Devolución de impuestos o Cómo perder el dinero que le queda

Cada año en todo el mundo, un gran número de personas participan en el “fascinante” proceso de rellenar declaraciones anuales de impuestos, solicitudes de devolución de impuestos, etc. Teniendo en cuenta que la interacción con las entidades fiscales se realiza cada vez más a través de servicios en línea, no es de extrañar que en este proceso se hayan involucrado también los delincuentes cibernéticos. Haciéndose pasar por sitios web de agencias gubernamentales confiables, y atrayendo a los usuarios hacia ellos, estos suplantadores (phisher) intentan obtener información suficiente para robar no solo el dinero de la cuenta de la víctima, sino también su identidad digital.

Los métodos de los atacantes son típicos y básicamente se reducen a la creación de sitios y páginas web de phishing. Estos recursos pueden solicitar las contraseñas de la cuenta personal en el sitio web del servicio fiscal local, las respuestas a las preguntas secretas, los nombres de parientes cercanos, sus fechas de nacimiento, información sobre tarjetas bancarias y mucho más. Además de la información que, de hecho, el mismo usuario pasa a los estafadores, los atacantes reciben a menudo también información “adicional”: La dirección IP y la ubicación de la víctima, el nombre y versión de su navegador, el sistema operativo de su computadora. Es decir, todo lo que podría aumentar las probabilidades de obtener acceso a las cuentas de la víctima, eludiendo los sistemas de seguridad.

Las páginas de phishing también pueden distribuir software malicioso bajo diversos pretextos. Los estafadores tampoco desdeñan la posibilidad de extorsión directa de dinero en nombre de los empleados de las autoridades fiscales; este tipo de ataques se practican en los Estados Unidos, Francia, Canadá, Irlanda y otros países. Veamos los esquemas más populares de “phishing fiscal”.

Canadá (CRA)

En Canadá, la recaudación y administración de impuestos es responsabilidad de la Agencia Canadiense de Ingresos (Canada Revenue Agency, CRA). La fecha límite para la presentación de declaraciones de impuestos correspondientes el ejercicio anterior es el 30 de abril. En el siguiente gráfico se puede ver que en 2016, la mayor actividad de los phishers se registró precisamente en el período de presentación de declaraciones de impuestos, reduciéndose sólo en el mes de mayo.

Gráfico de activación de componentes “antisuplantación de identidad” en las computadoras de los usuarios al tratar de acceder a los sitios web de phishing que utilizan la marca de CRA, 2016

Podemos observar una imagen ligeramente diferente en el gráfico de 2017:

Gráfico de activación de componentes “antisuplantación de identidad” en las computadoras de los usuarios al tratar de acceder a los sitios web de phishing que utilizan la marca de CRA, 2017

El salto se dio en el período en el que la mayoría de los canadienses esperaba el reembolso de una parte de los impuestos pagados. Hemos identificado un gran número de páginas de phishing donde se dice al usuario que éste tiene derecho al reembolso de una determinada suma de dinero. La mayoría de estas cartas incluían enlaces a páginas falsas de la CRA donde se le pedía a la víctima rellenar un formulario web.

Ejemplo de una carta de phishing supuestamente de la Agencia Canadiense de Ingresos, con una notificación falsa sobre la posibilidad de reembolso de una parte de los fondos pagados.

Por lo general, estas páginas son una copia en apariencia del sitio web oficial de la CRA y solicitan una gran cantidad de información personal. Si el usuario no llega a dudar de la autenticidad de la página web, la cantidad de información solicitada no le creará incertidumbre, lo que significa que es probable que rellene todos los campos. Como resultado, los estafadores reciben información valiosa y el usuario recibe un mensaje de envío exitoso de los datos y la propuesta de esperar un par de días, supuestamente necesarios en el procesamiento de su solicitud. Para mayor credibilidad, la víctima puede ser redireccionada al sitio web oficial de la CRA.

Entre la información recogida por los estafadores se encuentran los datos de tarjetas bancarias (incluyendo el código PIN), el número de seguridad social y del permiso de conducir, la dirección, teléfono, fecha de nacimiento, apellido de la madre, el nombre del empleador. Los atacantes reciben también la dirección IP e información sobre el sistema.

Ejemplo de una página de phishing, enmascarada bajo el sitio web de la CRA. Después de introducir la información personal y enviar el formulario, el script genera un email con todos los datos introducidos (también la dirección IP de la víctima y los datos obtenidos de User Agent) y lo envía a la dirección especificada.

