Cuenta Ángel González, director de GlobátiKa Lab y Auditor ISO 27001, que el Instituto Nacional de Ciberseguridad (INCIBE) ha vuelto a lanzar una importante advertencia ante un ataque masivo de phishing (suplantación de identidad buscando beneficio económico de transferencias o intromisión bancaria) que, haciéndose pasar por la Dirección Electrónica Habilitada Única (DEHÚ) y la Agencia Tributaria, está afectando tanto a particulares como a empresas de toda España. Este engaño se presenta en forma de una notificación falsa identificada con el código 46/05448/2024, emulando una notificación oficial del Tribunal Económico Administrativo Central (TEAC), un organismo real, pero con intenciones fraudulentas. 

Este tipo de estafa ha logrado captar la atención de las autoridades debido a su gran capacidad de replicar de manera convincente notificaciones oficiales de organismos públicos, lo que ha provocado que muchos usuarios caigan en la trampa y comprometan información personal y empresarial valiosa. Este tipo de fraude plantea serios riesgos de robo de identidad, pérdidas económicas y daños a la reputación tanto para individuos como para corporaciones.

¿Cómo funciona este ataque de Phishing?

El fraude con la notificación 46/05448/2024 aprovecha la plataforma de la Dirección Electrónica Habilitada Única (DEHÚ), gestionada por la Agencia Tributaria, para engañar a ciudadanos y empresas con correos electrónicos fraudulentos. Los ciberdelincuentes utilizan información aparentemente legítima, como el nombre del Tribunal Económico Administrativo Central y un número de referencia oficial, para hacer que la notificación parezca auténtica.

El correo electrónico, aunque parece venir de una fuente oficial, proviene de un dominio falsificado diseñado para parecerse al real. El mensaje incluye un enlace que, en lugar de dirigir al sitio oficial de la DEHÚ, redirige a una página maliciosa que imita su interfaz. Esta web falsa solicita credenciales o información personal, que luego es robada por los atacantes.

Para hacer el engaño más creíble, los estafadores personalizan el mensaje con datos como el CIF o NIF de la víctima, obtenidos de bases de datos filtradas, y utilizan un tono de urgencia para presionar a los destinatarios a actuar rápidamente, sin detenerse a verificar la autenticidad del correo.

Consecuencias de caer en el fraude

Caer en fraudes como el de la notificación 46/05448/2024 puede tener consecuencias graves para las víctimas. Al proporcionar información sensible o acceder a un enlace malicioso, se corre el riesgo de sufrir robo de identidad. Los ciberdelincuentes pueden usar los datos robados para realizar transacciones no autorizadas, solicitar créditos o hacer compras en nombre de la víctima, lo que puede generar años de problemas legales y financieros.

En el caso de empresas, el riesgo es aún mayor. Los atacantes pueden obtener acceso a cuentas corporativas y a información confidencial, lo que puede llevar a pérdidas financieras y comprometer datos de clientes, afectando la reputación de la empresa. Tanto individuos como empresas pueden ver dañada su imagen pública si no manejan adecuadamente la situación, lo que podría debilitar la confianza de clientes y socios.

¿Cómo protegerse del Phishing?

Para protegerse del phishing, los peritos informáticos expertos recomiendan una serie de medidas esenciales que ayudan a minimizar el riesgo de caer en este tipo de estafas. En primer lugar, siempre es importante verificar cuidadosamente el remitente del correo electrónico, ya que aunque parezca legítimo, pequeñas variaciones en el dominio pueden indicar un fraude. 

Además, Ángel González, aconseja no hacer clic en enlaces incluidos en correos electrónicos sospechosos. En su lugar, es preferible escribir directamente la URL oficial en el navegador, evitando así ser redirigido a sitios maliciosos. También es crucial desconfiar de cualquier solicitud de información personal, ya que los organismos oficiales no piden credenciales confidenciales a través de correos electrónicos.

Implementar medidas de seguridad como la autenticación multifactor (MFA) añade una capa adicional de protección, dificultando el acceso de ciberdelincuentes a las cuentas, incluso si logran robar las credenciales. Mantener el software y antivirus actualizados es otra recomendación clave, ya que las actualizaciones suelen incluir parches de seguridad que combaten las amenazas más recientes. 

Estas medidas de seguridad, recomendadas por peritos informáticos especializados, son fundamentales para proteger tanto a particulares como a empresas frente al creciente riesgo del phishing. 

Uno de los consejos más importantes que hemos oído en sus charlas es que, si estamos acostumbrados a realizar transferencias a un cliente o proveedor a una cuenta concreta y ahora nos mandan una factura de un banco diferente, que llamemos a los destinatarios y confirmemos el número de esa cuenta. Siempre es mejor prevenir que curar, ya que, una vez que el dinero sea transferido, muy probablemente perderemos la posibilidad de recuperarlo.