La Agencia Tributaria no ha enviado correos electrónicos con el dominio ‘@aeat.es’ que alertan de una supuesta obligación fiscal: es un timo
Cuidado con este correo electrónico porque forma parte de una**campaña fraudulenta,** como ha asegurado**** la Agencia Tributaria (AEAT) en su página web. El **Instituto Nacional de Ciberseguridad (INCIBE)** ha asegurado a _Maldita.es_ _que_ se trata de un caso de******_email spoofing_** : los ciberdelincuentes **imitan el dominio real de la Agencia Tributaria (@****aeat.es****)** y consiguen ocultar la verdadera dirección de correo desde la que envían el mensaje.
¡Síguenos en el canal de WhatsApp **ALERTA TIMO** 🚨🚨🚨 y recibe nuestros avisos!
## Cómo usan el dominio de la AEAT para enviar correos electrónicos fraudulentos
El correo avisa de una notificación “urgente” en relación a una supuesta obligación fiscal. El dominio del remitente es **@****aeat.es** , registrado a nombre de la Agencia Tributaria.
Correo electrónico fraudulento que se hace pasar por la AEAT.
¿Cómo es posible que los timadores envíen un correo desde la dirección de este organismo? El INCIBE indica a _Maldita.es_ que los ciberdelincuentes “no han hackeado el sistema ni robado el dominio de la AEAT”, sino que emplean la técnica de **_email spoofing_**. Imitan la dirección oficial de la Agencia Tributaria y **consiguen ocultar la verdadera dirección de correo desde la que envían el mensaje**.
El INCIBE explica que este tipo de suplantación es posible porque el protocolo de transferencia de correos electrónicos (_Simple Mail Transfer_ o SMTP), que es el principal protocolo utilizado en el envío de correos, “es muy antiguo” y **no incorpora mecanismos de verificación de identidad.** “Es un engaño muy común que se usa para que la víctima abra un enlace que lleva a una página falsa donde intentan robar datos personales o bancarios, o descargue un adjunto malicioso”, apunta el INCIBE.
La AEAT aegura a _Maldita.es_ __ que suplantar un dominio “no es algo especialmente complejo ni extraordinario” y explica que, para **evitar la suplantación de un dominio** , usan unos protocolos de seguridad con los que “los servidores de las empresas que gestionan las cuentas de correo -Gmail, Outlook o Yahoo- puedan rechazar un correo” si no es auténtico. Según cuentan, “**no siempre** las empresas gestoras de las cuentas de correo logran comprobar los protocolos y, puntualmente, **los correos falsos acaban llegando”. **
En su web oficial, la AEAT ha alertado de este fraude y advierte de que el **archivo adjunto** del correo redirige a una web que “**suplanta la imagen** de la Sede electrónica de la Agencia Tributaria”. El objetivo de los ciberdelincuentes es hacerse con nuestros **datos personales y nuestro dinero. **
## Recomendaciones de la AEAT para evitar caer en el engaño
La Agencia Tributaria señala que “**nunca adjunta anexos con información de facturas u otros tipos de datos** por correo electrónico**”**.
También recomienda **evitar los enlaces** de correos electrónicos así como “**descargas de ficheros no seguros** ”. Si, como en este caso, el archivo adjunto suplanta la identidad de la AEAT, puedes fijarte en si **la URL** de la web es la oficial de la AEAT o si el texto contiene**faltas de ortografía o gramaticales**.
Ante cualquier duda, este organismo aconseja **acceder directamente a la Sede Electrónica de la AEAT** “tecleando la dirección en el navegador (sede.agenciatributaria.gob.es/) y verificando el certificado de la Sede”. Una vez en la página oficial, comprobar si tenemos comunicaciones o notificaciones pendientes.
Otro elemento clave para identificar un correo de _email spoofing_ es **visualizar la cabecera del email** para ver la dirección desde la que realmente se ha enviado el mensaje. El INCIBE explica en una guía cómo visualizar esta información en los principales servicios de correo electrónico (Gmail, Outlook, Yahoo…) y cómo puedes protegerte.
¿Crees haber detectado un timo? ¿Has sido **víctima** de alguno? Escríbenos a nuestro buzón de timos: **[email protected]**
## Qué hacer si hemos sido víctimas de este timo
Si has caído en el engaño y has facilitado tus datos, aquí tienes una serie de pasos a seguir:
* **Recopila todas las evidencias** de cómo se ha producido el timo y denuncia ante la **Policía Nacional** o la **Guardia Civil**.
* Si has facilitado tus **datos personales** , práctica el _egosurfing_ para comprobar que no se está haciendo un uso indebido de los mismos.
* Si también has facilitado los**datos de tu tarjeta bancaria** , contacta con **tu banco** para contarle lo ocurrido. Valora si es necesario bloquear o anular tu tarjeta y solicitar una nueva.
Si piensas que has sido víctima de este timo puedes contarnos tu historia escribiéndonos a [email protected].