Los estafadores no limitan su actividad a los periodos de presentación de declaraciones y de devolución de impuestos. Durante el año realizan otros varios intentos para apoderarse de los datos de los usuarios en nombre de la CRA. Por ejemplo, en una de las cartas que encontramos, se pedía al usuario revisar la información sobre un incidente relacionado con los impuestos. Para ello, debía introducir su nombre de usuario y la contraseña de su cuenta en Dropbox, o proporcionar información de autenticación en su buzón de correo electrónico. Después de eso, la víctima presionaba el botón de descarga recibía un archivo PDF público con información sobre los cambios en la legislación tributaria. Y los datos ingresados van directamente al correo electrónico de los estafadores.

Ejemplo de phishing utilizando el tema de los impuestos y de la CRA para la recolección de datos de autenticación para los servicios de correo electrónico y servicio de Dropbox

Los estafadores no se limitan a la falsificación de sitios web y mensajes de correo electrónico. También envían SMS e incluso llaman a las víctimas en nombre de la CRA, exigiendo la cancelación urgente de una deuda mediante la transferencia de dinero a una determinada cuenta. Estas llamadas suelen a menudo ir acompañadas de amenazas de diversos tipos (ponen en juego la intimidación con sanciones, multas y hasta encarcelamiento).

Los contribuyentes en Canadá deben recordar que la CRA nunca enviará correos electrónicos con enlaces y solicitudes para proporcionar información personal, a menos que el correo electrónico sea enviado directamente durante una conversación telefónica con los representantes de la Agencia Canadiense de Ingresos.

Las recomendaciones de la CRA sobre cómo evitar el fraude puede consultarlas en la sección Security de la página web oficial.

EE. UU. (IRS)

En los Estados Unidos, el Servicio de Impuestos Internos (Internal Revenue Service, IRS) es responsable de la recaudación de impuestos, y el último día de presentación de declaraciones es generalmente el 18 de abril (la fecha puede variar ligeramente de año en año). En 2016, una de las mayores oleadas de actividad de los estafadores, como en Canadá, se podía observar justo antes de la fecha límite de presentación de declaraciones:

Gráfico de activación de componentes “antisuplantación de identidad” en las computadoras de los usuarios al tratar de acceder a los sitios web de phishing que utilizan la marca del IRS, 2016

Sin embargo, los picos de actividad de los estafadores se pueden observar durante todo el año. Así, en 2017 fue difícil distinguir un momento determinado, a excepción de un pico significativo en vísperas de Navidad:

Gráfico de activación de componentes “antisuplantación de identidad” en las computadoras de los usuarios al tratar de acceder a los sitios web de phishing que utilizan la marca del IRS, 2017

Durante los ataques a los contribuyentes estadounidenses, los estafadores utilizan diferentes temáticas: devolución de impuestos, actualización de la información personal, confirmación de la cuenta, etc.

Ejemplos de mensajes de correo electrónico falsos en nombre del Servicio de Impuestos Internos de los Estados Unidos

El llenado del formulario para la devolución de impuestos es un tema muy popular entre los phishers en los EE.UU. y los recursos fraudulentos que acompañan a estos temas aparecen al iniciarse el período de recepción de las declaraciones de impuestos. La cantidad de datos que intentan robar es impresionante: ellos necesitan todo lo que uno puede imaginar. Al parecer, el cálculo se basa en el gran deseo del usuario por recuperar su dinero.

Páginas falsas del IRS que ofrecen rellenar formularios de devolución de dinero

La fuga de tal cantidad de información puede suponer para la víctima, no sólo la pérdida total de los fondos en sus cuentas bancarias, sino también otra clase de problemas, entre los cuales están los ataques posteriores dirigidos y los intentos de acceso a diferentes cuentas. Si una tarjeta bancaria comprometida puede ser bloqueada fácilmente y reemitida, la dirección, el número de seguro social, la fecha de nacimiento y el apellido de soltera de la madre es algo mucho más problemático.

Otra forma de engañar a la víctima es a través de cartas falsas en nombre del Servicio de Impuestos Internos, en las se solicita seguir un enlace para verificar la cuenta, actualizar información sobre uno mismo o recuperar la contraseña:

Ejemplos de páginas de phishing usando la marca del IRS

Después de la transferencia exitosa de los datos a los estafadores, la víctima suele ser redireccionada al sitio oficial para eliminar sospechas:

Ejemplo de un script de phishing que envía los datos del usuario a la dirección especificada por los defraudadores. En caso de transferencia satisfactoria de la información, la víctima es redireccionada a la página web oficial del Servicio de Impuestos Internos

Además de la marca del IRS los estafadores utilizan en sus listas de correo masivo el nombre de la compañía Intuit, dedicada al desarrollo del programa TurboTax, que presta ayuda en el llenado de la declaración de impuestos.

