La campanya de la Renda 2025 ja està en marxa i, com cada any, no només marca el moment que milions de contribuents en Espanya deuen rendir comptes amb l'Agència Tributària, sinó també l'inici d'una de les èpoques més actives per als ciberdelinqüents. Amb un termini obert fins al pròxim 30 de juny, el procés de declaració es convertix en un escenari especialment sensible que els fraus digitals es multipliquen i es refinen.
En este context, experts en ciberseguretat alerten d'un augment significatiu d'intents d'estafa coincidint amb l'arrancada oficial de la campanya, iniciada el passat 8 d'abril. Entre ells, destaca la companyia Prosegur Cybersecurity, que ha detectat no sols un increment en el volum d'atacs, sinó també una major sofisticació en les tècniques emprades pels ciberdelinqüents.
Un objectiu massiu: 25 milions de contribuents
La magnitud de la campanya fiscal convertix este període en un dels més atractius de l'any per als estafadors. Segons els especialistes de Prosegur Cybersecurity, prop de 25 milions de persones estan cridades a presentar la seua declaració de la renda, la qual cosa genera un entorn perfecte per a la suplantació d'identitat i l'enviament massiu de comunicacions fraudulentes.
L'objectiu principal d'estos atacs és obtindre dades personals, credencials d'accés a plataformes oficials i informació bancària que permeta als delinqüents accedir a comptes o realitzar operacions fraudulentes. La majoria de les campanyes detectades es basen en la suplantació de l'Agència Tributària, utilitzant correus electrònics i missatges SMS que aparenten ser comunicacions legítimes.
Estos missatges solen incloure assumptes sensibles per al contribuent, com suposades devolucions pendents, incidències en la declaració o sol·licituds urgents de documentació. L'objectiu és generar una sensació d'urgència o preocupació que porte l'usuari a actuar sense comprovar l'autenticitat del missatge.
En molts casos, el contingut dirigix a enllaços que conduïxen a pàgines web fraudulentes que imiten en gran precisió la seu electrònica oficial. Estes pàgines sol·liciten dades personals, com el DNI, el certificat digital o les credencials del sistema Cl@ve, que posteriorment són capturats pels atacants.
Phishing, smishing i pàgines clonades: les tècniques més esteses
Els mètodes més comuns durant esta campanya són el phishing (fraus a través de correu electrònic) i el smishing (fraus mitjançant SMS). En el cas del primer, els missatges solen reproduir logotips, tipografies i estructures similars a les d'organismes públics, la qual cosa augmenta la seua credibilitat. Per la seua banda, el smishing aprofita la immediatesa del telèfon mòbil per a provocar una reacció ràpida, sense temps per a reflexionar.
A este se sumen les pàgines web clonades, dissenyades per a replicar amb detall l'aparença dels portals oficials. Una vegada dins, l'usuari creu estar accedint a la seu electrònica, quan en realitat està introduint les seues dades directament en mans dels ciberdelinqüents.
Una altra de les amenaces detectades durant esta campanya és la distribució de malware a través de fitxers adjunts que simulen ser documents relacionats amb la declaració de la renda. Estos fitxers poden incloure des de suposats justificants fiscals fins a notificacions oficials. No obstant això, en obrir-los, l'usuari pot instal·lar sense saber-ho troians bancaris o programes maliciosos dissenyats per a prendre el control del dispositiu, furtar contrasenyes o monitorar l'activitat de l'usuari.
A més, l'ús de la intel·ligència artificial (IA) per part dels ciberdelinqüents permet automatitzar campanyes de frau a gran escala, personalitzar missatges i adaptar-los a distints perfils de contribuents. Això significa que els atacs no només són més nombrosos, sinó també més creïbles. Els missatges poden estar redactats de forma més natural, amb menys errors i amb un to adaptat al perfil del receptor, la qual cosa dificulta la seua detecció.
Com protegir-se
Davant este escenari, els experts recomanen extremar les precaucions durant tot el període de la campanya fiscal. La primera mesura fonamental és accedir sempre als servicis de l'Agència Tributària introduint manualment la direcció oficial en el navegador, evitant fer-ho a través d'enllaços rebuts per correu electrònic o SMS.
També s'aconsella no proporcionar mai credencials personals, codis de verificació o dades bancàries a través d'enllaços no verificats. L'Agència Tributària mai sol·licita este tipus d'informació per vies no oficials. A més, és important mantindre els dispositius actualitzats, comptar amb sistemes de seguretat actius i evitar connectar-se a xarxes WiFi públiques o insegures en realitzar tràmits fiscals.
Finalment, els especialistes recomanen no obrir fitxers adjunts procedents de remitents desconeguts o sospitosos, fins i tot si aparenten ser documents oficials relacionats amb la declaració.