Falsa denuncia de la Agencia Tributaria usada para robar credenciales de correo

Queda claro que este año los delincuentes están aprovechando a conciencia el inicio de la campaña de la Renta con varias campañas de correos y mensajes SMS. Ya son varios los ejemplos analizados y parece que estos no van a cesar, al menos a corto plazo, usando todo tipo de ganchos relacionados con la Agencia Tributaria.

Denuncia de la Agencia Tributaria

El email que se ha estado propagando durante las últimas horas y que usa de nuevo el nombre de la Agencia Tributaria vemos como se indica la existencia de una supuesta denuncia a nuestra empresa por no haber declarado ciertas facturas o tickets o haber emitido facturas falsas. Es un correo pensado para causar intranquilidad y generar sensación de urgencia entre aquellos destinatarios que lo reciban, algo ideal para este tipo de campañas ya que no pocos usuarios bajan la guardia ante estos correos.

No obstante, podemos ver alguna cosa extraña en este email, como por ejemplo el remitente real desde donde se envía. Si bien aparece la referencia de la Agencia Tributaria, también podemos observar otro remitente que pertenece a una empresa farmacéutica francesa. Eso es un punto muy importante para detectar engaños de este tipo, aunque no siempre los delincuentes cometen este error. Lo mejor ante estos casos es acudir a las plataformas oficiales de contacto en vez de pulsar sobre enlaces y archivos adjuntos como en este caso.

Hablando de ficheros adjuntos, este correo viene acompañado de un fichero de nombre “denuncia-Dpavnh.PDF.htm” o similar. Como se puede observar, los delincuentes juegan al despiste con la doble extensión del archivo, confundiendo a algunos usuarios que pueden pensar que están ante un fichero PDF, aunque no sea así. En realidad, el fichero tiene la extensión HTM y contiene el siguiente código en su interior.

La finalidad de este código HTML no es otra que redirigir al usuario que abra el fichero a una web preparada por los delincuentes donde se solicitan el nombre de usuario y la contraseña de la cuenta de correo corporativa, asumiendo que se trata de Microsoft Outlook.

Si el usuario cae en esta trampa e introduce sus credenciales es posible que los delincuentes puedan acceder a su cuenta de correo si esta no dispone de medidas adicionales de seguridad como la obligatoriedad de usar una VPN en el caso de que se trabaje remotamente o algo indispensable hoy en día como es el doble factor de autenticación.

Este acceso a la cuenta de correo puede servir tanto para robar información confidencial, lanzar campañas de spam desde esa cuenta o para preparar campañas más elaboradas a otros empleados de esa empresa, a clientes o proveedores. En cualquier caso, son credenciales valiosas que los delincuentes obtienen de una forma sencilla pero eficaz si no se toman en cuenta las medidas básicas de seguridad.

Conclusión

Parece que este año vamos a ver varias campañas relacionadas con la campaña de la renta y la Agencia Tributaria, por lo que es importante aprender a reconocer cuando podemos estar ante un posible engaño y contar con la ayuda de soluciones de seguridad que nos protejan de este tipo de acciones maliciosas.

Josep Albors

La importancia de la inversión en ciberseguridad para las pymes españolas