El Incibe denuncia el caso de un hombre al que robaron sus datos personales para realizar apuestas online y al que después Hacienda le reclamó tributar por esas ganancias que nunca obtuvo
04 dic 2023 . Actualizado a las 19:36 h.
A Juan —un nombre ficticio para este hombre de mediana edad— le llegó un buen día un correo electrónico de la Agencia Tributaria. Lo primero que pensó es que se trataba de un intento de phishing. Es decir, que algún ciberdelincuente suplantaba la identidad de Hacienda para robar sus datos personales. Y aunque esta es una práctica más que habitual en los ciberdelitos, justamente este no era el caso.
Para contrastar la información, contactó directamente con el organismo tributario que le confirmó que el mensaje que había recibido era legítimo y real. El fisco le indicó entonces que tras haber realizado diferentes apuestas en ejercicios fiscales anteriores y ganar por ellas una cantidad cercana a los 25.000 euros, debía llevar a cabo los pagos correspondientes en impuestos. En este caso, un 24 % del importe. Pero Juan jamás se había registrado en ninguna casa de apuestas y mucho menos había visto en su cuenta bancaria algún ingreso proveniente del juego.
El caso de Juan lo expone el Instituto Nacional de Ciberseguridad de España (Incibe), al que acudió este hombre en busca de asesoramiento, tras recibir el alarmante mensaje de la Agencia Tributaria. Una vez les contó lo sucedido, lo primero que hicieron los expertos del INCIBE fue preguntarle si era consciente de haber compartido con alguien los datos de su documento nacional de identidad —a través de una fotografía o una fotocopia—. Fue así como los ciberdelincuentes habrían obtenido su información para darse de alta en alguna página web de apuestas sin su autorización y conseguir que las ganancias obtenidas se declarasen a su nombre, evitando el pago de impuestos.
Este tipo de estafas son habituales. En marzo de este mismo año, la Policía Nacional, en el marco de la operación Pippen, detuvo en Madrid al presunto líder de una organización especializada precisamente en crear cuentas falsas en páginas de juego online. Posteriormente las vendían o las utilizaban para realizar apuestas, consiguiendo grandes beneficios que después habían de tributar las personas suplantadas. Identificaron entonces a 260 víctimas en todo el territorio nacional e incluso algunas en otros países.
Prevención
Para evitar caer en este tipo de estafas, el Incibe recomienda realizar técnicas de ofuscación en aquellos casos en los que resulte inevitable tener que enviar una copia de nuestro DNI a alguien. Estas técnicas consisten en, por ejemplo, pixelar la fotografía del documento para evitar que la persona sea identificable. También conviene hacer lo mismo con la firma o incluso colocar una marca de agua —un texto sobreimpresionado— en el documento para dejar claro que no se trata de un original, sino que está modificado.
Por otro lado, la Dirección General de Ordenación del Juego (DGOJ) dispone de un servicio de alertas por suplantación de identidad en plataformas de juego online, llamado PhishingAlert, que avisa a los usuarios cuando otros se han registrado con sus datos en casas de apuestas. Cualquier persona mayor de edad y residente en España puede solicitar el alta en este servicio, ya sea de manera presencial o en línea.
¿Y si soy víctima de un caso de estafa como este?
El Incibe recomienda a los que que hayan sufrido este tipo de fraude llevar a cabo una serie de pautas para denunciar los hechos. En primer lugar, es fundamental recopilar todas las evidencias posibles, así como poner una denuncia por suplantación de identidad ante las Fuerzas y Cuerpos de Seguridad del Estado.
También es importante contactar con el Centro de Información de Riesgos de España (Cirbe), para comprobar si se han solicitado préstamos o créditos en su nombre empleando el DNI.
Una vez realizados estos procedimientos y con el objetivo de volver a ser el objetivo de actores maliciosos, esta entidad recomienda realizar egosurfing periódicamente. Se trata de una técnica destinada a comprobar si se está haciendo un uso indebido de su información.