Cuidado con los ciberriesgos a la hora de hacer la declaración de la renta
cincodias.elpais.com
La campaña de la renta correspondiente al ejercicio 2021 comenzó el pasado 6 de abril y, hasta el próximo 30 de junio, los contribuyentes pueden presentar ante Hacienda la declaración del IRPF. Los ciudadanos que opten por hacerla a través de internet deben saber que no están exentos de ciertos riesgos. Durante este periodo del año, los ciberdelincuentes encuentran la oportunidad perfecta para suplantar la identidad de la Agencia Tributaria y así robar datos bancarios, sobre todo. S21sec, empresa de servicios de ciberseguridad, ha elaborado un informe que recoge las amenazas cibernéticas más comunes en esta época.
Lo primero, se prevé un incremento de ciberdelitos por parte de los hackers. Además, los principales ataques que tendrán lugar este año son de ingeniería social, robo de credenciales bancarias, de datos personales, compromiso de redes o dispositivos y ransomware, apunta la compañía. “Los ciberdelincuentes utilizan un conjunto de tácticas, técnicas y procedimientos (conocidos como TTP) para defraudar y estafar a los contribuyentes. Este fraude suele comenzar en los meses previos al plazo de presentación de la renta, pero alcanza su punto máximo durante la campaña y se extienden, aunque con menos intensidad, a los meses posteriores”, señala Sonia Fernández, responsable del equipo de inteligencia de S21sec.
Utilizando el anzuelo del periodo de recaudación, una de las estafas más recurrentes es el phishing, un método de engaño que se sirve del correo electrónico. Durante la campaña de la renta, los ciberdelincuentes envían correos masivos fraudulentos. El objetivo es el robo de datos personales o bancarios, ya sea a través de la remisión de la víctima a una página web falsa que suplanta a la de la Agencia Tributaria o mediante la descarga de ficheros con programas maliciosos. “El contenido del correo contiene numerosos errores gramaticales que hacen desconfiar de su veracidad y, por tanto, de su procedencia”, advierte Fernández.
También se usa el smishing o envío de mensajes de texto (SMS) que incluyen enlaces maliciosos. Ofrecen una URL para concertar cita previa o modificar el borrador. Si la víctima accede, aparecerá un sitio web en el que encontrará un formulario donde se recogen datos personales y financieros.
Los estafadores se sirven igualmente del canal telefónico para engañar a ciudadanos y empresas con el gancho del IRPF. El vishing utiliza la metodología VoIP (voz sobre IP) a través de llamadas telefónicas haciéndose pasar por la Agencia Tributaria para llevar a cabo ingeniería social y robar información de los contribuyentes.
Por otro lado, y aprovechando que en 2018 se lanzó la aplicación oficial de la Agencia Tributaria para los sistemas operativos iOS y Android, a través de la cual es posible realizar diversos trámites y generar y presentar la declaración de renta, los ciberdelincuentes a menudo se hacen pasar por aplicaciones legítimas engañando a los usuarios para que se descarguen una app infectada con malware con la finalidad de sustraer credenciales al intentar iniciar sesión e introducir datos.
Los expertos de S21sec recomiendan disponer de un antivirus actualizado y, en caso de haber instalado cualquier archivo sospechoso, desinfectar el dispositivo. La Agencia Tributaria nunca solicita por correo electrónico información confidencial.
Los ciberataques en España han crecido un 125% en el último año, hasta alcanzar los 400.000 diarios. Este aumento se debe sobre todo a la rápida incorporación al mundo digital de muchas empresas. Por este motivo, la implementación de la ciberseguridad en la actualidad se considera tan importante. Desde Tranxfer, que ofrece una solución B2B que permite disponer de un único conducto de comunicación de documentos entre la empresa y los destinatarios externos, explican que en el mundo de la ciberseguridad existen tres equipos.
El blue team es la seguridad defensiva; busca proteger activos críticos de una organización contra cualquier amenaza y trata de defender de manera proactiva ataques reales. Su principal objetivo es analizar patrones y comportamientos que se salen de lo común.
El red team es la seguridad ofensiva. Se encarga de poner a prueba el blue team buscando vulnerabilidades; ataca el sistema de manera radical para probar la eficacia del programa de seguridad, con un ataque que no es avisado para que la defensa sea con máxima objetividad. Los ataques realizados pueden ser internos de la propia empresa o de una empresa externa.
Por último, el purple team existe para analizar y maximizar la efectividad de los dos equipos anteriores. Enfrenta las técnicas de defensa del blue team contra las técnicas de ataque del red team; así se logra ver si el sistema está funcionando o está preparado de manera correcta.