Una campaña masiva de phishing suplanta a la Agencia Tributaria y amenaza con comprometer las credenciales personales de miles de ciudadanos. El Instituto Nacional de Ciberseguridad (Incibe), a través de su Oficina de Seguridad del Internauta (OSI), ha confirmado la detección de correos electrónicos fraudulentos que simulan comunicaciones oficiales de la AEAT con un nivel de sofisticación cada vez mayor.
Los mensajes alertan sobre supuestas reclamaciones pendientes y notificaciones electrónicas que requieren atención inmediata. El gancho está en el enlace adjunto, que promete acceso directo a la documentación pero que en realidad redirige a páginas web falsificadas diseñadas para capturar datos sensibles. La precisión en el diseño de estos correos dificulta su identificación como fraude a simple vista.
Anatomía del engaño electrónico
La efectividad de esta estafa reside en su cuidada elaboración técnica y visual. Los correos fraudulentos utilizan asuntos como «Aviso puesta a disposición de nueva notificación electrónica REF-XXXXXXXX», una fórmula que imita fielmente las comunicaciones reales de la Administración. Sin embargo, el Incibe advierte que pueden existir variantes con otros asuntos igualmente convincentes.
El elemento diferenciador clave se encuentra en la dirección del remitente. Mientras que las comunicaciones legítimas de la Agencia Tributaria proceden exclusivamente del dominio agenciatributaria.gob.es, los correos fraudulentos emplean direcciones sin relación oficial con dicha entidad. Este detalle, aparentemente menor, constituye la señal de alarma más fiable.
La sofisticación de la campaña no se limita a suplantar la AEAT. Los ciberdelincuentes también han replicado la plataforma Dirección Electrónica Habilitada Única (DEHú), el sistema oficial de notificaciones administrativas. Esta diversificación amplía el espectro de víctimas potenciales y dificulta la concienciación preventiva.
Protocolo de actuación ante la sospecha
Si has recibido un correo sospechoso pero no has pulsado ningún enlace, el Incibe recomienda reenviarlo inmediatamente a su buzón de incidentes. Este procedimiento permite alimentar los sistemas de detección temprana y proteger a otros usuarios. Posteriormente, conviene bloquear al remitente y eliminar el mensaje definitivamente de la bandeja de entrada.
La situación se complica cuando ya se ha facilitado información personal o credenciales a través de estos enlaces fraudulentos. En estos casos, el protocolo de actuación debe ser inmediato y sistemático. El primer paso consiste en contactar con la Línea de Ayuda en Ciberseguridad del Incibe, donde profesionales especializados evaluarán el alcance del incidente y proporcionarán orientación personalizada.
La preservación de evidencias resulta fundamental para cualquier acción legal posterior. Capturas de pantalla, correos originales, URLs maliciosas y cualquier otro rastro digital debe ser recopilado y conservado meticulosamente. Este material será imprescindible para presentar una denuncia formal ante las Fuerzas y Cuerpos de Seguridad del Estado.
Medidas de contención del daño
Una vez comprometidas las credenciales, la modificación inmediata de contraseñas se convierte en prioridad absoluta. Esta medida debe extenderse a todos los servicios donde se utilicen las mismas claves, dado que los ciberdelincuentes suelen probar las credenciales robadas en múltiples plataformas mediante técnicas de credential stuffing.
La implementación de autenticación en dos factores (2FA) añade una capa adicional de seguridad que dificulta significativamente el acceso no autorizado, incluso cuando las contraseñas han sido comprometidas. Este sistema requiere un segundo elemento de verificación, generalmente un código temporal enviado al móvil o generado por una aplicación específica.
Durante los meses siguientes al incidente, los expertos recomiendan practicar egosurfing de forma periódica. Esta técnica consiste en buscar el propio nombre y datos personales en internet para detectar posibles filtraciones o usos indebidos de la información robada. La monitorización activa permite identificar rápidamente si los datos aparecen en bases públicas o mercados clandestinos.