Una nueva oleada de correos electrónicos fraudulentos que suplantan a la Agencia Tributaria está circulando por España y ya ha motivado avisos urgentes de organismos públicos y asociaciones de consumidores. El objetivo de los ciberdelincuentes es claro: hacerse con las credenciales de acceso de los contribuyentes a servicios oficiales como la Dirección Electrónica Habilitada Única (DEHÚ) y a la propia sede electrónica de la Agencia Estatal de Administración Tributaria (AEAT).
La Oficina de Seguridad del Internauta (OSI), dependiente del Incibe, junto con la Policía Nacional, la Guardia Civil y organizaciones como la OCU y FACUA, han encendido las alarmas ante una campaña que destaca por lo bien construidos que están los mensajes: correos muy cuidados, con logotipos, lenguaje formal y una apariencia casi calcada a la de las comunicaciones oficiales de Hacienda.
Cómo funciona la estafa que suplanta a la Agencia Tributaria
El engaño arranca con un correo electrónico que aparenta ser una notificación oficial de la Agencia Tributaria o de la plataforma DEHÚ. El mensaje suele informar de una “nueva notificación electrónica sobre una reclamación o incidencia fiscal” y anima al usuario a pulsar en un enlace para consultar o descargar el supuesto documento.
Los asuntos más habituales detectados incluyen fórmulas del tipo «Aviso puesta a disposición de nueva notificación electrónica REF-XXXXXXXX», aunque las autoridades no descartan que existan variantes similares. El texto, en la mayoría de los casos, está bien redactado, sin faltas llamativas y con un tono institucional que da mucha confianza a quien lo recibe.
Al hacer clic en el enlace, la víctima es redirigida a una página web fraudulenta que copia el diseño de la sede electrónica de la AEAT o de la propia DEHÚ. Se trata de réplicas muy logradas, donde se pide introducir el identificador y la contraseña o las credenciales de acceso para consultar la notificación.
Una vez que el usuario escribe sus datos, la web falsa suele redirigir a la página auténtica de la Agencia Tributaria o de la DEHÚ, de modo que la persona crea que todo ha sido un trámite normal. Sin embargo, para entonces los ciberdelincuentes ya se han quedado con sus credenciales y pueden utilizarlas para acceder a comunicaciones oficiales, trámites fiscales o incluso intentar otras estafas vinculadas a su identidad.
En algunos casos, además de la Agencia Tributaria, se imita expresamente la plataforma de notificaciones DEHÚ, servicio utilizado por múltiples administraciones públicas. El riesgo se multiplica porque, con esas claves, los atacantes pueden consultar o manipular notificaciones de diferentes organismos.
Por qué esta campaña es especialmente peligrosa
Las autoridades subrayan que se trata de una campaña de phishing especialmente peligrosa por su verosimilitud. Los correos incluyen logotipos, formatos y estructuras muy similares a los verdaderos, y en ocasiones reproducen la estética exacta de las comunicaciones reales de Hacienda.
Según los datos del Incibe, el phishing se ha consolidado como uno de los fraudes online más frecuentes en España. Solo el último año se gestionaron más de 122.000 incidentes de ciberseguridad, con un crecimiento de doble dígito respecto al ejercicio anterior. Dentro de ese volumen, los casos de phishing figuran entre los más numerosos, y las campañas que suplantan a organismos públicos han ido ganando peso.
Organismos como la Policía Nacional y la Guardia Civil destacan que la Agencia Tributaria se encuentra entre las instituciones más suplantadas, junto con otros entes como la DGT, la Seguridad Social, Correos o incluso las propias fuerzas de seguridad. En el caso concreto de Hacienda, los ganchos más habituales son falsos reembolsos de impuestos o supuestas irregularidades o reclamaciones vinculadas a la declaración de la Renta.
