cuidado con el timo de la renta por sms que clona la web de la agencia tributaria
La campaña del IRPF es el escenario perfecto para los timo de la renta por sms, conocidos como smishing. Los delincuentes envían mensajes que dicen que hay un error en tu borrador o que tienes una devolución pendiente, y te empujan a pulsar un enlace sin pensarlo.
Para que el engaño sea más real, clonan la web de la Agencia Tributaria. Copian el código HTML, CSS y JavaScript, usan el mismo logotipo y tipografía, e incluso enlazan a secciones oficiales del BOE para que parezca auténtico. El formulario que ves es una trampa que recoge tu DNI y tu contraseña de Cl@ve o, si no tienes, los datos de tu tarjeta de crédito.
Los estafadores también registran dominios que se parecen mucho al oficial, usando typosquatting o subdominios como agenciatributaria.gob.es.tramites-online.com. Instalan certificados SSL gratuitos para que el candado de seguridad luzca como si fuera seguro, aunque solo indica que la conexión está cifrada.
La Agencia Tributaria nunca pide datos sensibles por sms ni por correo. Si ves un mensaje que dice que te devuelven 650 euros, desconfía. Ignora cualquier enlace y accede directamente a la App oficial o escribe manualmente sede.agenciatributaria.gob.es. Además, activa la autenticación de doble factor (2FA); si recibes un código sin que hayas iniciado el trámite, algo anda mal.
¿cómo se clona la web de la agencia?
Los atacantes copian todo el código de la sede electrónica y usan el mismo logotipo y tipografía. Así, cuando pulsas el enlace del sms, la página que ves parece idéntica a la oficial, pero el formulario captura tus datos.
¿por qué el candado https no garantiza seguridad?
El certificado SSL solo indica que la conexión está cifrada. Los estafadores usan certificados gratuitos para que el navegador muestre el candado, engañando a los usuarios que lo asocian con la veracidad de la entidad.
¿qué hacer si recibes un mensaje sospechoso?
Ignora el enlace y abre la App oficial o escribe sede.agenciatributaria.gob.es. Activa la autenticación de doble factor (2FA). Si recibes un código sin que lo hayas solicitado, detén cualquier acción y reporta el mensaje.