No, este mail con presuntas multas a contribuyentes no es de la AFIP: se trata de un caso de phishing

Circulan en redes sociales publicaciones con capturas de un mail que distintos contribuyentes recibieron en los últimos días a nombre de la Administración Federal de Ingresos Públicos (AFIP), en donde se les informa que fueron multados y se les solicita hacer click en un enlace para abonar la deuda.

Pero el correo electrónico es falso: no corresponde al organismo recaudatorio, según aseguró la AFIP a Chequeado, y se trata de un caso de phishing, una técnica de suplantación de identidad para sustraer datos personales y bancarios. 

El mensaje falso circuló luego de que el Gobierno nacional anunciara la disolución del organismo recaudatorio, que se transformará en la Agencia de Recaudación y Control Aduanero (ARCA).

“Estimado Contribuyente: se ha generado un nuevo documento fiscal, lo que resultó en una multa por un valor de 34.713,29. Fecha 10/10/2024”, indica el supuesto correo electrónico. Y sigue: “Puede acceder al documento compartido haciendo clic en el siguiente enlace”. En otras publicaciones, el valor varía.

El contenido llegó al número de WhatsApp de Chequeado (+54 9 11 6270 4259) para su verificación.

¿Por qué se trata de un caso de phishing?

La estafa consiste en engañar a una persona (en este caso, a un contribuyente de la AFIP) a través de un correo electrónico que solicita pagar una supuesta multa pendiente. El objetivo es que el usuario abra un enlace e ingrese allí sus datos personales y bancarios.

Se trata de una técnica de suplantación de identidad para sustraer datos, conocida como phishing. Si la persona hace click en ese link, los ciberdelincuentes pueden apoderarse de esa información y realizar distintas acciones. Una de las más habituales es realizar compras con la tarjeta de crédito de sus víctimas.

Ante la consulta de este medio, desde el sector de prensa de la AFIP aseguraron que se trata de un mail falso y señalaron al respecto: “Lo advertimos cada tanto en redes sociales”.

El organismo detalla en su sitio web oficial que “no envía correos electrónicos en forma directa”, “no se comunica con ningún contribuyente por WhatsApp”, y “no solicita pagos ni datos personales vía mail, redes sociales o por teléfono”.

“Este tipo de correo phishing que anda circulando se viene dando ya hace mucho tiempo. No importa a nombre de quién se hacen pasar, en este caso AFIP, sino lo que más importa acá es el contexto”, indicó Emiliano Piscitelli, especialista en seguridad informática y CEO de BeyGoo, en diálogo con Chequeado.

Teniendo esto en cuenta, Piscitelli comentó sobre “el método PICO”, un nombre creado por él para identificar posibles estafas. La técnica hace referencia a las primeras letras de “4 constantes que están presentes en todo tipo estafa y siempre se repiten”: “P”, de pretexto -la víctima recibe un mensaje con un pretexto que le llamará la atención-; “I”, de impostor -el ciberdelincuente se presenta como si fuera una empresa u organismo reconocido-; “C”, de contexto -se aprovechan de un contexto específico de salud, económico o social-; “O”, de oportunidad -ofrecen una oportunidad única e imperdible en un tiempo muy limitado-. 

¿Cómo evitar caer ante este tipo de estafas?

No es la primera vez que circulan correos electrónicos falsos enviados en nombre de la AFIP, tal como señalaron desde el organismo a Chequeado. Por eso, se recomienda a los afectados no ingresar a direcciones URL ni descargar archivos adjuntos que sean enviados a través de mails o redes sociales.

“La AFIP nunca utiliza correos electrónicos para solicitar pagos, datos personales o informar sobre situaciones judiciales, como así tampoco se contacta por otros medios como WhatsApp, redes sociales o teléfono. Todas las comunicaciones oficiales se canalizan a través del domicilio fiscal electrónico”, indica la entidad en este comunicado.

El organismo también explica que la clave fiscal de cada contribuyente es “personal, privada e intransferible”, y que “no debe compartirse con nadie”. Finalmente, en caso de recibir un correo sospechoso, es posible denunciarlo enviando un mail a [email protected].

Desde el Ministerio de Seguridad de la Nación comparten una serie de consejos similares a tener en cuenta para evitar caer en estafas en Internet. Algunos de ellos consisten en:

• Nunca responder correos electrónicos que soliciten datos personales y no hacer click en el enlace que compartan.
• Proteger la información personal con contraseñas que sean difíciles de adivinar y, en lo posible, cambiarlas periódicamente.
• Tener en cuenta que “nunca un banco o un organismo público te va a pedir que cambies tus datos personales o claves por Internet”, a través de un enlace enviado en un correo, por redes sociales o mediante un llamado telefónico.
• Estar atento a la redacción del mensaje o en el enlace enviado. Muchas veces es casi imperceptible, pero en algún lugar dejan ver el fraude: faltas de ortografías u alteraciones en la URL que supuestamente es oficial.
• Si te contactan desde un organismo público o privado vía WhatsApp, verificá el logo de autenticación del organismo público que se está contactando.

Por su parte, Piscitelli remarcó en esta nota que es fundamental “evitar hacer click sobre ese tipo de mensajes” y “chequear la fuente directamente en el sitio o teléfono o presencialmente”, así como “evitar el reenvío para evitar la viralización y posibles personas estafadas posteriormente”.

Si querés saber cuáles son las estafas más frecuentes a las que tenés que estar atento, qué hacer si sos una víctima y cómo podés evitarlas, entrá a este especial que elaboramos desde Chequeado.