La Organización de Consumidores y Usuarios (OCU) ha lanzado una alerta urgente ante una nueva campaña de phishing activa que suplanta la identidad de la Agencia Estatal de Administración Tributaria (AEAT). Este fraude digital, detectado previamente por el Instituto Nacional de Ciberseguridad (INCIBE), busca engañar a los ciudadanos para que revelen sus datos de acceso a la plataforma oficial de la administración, la Dirección Electrónica Habilitada Única (DEHÚ), con el objetivo final de robar información personal y fiscal.

El modus operandi consiste en el envío de correos electrónicos fraudulentos que simulan ser una notificación oficial de la AEAT. El mensaje, de apariencia muy profesional, informa al usuario de la "puesta a disposición de una nueva notificación electrónica" relacionada con una supuesta reclamación, e incluye un enlace. Este enlace dirige a una página web falsa que replica con gran detalle el diseño y la maquetación tanto de la DEHÚ como de la propia web de la Agencia Tributaria, con el fin de resultar convincente.

A simple vista, el engaño es sofisticado, pero OCU señala un indicio clave de fraude: la dirección de correo del remitente no pertenece al dominio oficial "agenciatributaria.gob.es". Una vez en la web falsa, se solicita al usuario que introduzca su identificador y contraseña, datos que son capturados directamente por los ciberdelincuentes.

Ante este riesgo, OCU ofrece una serie de recomendaciones clave para los ciudadanos. En primer lugar, recuerda que la AEAT nunca solicita credenciales por correo electrónico y que todas las gestiones deben realizarse exclusivamente a través de los sistemas de identificación oficiales, como Cl@ve Permanente, Cl@ve Móvil, el certificado digital o el DNI electrónico, accediendo directamente a la sede electrónica.

Si un usuario recibe un correo de este tipo y no ha hecho clic en el enlace, se le insta a reenviar el mensaje a la dirección de incidentes de INCIBE (incidencias@incibe-cert.es), bloquear al remitente y eliminar el correo. Esta colaboración es vital para rastrear el fraude y proteger a otros ciudadanos.

Para quienes sí hayan facilitado sus datos por error, el protocolo de actuación es más amplio y urgente. OCU aconseja contactar de inmediato con la Línea de Ayuda en Ciberseguridad (017), cambiar todas las contraseñas asociadas al sistema Cl@ve, recopilar y guardar todas las pruebas del incidente (capturas de pantalla, enlaces, etc.) y presentar una denuncia ante las Fuerzas y Cuerpos de Seguridad del Estado. Además, recomienda revisar periódicamente si su información personal ha sido filtrada en la red y activar la verificación en dos pasos (2FA) en todos los servicios donde esté disponible.

La OCU subraya que la ciberseguridad es un componente esencial de la protección del consumidor en la era digital y reitera su compromiso con la defensa de los derechos de los usuarios frente a estas prácticas fraudulentas que ponen en grave riesgo la privacidad y la seguridad jurídica.