Campaña de phishing suplantando a la Agencia Tributaria por SMS y correo: así opera y cómo protegerte

Última actualización: 22/09/2025
Autor: Isaac
  • SMS y correos falsos prometen devoluciones o avisan de deudas e incluyen enlaces a webs fraudulentas.
  • Fíjate en dominios no oficiales, urgencia exagerada, petición de datos sensibles y firma falsa de la directora.
  • Ante la duda, no pulses enlaces, borra el mensaje, verifica en la Sede Electrónica y consulta al 017.
  • Si ya caíste: contacta con tu banco, 017, renueva el DNI si procede, guarda pruebas y denuncia; practica egosurfing.

Campaña de phishing suplantando a la Agencia Tributaria

En los últimos días están circulando SMS y correos electrónicos que se hacen pasar por la Agencia Tributaria. El gancho es de manual: prometer una devolución, avisar de una supuesta deuda o informar de una incidencia para que el usuario pinche en un enlace.

Lo preocupante es que los mensajes vienen bien redactados y con apariencia oficial, por lo que resulta fácil morder el anzuelo si tienes dudas con tu declaración. Tras el clic, te llevan a páginas que imitan a la AEAT y allí intentan que introduzcas datos personales y bancarios.

Cómo actúan los SMS y correos fraudulentos

Alerta de smishing y phishing de la Agencia Tributaria

Las notificaciones falsas llegan por correo electrónico o mensaje de texto, usan logotipos y tono administrativo, y empujan a “consultar detalles” mediante un enlace. Entre los asuntos detectados aparecen variantes como: “Notificación oficial: reembolso de impuestos aprobados”, “Obligación tributaria vencida #XXXXX”, “Tu factura está disponible” o “Agencia Tributaria: revise los detalles aquí”.

Al seguir el enlace, el usuario aterriza en una web que clona el aspecto de la AEAT, donde se le pide identificarse y completar formularios con datos como número de tarjeta, credenciales o incluso una foto del DNI. Algunos mensajes incluyen un saludo final atribuido a la directora, Soledad Fernández, detalle utilizado como cebo para dar credibilidad.

  Cómo hackear la NASA

Un indicador clave es el origen del envío: los correos legítimos de la Agencia proceden del dominio agenciatributaria.gob.es. Si el remitente usa dominios raros o acortadores y te empuja a pulsar con prisas, toca desconfiar y comprobar por tu cuenta.

Señales de alerta que debes comprobar

  • El remitente no coincide con el dominio oficial (agenciatributaria.gob.es) o el número del SMS es sospechoso.

  • Se percibe urgencia exagerada (“último aviso”, “actúe hoy mismo”) para que no verifiques la información.

  • Solicitan datos sensibles o adjuntos (tarjetas, claves, fotos del DNI), algo que la AEAT no pide por estas vías.

  • El mensaje incluye una firma falsa de la directora o enlaces externos que llevan a páginas que no son la Sede Electrónica.

  • Puede haber faltas sutiles o giros extraños, aunque a veces el texto está muy pulido para pasar desapercibido.

Qué hacer si recibes un mensaje sospechoso

Si te llega un aviso inesperado, lo más prudente es no pulsar ningún enlace ni descargar archivos. Elimina el mensaje y, si lo deseas, bloquea el remitente para evitar nuevos intentos.

Para salir de dudas, accede tú mismo a la Sede Electrónica de la AEAT escribiendo la dirección en el navegador o utilizando la app oficial. Nunca verifiques desde el enlace recibido.

Puedes remitir el caso al buzón de incidentes de los servicios de seguridad para internautas y, ante preguntas, llamar a la Línea de Ayuda en Ciberseguridad 017 para recibir orientación gratuita y confidencial.

Si ya has facilitado datos

Si pinchaste y compartiste información, actuar con rapidez puede limitar el daño y cortar futuros fraudes. Estos pasos son clave:

  1. Llama a tu banco para bloquear tarjetas, revisar movimientos y cambiar credenciales comprometidas.

  2. Contacta con la Línea 017 para que te indiquen medidas técnicas y legales según tu caso.

  3. Si enviaste una foto o datos del DNI, solicita su renovación para invalidar el documento anterior.

  5. Durante las semanas siguientes practica egosurfing (búscate en Internet) para detectar usos indebidos de tus datos.

  La implementación de la Directiva NIS2 en España: retos, retrasos y el desafío de la ciberseguridad

Qué han comunicado la Agencia Tributaria e INCIBE

La Agencia Tributaria ha reiterado que no solicita información confidencial por correo o SMS ni envía facturas u otros adjuntos para gestionar devoluciones. Sus comunicaciones auténticas llegan desde dominio oficial y no requieren introducir datos bancarios por enlaces externos.

Por su parte, el Instituto Nacional de Ciberseguridad ha alertado de campañas activas de phishing y smishing que anuncian devoluciones, deudas o incidencias, y redirigen a webs falsas para robar información. Entre los indicadores recurrentes señalan asuntos como “Notificación Oficial: Reembolso de Impuestos Aprobados” y el uso de una despedida falsamente firmada por la directora.

Con los periodos fiscales aún recientes y muchos contribuyentes pendientes de devoluciones, los ciberestafadores aprovechan la coyuntura para aumentar la efectividad del engaño. Verificar siempre por vías oficiales es la mejor defensa.

Ante un escenario en el que los fraudes ganan sofisticación y velocidad, lo que más funciona es mantener la calma, desconfiar de lo urgente y comprobar todo desde la Sede Electrónica o canales verificados; si ya hubo exposición de datos, actuar en minutos con banco, 017 y denuncia puede marcar la diferencia.

estafas informáticas bancarias-0
Artículo relacionado:
Ola de estafas informáticas bancarias: modalidades, cifras y retos para su control