El Instituto Nacional de Ciberseguridad (INCIBE) alerta de una campaña de correos electrónicos fraudulentos que suplantan a la Agencia Estatal de Administración Tributaria (AEAT) y a la Dirección Electrónica Habilitada Única (DEHÚ), con el objetivo de robar credenciales de acceso de los ciudadanos.

Según ha informado la Oficina de Seguridad del Internauta (OSI) y recoge EFE, estos mensajes llegan a los usuarios con apariencia legítima y anuncian la puesta a disposición de una supuesta "nueva notificación electrónica".

El correo incluye un enlace que redirige a una página web falsa que imita tanto la identidad visual de la Agencia Tributaria como la de la plataforma oficial de notificaciones DEHÚ.

Los mensajes detectados emplean asuntos como 'Aviso puesta a disposición de nueva notificación electrónica REF-XXXXXXXX', aunque no se descarta la existencia de variantes. Uno de los principales indicios de la estafa es que la dirección del remitente no pertenece al dominio oficial agenciatributaria.gob.es.

Una vez que el usuario accede al enlace fraudulento, la web solicita un identificador y una contraseña, con lo que los ciberdelincuentes pueden obtener las claves de acceso del afectado y utilizarlas para acceder a otros servicios o realizar acciones en su nombre.

INCIBE subraya que quienes hayan recibido uno de estos correos pero no hayan accedido al enlace deben reenviarlo al buzón de incidentes del organismo, bloquear al remitente y eliminar el mensaje.

En el caso de haber introducido datos personales, el instituto recomienda, en primer lugar contactar con la Línea de Ayuda en Ciberseguridad para recibir asesoramiento personalizado.

También llama a conservar todas las evidencias del fraude, como capturas de pantalla y enlaces; presentar una denuncia ante las Fuerzas y Cuerpos de Seguridad del Estado; cambiar las contraseñas comprometidas, especialmente si se reutilizan en otros servicios, y activar el doble factor de autenticación; y realizar búsquedas periódicas de su información personal en internet (egosurfing) para detectar un posible uso indebido.

El organismo recuerda además que los trámites en la administración electrónica solo pueden realizarse a través de sistemas oficiales de identificación, como Cl@ve permanente o Cl@ve móvil vía SMS, DNI electrónico o certificado digital.

INCIBE insiste en que, ante cualquier duda sobre la legitimidad de un mensaje, los ciudadanos deben comprobar siempre la información en los canales oficiales antes de hacer clic o introducir datos.