La campaña de la Renta 2025 ha activado todas las alarmas entre los expertos en ciberseguridad de España. Mientras miles de contribuyentes preparan sus declaraciones y esperan comunicaciones oficiales, los ciberdelincuentes han intensificado sus operaciones de suplantación de identidad dirigidas específicamente contra la Agencia Estatal de Administración Tributaria. La Organización de Consumidores y Usuarios ha lanzado un aviso urgente para que los españoles no caigan en estas sofisticadas redes de engaño.
Los intentos de fraude que utilizan el nombre de la AEAT como gancho se multiplican cada primavera, coincidiendo con el periodo en que millones de personas consultan sus borradores, reciben notificaciones y esperan devoluciones. Este año, la sofisticación de estos ataques ha alcanzado niveles preocupantes, con mensajes cada vez más elaborados que imitan a la perfección las comunicaciones oficiales. La propia Agencia Tributaria ha confirmado la existencia de numerosas campañas fraudulentas que circulan mediante correos electrónicos y SMS falsos. Estos mensajes utilizan argumentos variados y constantemente renovados: desde notificaciones urgentes hasta requerimientos de pago inmediato, pasando por supuestas sanciones o peticiones de documentación imprescindible para recibir devoluciones inexistentes.
Señales de alarma que delatan el fraude
El primer indicador de un posible engaño reside en el contenido mismo del mensaje recibido. Los expertos de la OCU advierten que cualquier promesa de devolución inesperada debe despertar sospechas inmediatas. Si algo parece demasiado bueno para ser verdad, probablemente se trate de un intento de estafa diseñado para captar la atención de contribuyentes desprevenidos. La presión temporal constituye otra característica distintiva de estos fraudes. Los mensajes fraudulentos suelen incluir advertencias urgentes que exigen una respuesta o acción inmediata, creando un estado de ansiedad que impide al receptor analizar con calma la situación. Esta táctica psicológica resulta extremadamente efectiva para conseguir que las víctimas actúen sin reflexionar.
El análisis del remitente proporciona pistas fundamentales. En los correos electrónicos, el campo From debe coincidir exactamente con los dominios oficiales de la Agencia Tributaria. Cualquier variación, por mínima que parezca, representa una señal inequívoca de fraude. Los delincuentes utilizan direcciones que pueden parecer legítimas a primera vista, pero que contienen pequeñas modificaciones.
Técnicas para verificar la autenticidad
Cuando un mensaje contiene enlaces, existe un método sencillo para comprobar su legitimidad sin necesidad de hacer clic. Basta con posicionar el cursor del ratón sobre el enlace durante unos segundos para que aparezca la dirección web real de destino. Si esta dirección no corresponde exactamente con los dominios oficiales de la AEAT, el mensaje debe considerarse fraudulento. La regla de oro consiste en acceder siempre a los servicios de Hacienda escribiendo manualmente la dirección oficial en el navegador. Nunca se debe acceder mediante enlaces recibidos por correo electrónico, SMS o aplicaciones de mensajería instantánea, independientemente de lo auténticos que puedan parecer estos mensajes.
La Agencia Tributaria ha dejado claro que jamás solicita información confidencial por canales no seguros. Ningún correo electrónico, SMS o mensaje de Bizum legítimo pedirá datos bancarios, números de cuenta, contraseñas o información personal. Tampoco envía archivos adjuntos con facturas, documentos fiscales o aplicaciones para descargar.
Dominios oficiales verificados
En España, los únicos dominios legítimos de la Agencia Tributaria son sede.agenciatributaria.gob.es y sus variantes oficiales: cualquier dirección que termine en "agenciatributaria.es", "agenciatributaria.gob.es" o "aeat.es", junto con sus subdominios correspondientes. Cualquier otra variación, incluso con diferencias mínimas, debe considerarse fraudulenta. Los trámites oficiales con la Administración española requieren sistemas de identificación digital homologados, como Cl@ve Móvil, certificado digital o DNI electrónico. La Agencia Tributaria no constituye ninguna excepción a esta norma, y cualquier comunicación que solicite acceso mediante otros métodos resulta sospechosa.
Protocolo de actuación ante mensajes sospechosos
Si un contribuyente detecta un mensaje potencialmente fraudulento que simula proceder de la AEAT, debe seguir un protocolo específico. Lo primero es no abrir el mensaje si aún no se ha hecho, y bajo ningún concepto responder al remitente ni descargar archivos adjuntos que puedan contener malware. La notificación a las autoridades resulta fundamental. Estos intentos de fraude pueden reenviarse al buzón de incidencias del Instituto Nacional de Ciberseguridad (INCIBE) o denunciarse directamente ante la Agencia Tributaria a través de sus canales oficiales. Posteriormente, conviene bloquear al remitente y eliminar definitivamente el mensaje.
Pasos urgentes si has sido víctima
En caso de haber interactuado con un mensaje fraudulento o haber facilitado datos personales, la velocidad de reacción resulta crucial. El primer paso consiste en recopilar todas las pruebas disponibles: capturas de pantalla, correos recibidos y cualquier comunicación relacionada con el incidente. El cambio inmediato de contraseñas afectadas constituye una medida prioritaria para limitar el alcance del daño. Si se han proporcionado datos bancarios, debe contactarse urgentemente con la entidad financiera para bloquear posibles operaciones fraudulentas.
La denuncia formal puede realizarse ante las Fuerzas y Cuerpos de Seguridad del Estado, ante el INCIBE o directamente ante la Agencia Tributaria, que dispone de un formulario específico para reportar problemas de seguridad relacionados con phishing y smishing. La OCU ofrece además un servicio especializado de asesoría en ciberseguridad para ayudar a las víctimas a recuperar su dinero y gestionar las consecuencias del fraude. Los expertos insisten en que la prevención y la educación digital representan las mejores defensas contra estos ataques cada vez más sofisticados que aprovechan periodos de alta actividad administrativa para confundir a los contribuyentes españoles.