Fernando Labrador | EFEMadrid

¿Qué verificamos?

La Agencia Tributaria facilita "reembolsos de impuestos" a contribuyentes a través de correos electrónicos en los que pide datos personales.

Conclusión

Es un intento de estafa, otro caso de "phishing". Hacienda nunca pide datos bancarios en correos electrónicos ni efectúa devoluciones con pagos a tarjetas.

La Agencia Tributaria no envía correos electrónicos a contribuyentes en los que les pide datos personales para poder transferir a sus cuentas "reembolsos de impuestos", como pretenden hacer creer mensajes enviados por esta vía con el señuelo de la campaña de la renta que encubren en realidad un intento de estafa.

En los últimos días, usuarios de Twitter han informado sobre la existencia de correos electrónicos en los que se les invita a facilitar datos personales y bancarios a través de una web para recibir una presunta devolución de impuestos.

Bajo el logotipo del Gobierno de España, acompañado en ocasiones con el de la Agencia Tributaria, estas "notificaciones de reembolso" se presentan con un encabezado genérico, en el que se saluda al “estimado contribuyente”, sin nombre concreto ni indicación personal alguna sobre el destinatario del mensaje.

Tras explicar que, después de los cálculos sobre la actividad fiscal del contribuyente, la Agencia Tributaria ha comprobado que tiene derecho a la devolución de una determinada cantidad de dinero, el texto invita al usuario a entrar en el enlace que conduce a una web para rellenar con sus datos un supuesto formulario de reembolso.

La cantidad del presunto reembolso varía según los correos y en los mensajes no queda indicado qué impuesto conlleva la devolución. No obstante, este envío masivo ha coincidido con el tramo final de la Campaña de la Renta 2019, en unas fechas en las que millones de contribuyentes españoles reciben devoluciones del IRPF.

Ni pide datos bancarios por correo ni hace devoluciones a tarjetas

En realidad, estos correos no son más que un intento de estafa sobre el que ya ha advertido la Policía Nacional y ante el que la Agencia Tributaria aclara que Hacienda nunca pide datos personales o bancarios a los contribuyentes a través de correos electrónicos.

Se trata, en definitiva, de otro caso de "phishing" (técnica usada por ciberestafadores que suplantan la identidad de páginas conocidas por el usuario para acceder a sus datos confidenciales), un tipo de delito electrónico que pasó a ser muy habitual tras el confinamiento por el estado de alarma decretado para hacer frente a la pandemia de la COVID-19 y que, en este caso, aprovecha la campaña de la renta.

Fuentes de la Agencia Tributaria consultadas por EFE han aclarado que este organismo nunca solicita por correo electrónico información confidencial, económica o personal, números de cuenta ni números de tarjeta de los contribuyentes, ni realiza jamás devoluciones a tarjetas de crédito o débito.

La Policía Nacional alertó esta semana en Twitter acerca de esta nueva estafa y pidió desconfiar de todo correo que se encabece con la palabra “reembolso”, como ocurre en estos casos.

Con las etiquetas #Phishing y #NoPiques, la cuenta de la Policía en Twitter llama a contrastar con una fuente oficial y a no facilitar datos sensibles.

Cómo actúa Hacienda frente a estos engaños

La Agencia Tributaria ha explicado a EFE que estos casos de "phishing" son “relativamente habituales y, en mayor medida, durante la campaña de renta de cada año”. Cuando los detectan, su primera acción es “impulsar la anulación del caso concreto con la mayor celeridad posible”.

El protocolo que sigue la Agencia Tributaria tiene “carácter reservado” para que quien realiza los ataques no pueda variar sus técnicas. Lo que sí puede explicar es que el objetivo de esos protocolos es anular el efecto último: Cancelar la “URL” (dirección de internet) de destino a la que se remite al receptor de los correos para que, si el mensaje se sigue enviando, su enlace no lleve a ninguna página.

“En términos generales, la página se logra cerrar en unas horas”, subraya la Agencia Tributaria, si bien “es perfectamente posible que en cualquier otro momento sigan produciéndose envíos con un texto similar (o el mismo) que lleven detrás una ‘URL’ distinta”. Entonces “sería ya un caso nuevo, aunque parezca el mismo”.

La Agencia Tributaria pone además a disposición de los contribuyentes en su web un aviso de seguridad frente a los diversos intentos de fraude por cauces tecnológicos (internet, servicios telefónicos, aplicaciones para móviles...).

Cuando detecta que un determinado caso tiene mayor persistencia y, por tanto, gravedad, es cuando la Agencia Tributaria publica advertencias específicas. “Esto es algo que sucede en muy contadas ocasiones -puntualiza- y no es el caso de los supuestos de los últimos días”.

Fuentes:

- Departamento de Comunicación de la Agencia Tributaria (AEAT).

- Cuenta en Twitter de la Policía Nacional.