Puede que hayas recibido un correo electrónico con el Asunto: Aviso de notificación de la Agencia Tributaria (con tu dirección de correo), y no sepas si realmente se trata de un correo de verdad, o de una Suplantación de Identidad de manual. Aquí te damos unas pistas para que puedas identificarlo.

En primer lugar, la propia Agencia Tributaria avisa sobre la suplantación de la identidad y cuál es su política con respecto a las comunicaciones que realizar desde su página: Aviso sobre phishing y consejos de seguridad.

La Agencia Tributaria insiste en que nunca solicita por correo electrónico o SMS información confidencial, económica o personal, números de cuenta ni números de tarjeta de los contribuyentes ni adjunta anexos con información de facturas u otros tipos de datos.

sede.agenciatributaria.gob.es

Contenido del email de la notificación de la (supuesta) Agencia Tributaria

Nosotros, como seguramente tú, hemos recibido un email desde la dirección noreply@correo.aeat.com.es, en él que se nos informa de que tenemos disponible una nueva notificación para nuestra dirección de correo. El dominio del correo desde donde (dice que) se envía el email es correo.aeat.¿com?.es, que resulta bastante llamativo que un organismo oficial use un COM. Ya es bastante sospechoso que lo único que conozca de nosotros la Agencia Tributaria sea nuestra dirección de correo, pero continuamos sospechando.

Email falso de la Agencia Tributaria
Email falso de la Agencia Tributaria

Si observamos con detenimiento el contenido del correo, vemos que solo se nos aportan vaguedades en el contenido, con nuestra dirección de email como único dato de contacto. Pero en el mensaje aparecen dos enlaces que llaman nuestra atención, uno con la dirección de la Agencia Tributaria, y el segundo con un (supuesto) acceso a la notificación. Mosquea bastante que si sitúas el ratón sobre cualquiera de estos dos enlaces, no aparece la dirección (URL) a la que te dirigirá.

El email esta codificado en base64

Si profundizamos en el email, podemos ver que su contenido está codificado en base64, por lo que aparece un galimatías de letras, números y caracteres sin sentido. De esta forma, un usuario confiado podría pensar que es más seguro. Pero en realidad es todo lo contrario. El emisor de este correo trata de ocultarte el contenido real codificándolo.

Contenido codificado del email
Contenido codificado del email

¿Qué hay dentro del email de la (supuesta) Agencia Tributaria?

Así que para saber qué hay dentro del email lo decodificamos, y entonces es cuando aparece el contenido real. El formato del email es HTML, que es lo mismo que una página web. Y ahí podemos observar que sí aparecen las direcciones de los hipervínculos hacia los que nos dirige la supuesta notificación.

Email falso decodificado
Email falso decodificado

¡Sorpresa!

Como podéis ver, el enlace no te lleva a la Agencia Tributaria, ni mucho menos. Te dirige al dominio bandartegastra.com, y a continuación aparecen una serie de caracteres como parámetro. En los dos enlaces que aparecen en el email te dirigen al mismo sitio, y nos es la sede de la agencia. Sospechoso, ¿a que sí?

Además, el enlace tiene más sorpresas

Ya que ahora sabemos a dónde nos llevan esos enlaces que hay en el correo. Podemos consultar a quién pertenecen, en domaintools y resulta que la dirección donde está alojado el dominio está en Moscú. ¿Serán hackers rusos como cuenta la leyenda? Es curioso que tampoco aparezcan datos sobre el propietario del dominio. Es todo muy opaco para que el mensaje pudiese provenir de ninguna administración pública.

A quién pertenece el domino donde se nos dirige
A quién pertenece el domino donde se nos dirige

Nunca te fíes de una redirección en un email

No tengo ganas de visitar esa dirección, aunque imagino que lo que hay es una página que imita a la de la propia Agencia Tributaria. Pero me preocupo de echarle un ojo y le realizo una comprobación de seguridad (externa) para ver si hay alguna cosilla que deba tener en cuenta. Utilizo la herramienta sitecheck de sucuri.net y aparece lo siguiente:

Resultado de la comprobación de seguridad
Resultado de la comprobación de seguridad

Como aparece resaltado en el resultado, la dirección de destino de los enlaces que hay en el email intentan engañar al usuario redirigiéndolo a un dominio muy gracioso: agenciatributaria.ac. Así, el usuario confiado que haya seguido cualquiera de estos enlaces verá en la barra de direcciones de su navegador una dirección parecida a la verdadera. Pero con algún matiz. El dominio es .AC (dominio .ac en Wikipedia), destinado a la Isla Ascensión, o usado también para institutos u organizaciones comerciales. O sea, nada que tenga que ver con la Agencia Tributaria.

¿Qué hago con el email (fake) de aviso de la Agencia Tributaria?

Lo mejor que puedes hacer con ese email es no seguir los enlaces que contiene. Ni por curiosidad. Márcalo como SPAM, y elimínalo para siempre. Recuerda que mantener tus datos a salvo depende de las decisiones que tomes. Ante la duda, siempre elige la opción más segura.

Recomendaciones de la Agencia Tributaria sobre seguridad y phishing

Recuerda que el objetivo de los delincuentes es el robo de tus datos, por lo que seguir los consejos de la Agencia Tributaria es una garantía. Y como dicen en la Agencia:

No atiendas esos mensajes, es un intento de fraude suplantando la imagen de la Agencia Tributaria. 

Recomendaciones: 

  • No abrir mensajes de usuarios desconocidos o que no hayas solicitado, elimínalos directamente. 
  • No contestar en ningún caso a estos mensajes. 
  • Precaución al seguir enlaces en correos aunque sean de contactos conocidos. 
  • Precaución al descargar ficheros adjuntos de correos aunque sean de contactos conocidos. 

Concluyendo

Cada vez es más frecuente que los ciberdelincuentes mejoren sus técnicas para pillarte desprevenido. En este caso podemos seguirle la pista al contenido del email, y hacernos una idea de qué pasará sin necesidad de comprometer nuestra seguridad. Pero no siempre es así.

Usa siempre el sentido común.