Los expertos apuntan a varios factores que explican el aumento de estos fraudes: el uso de inteligencia artificial para redactar correos impecables, el auge del smishing (mensajes de texto con enlaces maliciosos) y técnicas de ingeniería social basadas en la urgencia, con amenazas de embargos, plazos muy cortos o sanciones si no se reacciona de inmediato.
En territorios como Canarias o Ceuta, las fuerzas de seguridad han lanzado avisos específicos a los contribuyentes, ya que se han detectado envíos masivos de estos correos a cuentas de correo de residentes en estas zonas. Aun así, se trata de una campaña de alcance estatal que puede afectar a cualquier ciudadano o empresa en España.
La pista clave: el remitente y el dominio del correo
Aunque el diseño del mensaje pueda engañar, la clave para detectar el timo suele estar en la dirección del remitente. La Agencia Tributaria utiliza dominios oficiales que terminan en “agenciatributaria.gob.es”, y lo mismo ocurre con otras administraciones públicas, que emplean dominios .gob.es o equivalentes oficiales.
En la campaña detectada, los correos fraudulentos salen desde dominios que imitan al original, pero que no son el verdadero. Pueden incluir palabras como “agenciatributaria” o “notificaciones” en la dirección, pero a menudo van seguidas de extensiones sospechosas o de servicios de correo genéricos que nada tienen que ver con la Administración.
La OSI y el Incibe recuerdan que la Agencia Tributaria nunca solicita contraseñas, claves de acceso ni datos bancarios directamente a través de enlaces recibidos por correo electrónico. Tampoco pide que se validen credenciales de sistemas como Cl@ve o certificados digitales desde páginas que no sean las oficiales.
Otro indicio claro es el propio enlace del mensaje: antes de pulsarlo, basta con situar el ratón encima (sin hacer clic) para ver la dirección completa. Si la URL no pertenece a un dominio gubernamental legítimo o contiene variaciones sospechosas, hay que desconfiar de inmediato.
Además, los organismos de consumo como la OCU insisten en que las gestiones con la Administración deben iniciarse siempre desde los portales oficiales (por ejemplo, entrando manualmente en la web de la Agencia Tributaria o de la DEHÚ) y utilizando sistemas de identificación reconocidos como Cl@ve permanente, Cl@ve móvil, certificado digital o DNI electrónico.
Qué hacer si recibes un correo sospechoso de Hacienda
Si te llega un mensaje que aparenta provenir de la Agencia Tributaria o de la DEHÚ y te genera dudas, los expertos recomiendan tomar una serie de pasos muy concretos. Lo más importante es no precipitarse y no pinchar en ningún enlace hasta estar completamente seguro de su origen.
En primer lugar, conviene revisar detenidamente el remitente y el dominio. Si no coincide con “agenciatributaria.gob.es” o con otro dominio oficial de la Administración, lo más probable es que se trate de un fraude. Aunque el asunto hable de reclamaciones, multas o plazos urgentes, es mejor desconfiar.
El Incibe y la OSI recomiendan que, si no se ha hecho clic en el enlace ni se han introducido datos, se proceda a:
- Reenviar el correo al buzón de incidentes del Incibe para que sus equipos puedan analizar la campaña.
- Bloquear al remitente en el gestor de correo para evitar futuros mensajes desde esa dirección.
- Eliminar el correo de la bandeja de entrada y de la carpeta de spam o papelera.
En caso de duda, se sugiere acudir directamente a la web oficial de la Agencia Tributaria o a la de la DEHÚ e identificarse allí para comprobar si realmente existe alguna notificación pendiente. De este modo se evita depender del enlace recibido por correo, que puede ser falso.
También se puede contactar con organismos como la OCU o FACUA para contrastar si la comunicación se corresponde con alguna campaña conocida de fraude, ya que estas entidades suelen difundir alertas entre los consumidores cuando detectan nuevos timos.
