguro
  • Errores gramaticales o de formato inconsistentes con comunicaciones oficiales

Medidas de protección recomendadas

Desde el punto de vista técnico, se aconseja:

  • Implementar filtros antispam con detección heurística avanzada
  • Utilizar soluciones de seguridad con capacidades anti-phishing
  • Verificar manualmente los certificados SSL antes de introducir datos
  • Nunca descargar archivos adjuntos de correos sospechosos
  • Habilitar autenticación multifactor en todos los servicios financieros

Implicaciones para la ciberseguridad corporativa

Este caso destaca la necesidad de:

  • Capacitar continuamente a los empleados en reconocimiento de amenazas
  • Implementar políticas DMARC, DKIM y SPF para proteger dominios corporativos
  • Monitorizar activamente la aparición de dominios similares (typosquatting)

Las autoridades recomiendan reportar cualquier intento de phishing a través de los canales oficiales del INCIBE o la Brigada de Investigación Tecnológica de la Policía.

Fuente original

Comentarios

Aún no hay comentarios. ¿Por qué no comienzas el debate?

Deja una respuesta