Ejemplo de una carta de phishing utilizando la marca Intuit

Los estafadores intentan obtener los datos de autenticación de la cuenta de usuario del sitio Intuit, así como el nombre de usuario y la contraseña de su buzón de correo electrónico:

Ejemplos de páginas de phishing usando la marca Intuit

Los enlaces a páginas de phishing en los Estados Unidos se distribuyen no solo por correo electrónico, sino también por SMS y a través de las redes sociales. Es necesario tener e cuenta que el IRS nunca inicia comunicación con los contribuyentes a través de estos medios para solicitar información personal.

Las recomendaciones oficiales del IRS para la protección contra el phishing están disponibles en el sitio web del Servicio.

Inglaterra (HMRC)

En el Reino Unido, el año fiscal o tributario (Tax Year o Fiscal Year) comienza el 6 de abril y termina el 5 de abril del año siguiente. Gracias al sistema PAYE (Pay as you earn – Pague como usted gana), la mayoría de los contribuyentes no rellenan ningún formulario para una fecha determinada (los datos que van al servicio tributario son proporcionados mensualmente por el empleador). Sin embargo, si los ingresos del ciudadano cambian, éste tiene que actualizar el código tributario de conformidad con el nuevo nivel de ingresos. Y si el contribuyente resulta que debe, o que al contrario, tiene derecho a un reembolso, HMRC (Her Majesty’s Revenue and Customs — Administración de Hacienda y Aduanas del Reino Unido) puede ponerse en contacto con él para una posterior solución. Aquí es donde los estafadores ponen sus trampas, informando a la potencial víctima sobre la posibilidad de devolverle parte de los fondos pagados anteriormente, o (más raramente) proporcionando información sobre la deuda.

En el 2016, en Inglaterra, la actividad de los phishers en este segmento era muy alta y aumentó para fines del año calendario:

Gráfico de activación de componentes “antisuplantación de identidad” en las computadoras de los usuarios al tratar de acceder a los sitios web de phishing que utilizan el nombre de la Administración de Hacienda y Aduanas del Reino Unido, 2016

En el año 2017, los phishers iniciaron “sus labores” en mayo (en este mes se registraron dos graves picos de actividad) y prácticamente no redujeron su ritmo hasta finalizar el año calendario.

Gráfico de activación de componentes “antisuplantación de identidad” en las computadoras de los usuarios al tratar de acceder a los sitios web de phishing que utilizan el nombre de la Administración de Hacienda y Aduanas del Reino Unido, 2017

Los mensajes fraudulentos a los habitantes supuestamente enviados en nombre de la HMRC del Reino Unido a través de SMS, redes sociales, correo electrónico, proporcionan enlaces a sitios web de phishing, muy parecidos al sitio web original de la Administración de Hacienda y Aduanas del Reino Unido. Normalmente, para una “devolución” se solicita al usuario que introduzca los datos de su tarjeta bancaria y otra información sensible.

Ejemplos de páginas de phishing usando la marca de la HMRC.

Además, los estafadores intentan robar los datos de autenticación del usuario en otros servicios. En el siguiente ejemplo, los estafadores en nombre del gobierno del Reino Unido envian una carta con un documento PDF adjunto (en realidad se trataba de un archivo HTML). Al intentar abrirlo, aparece ante el usuario una página diseñada en el estilo de los recursos en línea de Adobe, donde se comunica a la víctima que para ver el archivo PDF, debe introducir el nombre de usuario y la contraseña de su correo electrónico. Estos datos, por supuesto, son enviados a los atacantes.

El falso PDF redirecciona a la víctima a una página con la que los atacantes tratan de robar las credenciales de autenticación de la cuenta de correo electrónico

Las recomendaciones para la protección contra el phishing están disponibles en el sitio web oficial de HMRC.

Francia (DGFIP, impots.gouv.fr)

En Francia, la Dirección General de Finanzas Públicas (la Direction Générale des Finances publique, DGFIP) es responsable de la recaudación de impuestos, y el inicio del año fiscal coincide con el del año calendario. Los franceses no poseen el sistema PAYE (su implementación está prevista para 2019), y la declaración debe ser presentada en el plazo establecido por el departamento al que pertenece el contribuyente. La declaración puede ser presentada en formato impreso (esta posibilidad desaparecerá pronto) y a través de Internet. Además, el servicio fiscal termina de aceptar los documentos en papel antes que las declaraciones presentadas en línea. En promedio, los plazos para su presentación cubren el periodo de mayo a junio.

