¿AFIP otra vez? No caigas en esta trampa
AFIP dejó de existir como organismo en 2024, reemplazada por ARCA (Agencia de Recaudación y Control Aduanero). Sin embargo, los estafadores siguen usando el nombre “AFIP” en sus campañas de phishing – precisamente porque genera más urgencia y reconocimiento que un organismo nuevo. La estrategia no cambió; solo cambió el contexto que intentan explotar.
Cómo funciona esta estafa
El vector es el correo electrónico. El destinatario recibe un mensaje que simula ser una notificación oficial de AFIP o ARCA, indicando que tiene una deuda tributaria pendiente o que debe regularizar su situación fiscal. El correo incluye un enlace o archivo adjunto para “realizar el pago” o “descargar la intimación”.
El mecanismo de presión es el mismo que en toda ingeniería social efectiva: urgencia + legitimidad simulada + consecuencia negativa. El mensaje comunica que si no se actúa en 48 o 72 horas habrá una sanción, embargo o inhabilitación.
En la práctica, el enlace lleva a una página falsa que roba credenciales fiscales, o el archivo adjunto ejecuta malware al abrirse.
Señales de alerta para identificarlo
- Remitente sospechoso: el dominio del correo no es @arca.gob.ar ni @afip.gob.ar. Suele tener variaciones como @afip-ar.com, @arca-notificaciones.net u otras combinaciones similares.
- Urgencia artificial: el asunto y el cuerpo del mensaje presionan para actuar de inmediato, con plazos cortos y consecuencias exageradas.
- Mezcla de organismos: el contenido menciona tanto AFIP como ARCA de forma inconsistente – señal de que el texto fue generado o adaptado sin cuidado.
- Formato institucional con errores: logos desproporcionados, tipografías diferentes, errores ortográficos o de espaciado en documentos que supuestamente son oficiales.
- Monto exacto: la multa o deuda tiene un número específico (por ejemplo, $47.320) para dar sensación de legitimidad. Los organismos fiscales no notifican deudas por correo con montos exactos.
Qué no hacer
- No hacer clic en ningún enlace del correo, aunque parezca legítimo.
- No descargar ningún archivo adjunto.
- No ingresar credenciales (CUIT, clave fiscal, datos bancarios) en páginas a las que se llegó por un link recibido por email.
- No llamar a números de teléfono que figuren en el correo – pueden ser parte de la estafa.
Qué hacer si recibís un correo sospechoso
- Verificar directamente: acceder al sitio oficial de ARCA (www.arca.gob.ar) desde el navegador, sin usar el enlace del correo, e iniciar sesión con la clave fiscal para verificar si existe alguna deuda o notificación real.
- Recordar el canal oficial: las únicas notificaciones fiscales válidas llegan a través del sistema de Domicilio Fiscal Electrónico, al que se accede con las credenciales personales en el sitio de ARCA.
- Reportar el correo: marcarlo como phishing en el cliente de correo y, si es posible, reportarlo al área de IT o seguridad de la organización.
Recordá: ARCA nunca envía notificaciones de deuda por correo electrónico externo con links para pagar. Toda gestión legítima se realiza desde el portal oficial con clave fiscal.
El phishing funciona porque nadie entrena para resistirlo
Esta campaña con nombre de AFIP/ARCA no es sofisticada técnicamente – es efectiva porque apunta al factor humano. Un colaborador bajo presión, con poco contexto sobre cómo son las notificaciones fiscales reales, tiene alta probabilidad de hacer clic.
Lo que vemos en organizaciones sin programa de concientización es justamente eso: un único clic en el momento equivocado que compromete credenciales o instala malware. Y lo que suele seguir – movimiento lateral, exfiltración de datos o ransomware – ya no se resuelve con un antivirus.
En AllSafe hacemos simulaciones de phishing controladas para medir la exposición real del equipo y entrenarlos con casos reales como este. No es un test punitivo: es una herramienta de aprendizaje que genera datos concretos sobre el nivel de riesgo humano en la organización. Si te interesa saber cómo respondería tu equipo, conocé nuestro servicio de simulación de phishing.
