Desde el pasado mes de abril todos los españoles podían realizar la declaración de la renta. Un ejercicio que cada año hay que completar, especialmente indicado para aquellos que tienen un trabajo ya sea por cuenta propia o ajena.

Durante estos meses, y con un plazo máximo establecido hasta el 30 de junio, cientos de miles de declaraciones son enviadas de forma telemática gracias al portal oficial que Hacienda habilita. Pero como el mundo de internet y los aparatos con los que se acceden son especialmente vulnerables, es importante tener todas las precauciones a la hora de realizar la declaración.

Y es que cada año se producen cientos de estafas en esta época. Los ciberdelincuentes aprovechan estas días e intentan engañar al mayor número de usuarios posibles. El sistema elegido por estos estafadores es usando el correo electrónico como vector de ataque. Lo forma de operar es mediante la suplantación de direcciones de la Agencia Tributaria mediante técnicas de spoofing. Así hacen creer que hay algún problema con el IRPF e invitan a pulsar sobre un enlace para revisarlo.

Que el correo parezca venir desde un remitente legítimo, esté bastante bien redactado y aproveche la campaña de la Renta puede hacer que más de un usuario caiga en la trampa. En el caso de que se pulse sobre el enlace proporcionado se redirigirá a la descarga de un fichero alojado en un servidor perteneciente al servicio en la nube de Microsoft Azure.

El uso de sistemas de almacenamiento públicos limita la duración que estas descargas estarán activas, pero a los delincuentes les vale con que solamente funcionen durante unas horas, tiempo más que suficiente para lograr sus objetivos.

Una vez descargado el fichero en el sistema, se puede ver como se trata de un archivo comprimido, algo que suele ser habitual en estos casos, y que contiene a su vez un fichero ejecutable y otro en formato xml. Es importante ver la notable diferencia en las fechas de creación de uno y otro archivo, teniendo el ejecutable solo unas horas de antigüedad mientras que el XML cuenta con más de un año desde su última modificación.

El archivo ejecutable es un código malicioso que, a su vez se encara de descargar el payload definido por los delincuentes. En este caso se trata otra muestra del un troyano bancario, del cual se ha detectado bastante actividad últimamente y que tiene muchas similitudes con otros de similar uso. Su  origen proviene de Latinoamérica y se usa en campañas dirigidas también a usuarios españoles desde hace más de tres años.

El modo en el que trabajan este tipo de troyanos una vez infectan el sistema consiste en esperar mientras revisan la actividad del usuario hasta que este accede a la web de una de las entidades bancarias que el troyano tiene registradas. Una vez detectado ese acceso, los delincuentes superponen una web fraudulenta sobre la web legítima y roban al usuario sus credenciales de acceso. Con esta información ya pueden obtener acceso a su cuenta y, si consiguen engañar al usuario para que les envíe los códigos de verificación que se envían cada vez que se realiza una transferencia, pueden dejar a cero su cuenta bancaria en poco tiempo.

Es importante estar atento cuando se realice cualquier operación que conlleve el manejo de datos bancarios, como es el caso de la declaración de la Renta. Informarse bien antes de realizar cualquier operación es una de las mejores opciones para evitar ser estafado.