Pasos urgentes si ya has hecho clic o has dado tus datos
Si se ha accedido al enlace del correo y, sobre todo, si se han introducido credenciales o información personal en la web fraudulenta, es esencial actuar con rapidez para limitar el daño. Las autoridades y organizaciones especializadas en ciberseguridad coinciden en una serie de recomendaciones básicas.
Lo primero es contactar con la Línea de Ayuda en Ciberseguridad del Incibe, disponible en el teléfono 017, donde se ofrece asesoramiento personalizado según el tipo de incidente y el alcance del posible robo de datos. Allí pueden orientar sobre los siguientes pasos a seguir en cada caso concreto.
Paralelamente, se debe cambiar inmediatamente las contraseñas utilizadas en la supuesta web de la Agencia Tributaria o de la DEHÚ, y también en cualquier otro servicio donde se reutilicen esas mismas claves. Es aconsejable aprovechar para activar la autenticación en dos factores siempre que sea posible, de modo que el acceso requiera un código adicional además de la contraseña.
Otra medida fundamental es recopilar todas las pruebas del fraude: capturas de pantalla del correo, de la web fraudulenta, de los enlaces, así como cualquier mensaje posterior que pueda estar relacionado. Esa información será muy útil a la hora de interponer una denuncia ante la Policía Nacional o la Guardia Civil.
Si se sospecha que los ciberdelincuentes han accedido a información financiera, resulta prudente ponerse en contacto con el banco para revisar movimientos, bloquear tarjetas, cambiar claves de banca electrónica y adoptar las medidas de seguridad adicionales que la entidad recomiende.
Durante las semanas y meses posteriores, los expertos aconsejan realizar de forma periódica búsquedas de tu propio nombre en internet (egosurfing) para comprobar si los datos personales han sido expuestos o utilizados indebidamente en otras plataformas.
Un problema en expansión: auge del phishing y de la ciberdelincuencia
Esta campaña de suplantación de la Agencia Tributaria no es un caso aislado, sino un ejemplo más del fuerte crecimiento de la ciberdelincuencia en España, como refleja el análisis de Hacienda investiga un posible ciberataque masivo. Según los informes del Instituto Nacional de Ciberseguridad, los incidentes gestionados aumentan año tras año, y buena parte de ellos tienen que ver con intentos de fraude económico y robo de datos.
Se calcula que en nuestro país se producen a diario cientos de ciberincidentes, desde ataques con malware y ransomware hasta estafas por correo, SMS o redes sociales. El phishing, en particular, se ha convertido en una de las técnicas preferidas por los delincuentes, ya que combina una inversión relativamente baja con un alto potencial de impacto.
Las fuerzas de seguridad señalan que la cibercriminalidad representa ya un porcentaje muy relevante del total de infracciones penales. En algunos periodos se ha estimado que en España se registran miles de estafas informáticas al mes, con un crecimiento constante en los últimos años.
La facilidad para automatizar campañas masivas, la posibilidad de operar desde cualquier lugar del mundo y la sofisticación de las herramientas de anonimato favorecen que estos fraudes sigan proliferando. Ante este panorama, los organismos públicos insisten en que la mejor defensa sigue siendo la prevención: desconfiar de mensajes inesperados, contrastar la información por canales oficiales y no compartir credenciales con nadie.
En este contexto, campañas como la que suplanta a la Agencia Tributaria demuestran hasta qué punto los ciberdelincuentes son capaces de explotar el miedo a Hacienda y la preocupación por posibles sanciones o reclamaciones, con el fin de que los usuarios actúen con prisas y bajen la guardia.
Con todo lo anterior, queda claro que la estafa que suplanta a la Agencia Tributaria se enmarca en un escenario de ciberataques en plena expansión, donde los delincuentes afinan sus métodos y los ciudadanos deben interiorizar nuevos hábitos de seguridad digital. Verificar el remitente, desconfiar de enlaces no solicitados, acudir siempre a las webs oficiales y pedir ayuda ante la mínima sospecha se han convertido en pasos casi imprescindibles para proteger tanto los datos personales como la relación con la Administración.