Instituto Nacional de ciberseguridad. Sección Incibe

Tras ser suplantado con su DNI acaba debiendo impuestos a la Agencia Tributaria

Fecha de publicación 22/11/2023
Tras ser suplantado con su DNI acaba debiendo impuestos a la Agencia Tributaria

¿Qué ha ocurrido?

Nos contactó a través del teléfono 017 del servicio ‘Tu Ayuda en Ciberseguridad’ de INCIBE un varón de mediana edad en busca de orientación y asesoramiento, tras haber recibido un correo electrónico con una notificación de la Agencia Tributaria.

En primer lugar, nos explicó que desconfió de la información que estaba recibiendo, puesto que era conocedor de los ataques tipo phishing y pensó que se trataría de uno de ellos suplantando al organismo.

Para contrastar la información, decidió ponerse en contacto con la Agencia Tributaria, quedando sorprendido, puesto que le confirmaron que se trataba de un mensaje legítimo.

El organismo le indicó que tras haber realizado diferentes apuestas en años anteriores y haber obtenido unas ganancias de más de 25.000€ debía llevar a cabo los pagos correspondientes en concepto de impuestos por esa cantidad, que correspondían con un 24% del importe.

El usuario nos confirmó que no entendía lo que estaba pasando, ya que en ningún momento se había registrado en ninguna casa de apuestas y nunca había realizado ningún tipo de transacción relacionada con estos juegos.

Al contarnos lo sucedido, le preguntamos si era consciente de haber enviado en alguna ocasión alguna fotografía o fotocopia de su DNI, o que alguien hubiera podido obtenerlo de alguna otra forma, a lo que nos comentó que sí que cabía esa posibilidad. 

¿Qué pautas le hemos dado?

Comenzamos explicándole que, aparentemente, alguien podría estar haciendo uso de su DNI, suplantado su identidad en alguna página de apuestas y juegos online, teniendo éxito en la misma y retirando las ganancias. Siendo este el motivo de que la Agencia Tributaria le instara a hacer los pagos de los impuestos correspondientes a esas ganancias.

También, le felicitamos por haber contrastado la información a través de los canales oficiales de la Agencia Tributaria, puesto que en caso de duda es la manera correcta de actuar.

Continuamos ofreciéndole las pautas que debía llevar a cabo:

  • Recopilar todas las evidencias posibles.
  • Realizar una denuncia, por suplantación de identidad, ante las Fuerzas y Cuerpos de Seguridad del Estado.
  • Contactar con el CIRBE (Centro de Información de Riegos del Banco de España) en el teléfono 913386166, para comprobar si se han solicitado préstamos o créditos en su nombre usando su DNI.
  • Realizar egosurfing periódicamente para comprobar si se está haciendo un uso indebido de su información. En caso de encontrar información publicada sin consentimiento:
    • Ejercer el derecho al olvido en el buscador en el que la encuentre.
    • Contactar con la plataforma o página en la que detecte alguna publicación, para solicitar su eliminación.
    • Ejercer los derechos ARSOPOL solicitando la retirada de la información en el sitio web.
    • En caso necesario, denunciar ante la AEPD.

Además, de forma preventiva para futuro, le facilitamos técnicas de ofuscación de datos para aquellos casos en los que resulte inevitable tener que enviar una copia de este tipo de documentos, de tal forma que nadie pueda usarlos para suplantar la identidad pero que sirva para el propósito de haber sido solicitado.

 Las modificaciones recomendadas en el caso del DNI/NIE/Pasaporte son:

  • Pixelar la foto: con el objetivo de evitar que la persona que aparece en la fotografía pueda ser identificable. Pueden usarse varias técnicas:
    • Se puede tapar la parte de los ojos con un rectángulo opaco.
    • Se puede proceder a realizar el pixelado u ofuscado de la imagen completa mediante filtro u herramienta concreta.
  • Pixelar la firma: la finalidad es que no se pueda hacer uso fraudulento de la firma.
  • Marca de agua: con esta técnica se puede poner un texto sobreimpresionado encima del documento, dejando claro que ese no es el documento original, sino que está modificado, y el fin para el que se está autorizando. Así, se puede impedir hacer uso de él con cualquier fin no deseado.

También de forma preventiva le aconsejamos utilizar el servicio PhishingAlert de la Dirección General de Ordenación del Juego del Ministerio de Consumo. Este servicio previene que se realicen inscripciones no autorizadas en casas de apuestas y juegos en línea, notificando al usuario si alguien intenta registrarse utilizando su información personal. La inscripción puede realizarse de dos formas:

  • De manera presencial: completando el formulario web y presentándolo en uno de los registros autorizados.
  • Por Internet: mediante certificado electrónico.

Por último, le recordamos que si tiene más dudas o necesita de nuevo ayuda en ciberseguridad, estamos a su disposición en la Línea de Ayuda todos los días de 08:00 a 23:00h. 

Tu Ayuda en Ciberseguridad