El número de estafas de phishing de la marca HMRC reportadas oficialmente aumentó de 572,029 en el año fiscal 2019-2020 a 1,069,522 en el período 2020-2021, un aumento del 87%, según las estadísticas obtenidas por Lanop Outsourcing, una firma de contabilidad, bajo la Libertad de Ley de Información (FoI).
Las estadísticas revelan que la mayoría de las estafas abordadas por HMRC están relacionadas con devoluciones o reembolsos de impuestos, que aumentaron un 90% en 2020-1 en comparación con 2019-20, de 363,118 a 690,522. Gran parte de este aumento será atribuible a los delincuentes que intentan aprovecharse de millones de personas sumidas en la inseguridad financiera durante la pandemia de Covid-19.
El director de Lanop, Aurangzaib Chawla, dijo: “Con las empresas en un frágil camino hacia la recuperación después de la crisis de Covid-19, es vital permanecer alerta sobre los riesgos muy reales que plantean las estafas de la marca HMRC”.
Los datos también revelan un aumento del 66% en los ataques de estafas de voz durante el último año financiero, pasando de 203,362 a 336,767. Los ataques relacionados con la DVLA – HMRC también recibe informes de tales ataques y está facultada para actuar en nombre de la agencia para iniciar la eliminación de sitios web – aumentó más de seis veces a 42,233 de 5,549.
El método de entrega preferido para las estafas que explotan a HMRC fue el correo electrónico. Los ataques originados a través de este método aumentaron a más del doble de 301,170 a 630,193. Los informes de sospechas de estafas por SMS, o smishing, aumentaron un 52% de 67,497 a 102,562, y los informes de estafas de llamadas telefónicas aumentaron un 66% de 203,362 a 336,767.
Andy Harcup, director senior de Gigamon, un proveedor de servicios de monitoreo de red, dijo: “El fuerte aumento de los ataques de phishing con la marca HMRC plantea enormes riesgos para las empresas y las personas, ya que muchas organizaciones carecen de los recursos para identificar y protegerse contra piratas informáticos malintencionados. Todo lo que se necesita es un solo empleado para entregar involuntariamente contraseñas confidenciales y detalles de usuario y los ciberdelincuentes pueden ingresar y causar estragos en la red.
“El hecho es que las empresas no pueden neutralizar estos ataques sin una visibilidad completa del tráfico de la red y una visibilidad completa de las posibles amenazas hostiles. Los días de permitir que los puntos ciegos de seguridad permanecieran sin control han terminado y obtener una visión completa de lo que está sucediendo y cuándo debería ser ahora la nueva normalidad en términos de protocolo de seguridad ”, dijo.
Tim Sadler, CEO de Tessian, que se especializa en seguridad de correo electrónico, agregó: “Hacerse pasar por una organización autorizada como HMRC es una forma probada y comprobada para que los ciberdelincuentes creen un sentido de urgencia y miedo, para manipular a las personas para que compartan información financiera o credenciales a través de estafas de phishing o smishing. Y han subido la apuesta, particularmente durante los últimos 12 meses, con la esperanza de que al enviar más correos electrónicos, más personas puedan caer en sus esquemas.
“Lamentablemente, detectar las estafas no siempre es fácil y los piratas informáticos las hacen aún más difíciles de detectar. La regla general es nunca hacer clic en enlaces en mensajes de texto o correos electrónicos inesperados, incluso si se siente bajo presión. Recuerde, siempre puede verificar que la solicitud sea real llamando a la compañía directamente o revisando su cuenta en línea ”, dijo Sadler.
A principios de junio, HMRC reveló que recibió más de un millón de referencias de contactos sospechosos de miembros del público en general durante el año financiero 2020-21. Durante ese período, trabajó con proveedores de servicios de Internet (ISP) para eliminar más de 15.700 páginas web maliciosas, y con Ofcom y proveedores de telecomunicaciones para eliminar más de 3.000 números de teléfono maliciosos.
Debido a su destacado perfil público, HMRC es probablemente la marca gubernamental de la que los delincuentes abusan con más frecuencia para agregar credibilidad a sus estafas. Como resultado, el departamento ha liderado durante mucho tiempo discusiones y esquemas sobre problemas cibernéticos en Westminster, ejecutando su propia unidad de Operaciones de Seguridad Cibernética para identificar y cerrar a los estafadores. También ha sido pionera en el uso en el gobierno de las protecciones DMARC para el correo electrónico y otros controles técnicos para evitar que se falsifiquen sus números de línea de ayuda legítimos. Sin embargo, los ciberdelincuentes persisten.
Myrtle Lloyd, directora general de servicio al cliente de HMRC, dijo: “Estamos instando a todos nuestros clientes a que tengan mucho cuidado si alguien los contacta inesperadamente y les pide dinero o datos bancarios.
“Hay muchas estafas en las que los estafadores llaman, envían mensajes de texto o correos electrónicos a clientes que afirman ser de HMRC. Si tiene alguna duda, le sugerimos que no responda directamente y que se ponga en contacto con nosotros de inmediato. Busque en Gov.uk nuestra ‘lista de verificación de estafas’ y descubra ‘cómo denunciar estafas de impuestos’ ”.