Aumentan los fraudes durante la campaña de la renta: ataques más sofisticados ponen en jaque a contribuyentes y empresas

Introducción

El inicio de la campaña de la declaración de la renta en España se ha consolidado como uno de los periodos de mayor actividad para los ciberdelincuentes. Con cerca de 25 millones de contribuyentes obligados a presentar su declaración, según datos de la Agencia Tributaria, este contexto masivo se convierte en un escenario ideal para el despliegue de campañas de fraude digital cada vez más complejas y difíciles de detectar. Los profesionales de la ciberseguridad deben estar especialmente atentos ante el aumento de ataques dirigidos tanto a usuarios individuales como a organizaciones que gestionan grandes volúmenes de información fiscal.

Contexto del incidente o vulnerabilidad

Con la digitalización progresiva de los procedimientos fiscales y la adopción generalizada de la presentación telemática, los atacantes han perfeccionado sus técnicas para explotar el flujo de comunicaciones que se produce durante la campaña de la renta. Entre los vectores de ataque más habituales destacan el phishing dirigido (spear phishing), el uso de malware bancario y el smishing (fraudes por SMS), todos ellos especialmente diseñados para suplantar a la Agencia Tributaria y obtener credenciales, datos personales o acceso a sistemas corporativos de asesorías y empresas.

En los últimos años, la sofisticación de estos ataques ha aumentado notablemente. Los ciberdelincuentes utilizan información obtenida de filtraciones previas, ingeniería social avanzada y herramientas automatizadas para personalizar los mensajes, haciéndolos mucho más convincentes. Además, surgen nuevas variantes de ransomware que aprovechan la confianza depositada en las comunicaciones oficiales para infectar sistemas y cifrar información crítica.

Detalles técnicos: CVEs, vectores de ataque y TTP MITRE ATT&CK

Durante la campaña de la renta 2024, los informes del CCN-CERT y de diferentes ISACs sectoriales han identificado campañas activas que emplean técnicas recogidas en el framework MITRE ATT&CK, principalmente dentro de las tácticas de “Initial Access” (TA0001) y “Credential Access” (TA0006). Entre las técnicas más frecuentes destacan:

– Spear phishing vía correo electrónico (T1566.001): enviando documentos PDF o enlaces a portales falsos que simulan la web de la Agencia Tributaria.
– Smishing (T1406): mensajes SMS con enlaces maliciosos, a menudo dirigidos a dispositivos móviles, aprovechando la inmediatez y la confianza en las notificaciones oficiales.
– Uso de malware bancario como Emotet y QakBot, capaces de interceptar credenciales y realizar movimientos laterales en la red.
– Ransomware distribuido mediante macros maliciosas en supuestos documentos fiscales.

Se han detectado exploits que aprovechan vulnerabilidades conocidas (CVE-2023-23397 en Outlook, CVE-2023-38831 en WinRAR) para escalar privilegios o ejecutar código remoto una vez que el usuario interactúa con los archivos adjuntos. Algunos kits de phishing detectados han sido desarrollados con frameworks como Evilginx2 para interceptar tokens de autenticación multifactor.

Indicadores de compromiso (IoC) compartidos en foros especializados muestran direcciones IP, dominios fraudulentos y hashes de archivos maliciosos que se renuevan con gran rapidez, dificultando la labor de los equipos SOC.

Impacto y riesgos

El impacto de estos fraudes va más allá de la pérdida económica individual. Los ataques exitosos pueden derivar en accesos no autorizados a plataformas empresariales, filtrado masivo de datos fiscales protegidos por la GDPR y la NIS2, y en casos extremos, en la paralización temporal de operaciones administrativas. Según estimaciones de INCIBE, durante la campaña de la renta de 2023 los incidentes de fraude tributario aumentaron un 35% respecto al año anterior, con pérdidas directas superiores a los 8 millones de euros.

Las empresas del sector financiero, despachos de abogados y asesorías fiscales son objetivos prioritarios, pues un solo ataque exitoso puede comprometer los datos de cientos o miles de clientes.

Medidas de mitigación y recomendaciones

Las recomendaciones para mitigar estos riesgos incluyen:

– Refuerzo de la formación en ciberseguridad para empleados y clientes, con simulaciones de phishing y actualización de procedimientos de verificación.
– Implementación de autenticación multifactor (MFA) en todos los accesos a portales fiscales y cuentas de correo.
– Actualización urgente de sistemas y aplicaciones, especialmente aquellas con CVEs conocidos como los mencionados anteriormente.
– Revisión y endurecimiento de políticas de acceso y segmentación de redes en las infraestructuras de asesorías y despachos profesionales.
– Monitorización proactiva de IoCs y despliegue de soluciones EDR que permitan la detección temprana de comportamientos anómalos.
– Revisión periódica de los backups y pruebas de restauración para asegurar la resiliencia ante ataques de ransomware.

Opinión de expertos

Expertos consultados, como Javier Candau (CCN-CERT) y Ana García (ISMS Forum), coinciden en la necesidad de abordar el problema desde una perspectiva holística: “No basta con reforzar la seguridad técnica, hay que trabajar intensamente en la concienciación del usuario final, que sigue siendo el eslabón más débil”, apunta García. Además, subrayan la importancia de compartir información sobre IoCs en tiempo real a través de plataformas colaborativas.

Implicaciones para empresas y usuarios

El incremento de la sofisticación de los ataques exige a las empresas una actualización constante de sus estrategias de defensa y una mayor implicación de los equipos de cumplimiento normativo. Las sanciones derivadas de brechas de datos bajo la GDPR o la NIS2 pueden alcanzar los 20 millones de euros o el 4% del volumen de negocio anual, un riesgo inasumible para la mayoría de organizaciones. Para los ciudadanos, la recomendación es no confiar nunca en enlaces recibidos por correo o SMS, y acceder siempre a la web oficial de la Agencia Tributaria mediante navegación directa.

Conclusiones

La campaña de la renta 2024 pone de manifiesto la evolución continua del cibercrimen, que aprovecha los grandes eventos sociales y administrativos para maximizar su impacto. La colaboración entre administraciones, sector privado y ciudadanía es clave para minimizar los riesgos y proteger la información más sensible de la sociedad digital.

(Fuente: www.cybersecuritynews.es)