¿Estás seguro que ese e-mail es del SAT?

Llega a tu bandeja de entrada un correo electrónico desde una dirección que aparentemente es del Sistema de Administración Tributaria (SAT) y que te pide registrar tu e-mail para que recibas notificaciones las cuales a su vez te avisan de nuevos mensajes en el buzón tributario, el servicio de comunicaciones en línea a través del cual esa dependencia se contacta con los contribuyentes.

Tú abres el correo —¡porque nadie quiere tener problemas con el SAT!— y al hacerlo, eres redirigido en realidad a un sitio de Hotmail donde te solicitan permiso para acceder a tu información de perfil, tu lista de contactos, y entonces… alguien ya tiene acceso para robarte la información. Este caso es descrito en el blog del proyecto Malware de la UNAM, un laboratorio de análisis de software malicioso que busca detectar y desactivar este tipo de amenazas.

Esta variación es tan sólo un ejemplo de las modalidades de phishing que existen y las cuales buscan robar información de los usuarios y hacer fraude con ésta.

Se le conoce así —viene del inglés fishing, que significa pescar— a un correo electrónico falso que llega a nuestra bandeja y que “busca obtener información personal (como usuarios, contraseñas, datos de tarjetas bancarias, etcétera) o que nos redirige a la descarga de programas maliciosos”, explica este proyecto.

El SAT explica el objetivo de estos correos: “Estos mensajes pretenden sorprender a los ciudadanos ya que advierten sobre supuestas irregularidades fiscales y solicitan llenar formularios con datos generales, e incluso de alguna tarjeta de crédito, para devolverle un aparente saldo a favor o evitar supuestas acciones legales o actualizar sus datos”.

Esta institución es tan sólo una a nombre de las cuales se mandan este tipo de mensajes, pero las más afectadas suelen ser los bancos.

“Puede ser SAT, Bancomer y Banamex. Si no tenemos relación con el banco, el consejo es no abrirlo. Y aunque en muchas ocasiones puede ser un banco con el que sí tenemos una relación, tomar en cuenta que los bancos suelen comunicarse por otros medios, como por teléfono”, explica  Eulogio Díaz, director de G DATA SecurityLabs.

Y así funcionan: “Estos correos buscan afectar la imagen del SAT, buscan enganchar al contribuyente y hacer que éste ejecute un archivo y que éste se grabe en la máquina. Este tipo de correos apócrifos internamente tienen códigos maliciosos, vienen en unas ligas que vienen en el mismo correo y con que entres se ejecutan, se instala este código, la máquina está infectada y dependiendo del código incluso pueden ya tener acceso a la información”, explica Héctor Gómez, administrador central de seguridad, monitoreo y control y responsable de la información del SAT.

Hay que tener claro que el SAT no distribuye software, no solicita ejecutar ni guardar ningún archivo ni requiere información personal, claves o contraseñas por correo electrónico, explica la misma dependencia en uno de sus comunicados. Así que si en un correo se solicita esta información, algo anda mal.

Este delito está en aumento. Las reclamaciones imputables en depósitos a la vista y que pueden ser atribuidos a phishing, crecieron 45% en 2014 (es decir 39 mil más) para respecto y el monto total reclamado por los usuarios ascendió a 2 mil 152 millones de pesos, según el estudio Evolución de las reclamaciones imputables a un posible fraude de la Comisión Nacional para la Protección y Defensa de los Usuarios de Servicios Financieros (Condusef).

La recomendación es que si te llega uno de estos correos, lo borres y por ningún motivo lo abras, porque tan sólo con eso puede ejecutarse alguna amenaza. Si por alguna razón ya entraste a leer el correo y tiene ciertas ligas, lo mejor es no abrir ni ejecutar nada y comunicarse con la dependencia de la que aparentemente viene para confirmar la información.

Para entender la dimensión del problema, el SAT señala que tiene equipos protegidos a los que llegan también correos apócrifos, de los cuales, es necesario bloquear 80% de los 50 millones que llegan al año debido a que son considerados como amenazas.

De esta manera y gracias a las denuncias de los contribuyentes enviadas al correo denuncias@sat.gob.mx, esta dependencia turna a la policía científica con el objetivo de bloquear nuevas cuentas y se tienen identificadas 139 cuentas apócrifas de las cuales los ciberdelincuentes envían amenazas. Esta lista está disponible en internet mediante la dirección:  http://www.sat.gob.mx/contacto/contactenos/Paginas/lista_correos_apocrifos.aspx

Al mes, aproximadamente esta institución recibe 500 denuncias al correo denuncias@sat.gob.mx.

Es necesario saber que la única forma de contacto por parte de esta dependencia es el buzón tributario.

“El SAT va a comunicarse contigo a través del buzón tributario, es una vía confiable para que sepan que el SAT les está enviando algo, es la única forma en la que se va a comunicar con los contribuyentes, por correo personal no es la manera y mucho menos una cuestión oficial”, explica el especialista.

¿Cómo identificar este tipo de correos?

Banamex describe varios elementos para identificarlos: tienen un tono de alarma que te exige actuar rápidamente, incluyen una liga y sugieren hacer click en ella para confirmar o actualizar tu información personal y puede presentar errores gramaticales que no son usuales en la comunicación habitual de la institución. La recomendación es que escribas la dirección del sitio al que quieres ingresar directamente para que evites conectarte a través de ligas de correos electrónicos.

Para comprobar que un sitio es seguro debes revisar que empiece con “https://” e incluya un candado cerrado en la barra del navegador, recomienda Banamex.

Haz doble clic sobre el candado y aparecerá un certificado que confirma que la dirección web corresponde a la página que visitas.

Es necesario que contrates un antivirus que pueda hacer frente a este tipo de amenazas. “Éste tiene que ser antiphishing, antimalware, antispyware, debe ser un antivirus completo para sentirnos seguros y poder navegar en la red”, recomienda Eulogio.

Pero no sólo es necesario tener esta protección, sino también que tanto el antivirus como el sistema operativo y todas las aplicaciones estén actualizadas.

Si te ha llegado un correo de este tipo, denúncialo al SAT (en su sitio viene cómo hacerlo)o a la institución correspondiente, ya que esto permitirá que la dirección sea identificada y sea etiquetada como maliciosa, y así será distribuida y dada a conocer para que otras dependencias y usuarios no caigan en la trampa.