Como podemos observar en los gráficos, los altos picos de actividad de los Phischers coinciden exactamente con este período de tiempo:

Gráfico de activación de componentes “antisuplantación de identidad” en las computadoras de los usuarios al tratar de acceder a los sitios web falsos de la DGFIP, 2016

En el año 2017, se registraron dos repuntes de esta actividad: en el período de presentación de declaraciones y al final del año:

Gráfico de activación de componentes “antisuplantación de identidad” en las computadoras de los usuarios al tratar de acceder a los sitios web falsos de la DGFIP, 2017

El tema más popular entre los estafadores es siempre el mismo: la posibilidad de devolución de fondos:

Ejemplo de una carta de phishing que exhorta el tema de la devolución de parte de los impuestos pagados

Al hacer clic en los enlaces de dichos mensajes, el usuario pasa a las páginas de phishing, donde se le ofrece indicar los datos de su tarjeta bancaria y otros datos personales:

Ejemplos de páginas falsificadas de la Dirección General de Finanzas Públicas de Francia

Advertencia oficialacerca de fraudes en el sitio web de la DGFiP.

Otros países

En otros países el tema de los impuestos es también muy popular entre los estafadores. Los pretextos para obtener información personal pueden ser muy diversos: llenado de la declaración de impuestos, verificación de la cuenta, devolución de impuestos, registro en el sistema, entre otros.

Ejemplo de una página falsa del Departamento de recaudaciones estatales de Irlanda

Los objetivos de los estafadores pueden ser no solo los datos personales de la víctima, sino también la instalación de software malicioso en la computadora del contribuyente. Por ejemplo, en uno de los mensajes de correo spam se difundía un enlace a un sitio web fraudulento del Servicio Fiscal Federal de la Federación de Rusia (FNS), desde donde se instalaba un virus troyano en la computadora de la víctima.

Copia del sitio web del FNS nalog.ru difundía el software malicioso

No solo impuestos

Cuando los estafadores se dirigen a una víctima potencial, supuestamente en nombre del estado, no siempre usan el tema relacionado con los impuestos. Por ejemplo, en Hungría, unos estafadores organizaron un sorteo falso de premios, haciéndose pasar por el gobierno del país:

Sorteo de smartphones organizado por el “gobierno de Hungría”

En Italia, de una manera muy ingeniosa, los estafadores extorsionaban dinero en nombre del Ministerio de Defensa: para ocultar su verdadera dirección, la página web se abría (si el usuario lo permitía) en modo de pantalla completa, en la que los elementos de control y la barra de direcciones estaban ocultos, luego imitaban estos elementos de la interfaz. Por supuesto, en la barra de dirección falsa aparecía la dirección verdadera de la página web del Ministerio.

Elementos falsos de la interfaz del sitio web del “Ministerio de defensa de Italia”

En el sitio web se intimidaba al usuario con bloquearlo por la difusión de materiales prohibidos (pornografía, pedofilia, zoofilia) y para quitar el bloqueo exigía el pago de una multa que debería pagarse con una tarjeta de regalo de iTunes por el valor de 500 €.

Conclusión

La confianza en los sitios de gobierno es muy alta, y el llenado de declaraciones de impuestos siempre requiere la transferencia de una gran cantidad de información personal. Por lo tanto, si se convence al usuario de que se encuentra en la página web del servicio fiscal, éste no dudará en compartir datos sensibles propios. Otro aspecto importante es que en el llenado de formularios de impuestos participan personas que no son usuarios habituales de la Red, no saben incluso de los trucos más comunes de los estafadores y simplemente no se dan cuenta del engaño. Pero incluso los usuarios habituales de Internet pueden bajar la guardia al ver una oferta tentadora (y a menudo esperada) de conseguir la devolución de una parte de los impuestos pagados. Los estafadores utilizan todo este arsenal. Por lo tanto, las promesas de dinero deben ser tratadas con una considerable cuota de escepticismo, agregue el sitio web oficial de su servicio fiscal a los marcadores de su navegador y usted tendrá todas las posibilidades de evitar caer en las trampas de estafadores.

Publicaciones relacionadas

Leave a Reply

Your email address will not be published. Required fields are marked *