L’OCU alerta per una nova onada d’SMS falsos que suplanten l’Agència Tributària durant la Renda 2025

L’Organització de Consumidors i Usuaris (OCU) ha emès una alerta sobre una nova onada de missatges fraudulents que suplanten la identitat de l’Agència Tributària. Els ciberdelinqüents aprofiten l’actual Campanya de la Renda per enviar SMS enganyosos que notifiquen suposades incidències en les declaracions o possibles devolucions pendents, amb l’objectiu d’obtenir dades personals i bancàries dels contribuents.

Segons informa l’OCU, aquesta pràctica coneguda com a "smishing" (phishing a través d’SMS) es repeteix cada any coincidint amb la temporada de declaracions fiscals. Els estafadors utilitzen la imatge de l’Agència Estatal d’istració Tributària (AEAT) com a esquer per guanyar-se la confiança dels usuaris i aconseguir que aquests accedeixin a enllaços fraudulents on se’ls sol·licita informació sensible.

L’Oficina de Seguretat de l’Internauta (OSI) de l’Institut Nacional de Ciberseguretat (INCIBE) ve alertant periòdicament sobre aquests intents de frau que segueixen un patró molt similar: missatges de text que notifiquen una suposada devolució de l’IRPF o adverteixen sobre incidències en les declaracions ja presentades, sempre incloent un enllaç que dirigeix a una pàgina web fraudulenta que imita l’aparença oficial de la pàgina d’Hisenda.

Com funciona aquest engany massiu?

El modus operandi dels ciberdelinqüents és bastant sofisticat. L’usuari rep un SMS aparentment procedent de l’Agència Tributària informant sobre una suposada incidència en la seua declaració de la Renda. El missatge sol incloure una amenaça de multa si el problema no se soluciona "immediatament", generant així una sensació d’urgència que porta a molts contribuents a actuar sense reflexionar.

El més preocupant és que aquests missatges fraudulents aconsegueixen "colar-se entre els SMS legítims que l’Agència Tributària ha enviat en campanyes anteriors", la qual cosa augmenta la seua credibilitat davant dels ulls de l’usuari desprevingut.

En altres variants del frau detectades en anys anteriors, els estafadors informen sobre supòsits reemborsos d’impostos o notifiquen que s’ha ordenat el pagament d’una devolució de l’IRPF, però indiquen que és necessari proporcionar certes dades per rebre-la. Encara que els detalls poden variar cada any (entitats esmentades, imports, excuses utilitzades), l’objectiu sempre és el mateix: dirigir la víctima cap a una pàgina web falsificada on se sol·liciten dades personals i bancàries.

Recomanacions per protegir-se del smishing fiscal

L’OCU ofereix una sèrie de recomanacions per evitar caure en aquestes estafes digitals que s’intensifiquen durant la temporada de declaracions:

- No fer clic en enllaços rebuts per SMS o correu electrònic, especialment si sol·liciten informació personal o bancària.

- Bloquejar el remitent i eliminar immediatament el missatge sospitós.

- Si ja s’han introduït dades a la pàgina fraudulenta, ar urgentment amb l’entitat emissora de la targeta per bloquejar-la.

- Conservar totes les proves de l’intent de frau, incloent captures dels missatges i enllaços.

- Denunciar l’engany davant de les Forces i Cossos de Seguretat de l’Estat i comunicar-ho a la bústia de report de frau de l’INCIBE.

Com identificar comunicacions oficials legítimes

Un aspecte fonamental que els ciutadans han de tenir en compte és que l’Agència Tributària i altres organismes oficials no utilitzen SMS ni correus electrònics com a vies habituals per sol·licitar informació sensible als contribuents.

Si es rep una comunicació sospitosa, el més segur és ar directament amb l’organisme oficial a través dels seus canals verificats, com la seua pàgina web oficial o telèfons d’atenció al ciutadà, mai no responent al missatge rebut.

A més, és recomanable fer atenció a possibles indicis de frau com errates, faltes d’ortografia o adreces web que no coincideixen amb els dominis oficials. Una bona pràctica consisteix a situar el cursor sobre qualsevol enllaç abans de fer clic per verificar l’URL real de destí.

Smishing: una amenaça creixent en el panorama de ciberseguretat

L'smishing s’ha convertit en una de les tècniques d’enginyeria social més utilitzades pels ciberdelinqüents en els últims anys. Aquesta variant del phishing tradicional aprofita la immediatesa i la confiança que generen els missatges de text, així com la reduïda mida de pantalla dels dispositius mòbils, que dificulta la identificació de URLs fraudulentes.

Segons els experts en ciberseguretat, aquestes campanyes solen intensificar-se durant períodes específics de l’any, com la campanya de la Renda, Black Friday o Nadal, moments en què els usuaris estan més receptius a rebre comunicacions relacionades amb tràmits fiscals o compres online.

Què has de fer si has estat víctima d’una estafa per smishing?

Si malgrat les precaucions, un usuari cau en la trampa, l’OCU ofereix orientació per defensar els seus interessos. L’organització es mobilitza activament contra el phishing en totes les seues modalitats i proporciona informació detallada sobre com detectar aquests enganys i reaccionar adequadament.

En cas d’haver proporcionat dades bancàries, és crucial ar immediatament amb l’entitat financera per bloquejar possibles transaccions fraudulentes. També es recomana canviar totes les contrasenyes dels serveis que poguessin veure’s compromesos i monitorar regularment els moviments bancaris per detectar càrrecs no autoritzats.

A més, és important presentar una denúncia davant de la Policia Nacional o la Guàrdia Civil, especificant tots els detalls del frau, ja que això no només pot ajudar les autoritats a perseguir els estafadors, sinó que també serveix com a documentació oficial en cas de reclamacions posteriors.

L’OCU recorda que la prevenció i la formació en matèria de ciberseguretat continuen sent les millors eines per combatre aquest tipus de fraus que, lamentablement, continuen causant importants perjudicis econòmics a milers de contribuents cada any durant la campanya de la Renda.