Este artículo trata sobre el email hacienda.gob.es. Recibir cualquier comunicado, sea sms, carta o email de Hacienda no suele ser una grata sorpresa. En este caso que cuento, lo es menos aún. El email hacienda.gob.es que has recibido se trata de un ataque informático, así que no hagas click en ningún enlace, ni mucho menos descargues archivos.

El motivo es que Hacienda es víctima de Email Spoofing y no pone remedio alguno para solucionarlo. Aquí hay un análisis completo sobre la suplantación de identidad de hacienda, usando el correo impuestos@hacienda.gob.es. Antes de mostrar todo el análisis de la estafa, es conveniente conocer qué es el Spoofing y cómo es posible evitarlo.

Actualización: desde la publicación de este artículo me han reportado diferentes empresas que han recibido el mismo mensaje desde diferentes direcciones de email hacienda.gob.es:

impuestos@hacienda.gob.es, deudas@hacienda.gob.es y cobros@hacienda.gob.es. Además también usan burofax@notificados.com realizando el mismo ataque.

Información aportada por terceras empresas

Qué es el Email Spoofing

El Email Spoofing es una técnica de suplantación de identidad. Los ciberdelincuentes envían correos haciéndose pasar por otra persona o entidad. En este caso, han tomado una dirección de correo electrónico de un dominio oficial del Ministerio de Hacienda: hacienda.gob.es

https://www.youtube.com/watch?v=Ze2sR1NXlqM
Vídeo de la Guardia Civil sobre el Spoofing. Ataque que hacen al email hacienda.gob.es.

Estos correos son enviados a millones de personas y al parecer enviados desde un correo oficial. Tienen una tasa de apertura increiblemente alta y, con ello, cientos de usuarios son víctimas de los ciberdelincuentes. Mediante la descarga de sus archivos consiguen datos personales y fiscales que obviamente no serán usados con buenas intenciones.

No es la primera vez que sucede. Por ejemplo, la agencia tributaria publicó el 22-03-2018: Intentos de fraude tipo ‘phishing’ a través de Internet. Además en otros medios podemos encontrar titulares como Hacienda, en el punto de mira de otro intento de phishin o Hacienda avisa de intentos de fraude vía Internet, teléfono…

¿Un nuevo intento? Si fuese solo un intento no llegaría a las buzones de miles de personas, es una suplantación tangible.

Evitarlo es sencillo, pero el Ministerio de Hacienda no lo hace.

Para evitarlo, sin entrar en demasiados conceptos técnicos, hay unas «marcas» o «firmas» que se pueden incluir en la configuración del dominio, que determinan qué se debe hacer con un correo electrónico que no supera las pruebas de identidad.

Esto dicho de otro modo, es una configuración que determina que si el correo recibido desde una dirección de correo electrónico con tu dominio no ha sido enviado desde las fuentes marcadas como «de confianza», el correo electrónico será eliminado antes de entrar a tu bandeja de entrada o de Spam. Hablamos de los registros SPF, DKIM y DMARK.

El email hacienda.gob.es

En el caso, la estafa comienza con el envío de un correo electrónico desde la dirección impuestos@hacienda.gob.es. Se puede ver el email en la siguiente imagen:

email spoofing hacienda. Correo enviado desde "impuestos@hacienda.gob.es"
Correo de suplantación de identidad e email Hacienda, y no solo un «intento»

Como se puede apreciar, el remitente parece ser hacienda.gob.es, un dominio legítimo que además sólo es registrable por los gobiernos al ser .gob.es en lugar de .es, .com o la mayoría de extensiones de dominio. Si consultamos el Whois del dominio podemos encontrar los datos del titular y de las personas de contacto administrativo y técnico, pese a que tampoco sea una gran idea y una falta de respeto a la privacidad.

Whois de hacienda.gob.es

En este caso, ni Oscar Robledo como contacto administrativo, ni Emilio Raya, como contacto técnico parecen administrar bien el dominio, pues tal como expliqué antes, es posible evitar el email Spoofing.

En el correo, si se hace click en el enlace de descarga se descarga el archivo COMPROBANTE_66094_TKA.zip y en su interior archivos cuya intención es infectar a tantos dispositivos como sea posible. Este es el resultado del análisis con VirusTotal:

Análisis de los archivos del correo de Spoofing de Hacienda

Si volvemos al primer email del que hablamos y hacemos una búsqueda más a fondo sobre el remitente (cosa que muchos usuarios no saben hacer y no tienen por qué saber hacerlo) encontramos que el mensaje ha sido enviado desde www-data@194-67-111-233.ovz.vps.regruhosting.ru. En pocas palabras: el email proviene de Rusia.

Conclusiones

Más vale andarnos con ojo con este tipo de emails. Se debe ser muy cuidadoso en el análisis de los correos que recibimos, principalmente cuando hablan de temas económicos. Obviamente quienes desean robar tus datos prefieren robar tus cuentas bancarias o tarjetas de crédito antes que robar tus fotos privadas, a menos que seas alguien muy mediático, si fuese así tus fotos íntimas pueden valer mucho más dinero que las cuentas bancarias del común de los mortales.

Otra conclusión es que se ve que el Gobierno tiene unos sistemas pésimos, lentos, poco intuitivos e inseguros. Y cuando avisan de un nuevo intento de suplantación se trata de una suplantación real. También podemos comprobar que no ponen medios que sí están a su alcance para evitar esto.

Una conclusión extra es que hacer públicos los contactos de un dominio no sirve para otra cosa más que para eliminar nuestro derecho a la privacidad. Ningún ciberdelincuente usaría un dominio .es.

Protégete tú, que el gobierno no lo hará.

Séneka.