Cuidado con el nuevo timo de la declaración de la renta por SMS: así clonan la web de la Agencia Tributaria

La campaña del IRPF es el escenario perfecto para los ciberdelincuentes, que han perfeccionado el timo de la declaración de la renta por SMS mediante técnicas de ingeniería social avanzada. Este ataque, conocido técnicamente como smishing, consiste en el envío masivo de mensajes de texto que alertan al usuario sobre un supuesto error en su borrador o una devolución de impuestos pendiente. El objetivo es generar una sensación de urgencia que empuje a la víctima a pulsar un enlace malicioso antes de que pueda reflexionar sobre la veracidad del mensaje. Es muy similar a este que llega por correo electrónico.

La anatomía del clon: cómo replican la sede electrónica

Lo que hace que este fraude sea especialmente peligroso no es solo el mensaje, sino la sofisticación de la infraestructura técnica que hay detrás. Los atacantes utilizan herramientas de clonación de sitios web que copian el código fuente (HTML, CSS y JavaScript) de la sede electrónica real de la Agencia Tributaria.

Al pinchar en el enlace del SMS, el usuario aterriza en una página que estéticamente es idéntica a la oficial. Utilizan logotipos actualizados, la misma tipografía corporativa y, en ocasiones, incluso habilitan enlaces externos que redirigen a secciones reales del BOE o de la propia Agencia para aumentar la sensación de legitimidad. Sin embargo, el formulario central es una trampa diseñada para capturar el DNI y la contraseña de acceso al sistema Cl@ve o, en su defecto, los datos de la tarjeta de crédito.

El uso de dominios engañosos y certificados SSL

Para sortear la desconfianza inicial, los perpetradores del timo de la declaración de la renta por SMS registran dominios que guardan una similitud visual extrema con el original. Utilizan técnicas de typosquatting (cambiar una letra por otra parecida) o el uso de subdominios del tipo agenciatributaria.gob.es.tramites-online.com.

Es un error común pensar que el candado de seguridad (HTTPS) garantiza que la web es segura. Los delincuentes instalan certificados SSL gratuitos para que el navegador muestre la conexión como «segura», lo que engaña a muchos usuarios que asocian este símbolo con la veracidad de la entidad, cuando solo indica que la comunicación está cifrada, no que el destinatario sea quien dice ser.

Cómo evitar caer en la trampa este año

La Agencia Tributaria ha reiterado en numerosas ocasiones que nunca solicita información sensible, números de tarjeta o claves de cuenta bancaria a través de SMS o correo electrónico. Si recibes un mensaje informando de un reembolso de 650 euros o una cifra similar, desconfía de inmediato.

Lao mejor es ignorar cualquier enlace externo y acceder directamente a través de la App oficial de la Agencia Tributaria o mediante la dirección URL tecleada manualmente en el navegador: sede.agenciatributaria.gob.es. El uso de sistemas de doble factor de autenticación (2FA) es también una barrera crítica; si el sistema te pide un código que llega a tu móvil sin que hayas iniciado tú el trámite, alguien está intentando acceder a tus datos. No dejes que el timo de la declaración de la renta por SMS te amargue este inicio de primavera.