La Agencia Tributaria ha alertado de una nueva oleada de SMS fraudulentos que suplantan a Hacienda y prometen una devolución pendiente de la Renta para robar datos bancarios. El mensaje llega con enlace, urgencia falsa y un importe concreto que no existe en tu expediente.
El fraude se llama smishing y, traducido, es lo de siempre: phishing pero por SMS. Cae mucha gente porque el mensaje aparece en el mismo hilo donde antes te han llegado avisos reales de bancos o de la propia AEAT, así que el lector baja la guardia.
Cómo funciona el SMS que suplanta a Hacienda
El esquema es sencillo y se repite cada campaña de la Renta con pequeñas variaciones. Recibes un mensaje en el móvil que dice algo así como tienes una devolución pendiente de 287 euros y debes confirmar tus datos para cobrarla. Hay un enlace acortado y, a veces, un plazo de 24 horas para meterte prisa.
Si pinchas, te lleva a una web clonada con el logo de la Agencia Tributaria, los colores oficiales y un formulario que pide número de tarjeta, CVV, fecha de caducidad y, en algunos casos, las claves del banco. En cuestión de minutos, los estafadores hacen cargos o vacían la cuenta.
El detalle que cambia todo: Hacienda nunca pide datos bancarios ni claves por SMS, correo o WhatsApp. Las devoluciones de la Renta se ingresan en la cuenta que figura en tu declaración del modelo 100, sin confirmación posterior por mensaje. Si la AEAT necesita comunicarte algo, lo hace por carta certificada o, si tienes notificaciones electrónicas activadas, en tu buzón de la sede electrónica.
Quién está más expuesto y qué hacer si has picado
El colectivo más vulnerable son los contribuyentes que esperan devolución y los jubilados que no manejan a diario la sede electrónica. Pero conviene avisar: este año los SMS llegan también a autónomos, con la variante regularización pendiente o incidencia en el modelo 130, jugando con el miedo al recargo.
Si te llega un SMS sospechoso, la regla es simple: no pinches el enlace, no contestes y bórralo. Si quieres comprobar si tienes algo pendiente con Hacienda de verdad, entra directamente a la sede electrónica de la AEAT tecleando la dirección en el navegador, nunca desde el enlace del mensaje. Allí, con Cl@ve, certificado o número de referencia, ves tu expediente real.
¿Y si ya has picado? Tres pasos, en este orden:
- Llama al teléfono de tu banco y bloquea la tarjeta o las claves comprometidas. Cuanto antes, menos daño.
- Denuncia en la Policía Nacional o en la Guardia Civil. Pide copia del atestado, te hará falta para reclamar al banco.
- Reclama por escrito al banco la devolución de los cargos no autorizados. La normativa europea de servicios de pago obliga a la entidad a reintegrar el dinero salvo que demuestre negligencia grave del cliente.
Ojo con un error muy común: borrar el SMS antes de hacer captura. Guarda el mensaje, el número emisor y la URL fraudulenta, porque la denuncia avanza mucho mejor con esas pruebas. También puedes reenviar el caso al Instituto Nacional de Ciberseguridad (INCIBE), que centraliza alertas y mantiene la línea 017 de ayuda gratuita.
Por qué este timo no para de crecer y qué falla en el sistema
El smishing con marca de Hacienda no es nuevo. Lleva apareciendo cada primavera desde 2019, coincidiendo con el arranque de la campaña de la Renta, y cada año la AEAT publica el mismo aviso con un cartel rojo en su web. Y cada año cae más gente. ¿Por qué?
Primera razón, técnica: los operadores móviles permiten enviar SMS con remitente alfanumérico personalizable, así que el mensaje aparece literalmente como AEAT o Hacienda en la bandeja del teléfono, junto a comunicaciones reales. España aprobó en 2024 medidas para limitar esta suplantación, pero la implantación va lenta y los huecos siguen ahí.
Segunda razón, humana: el mensaje juega con dos resortes que funcionan siempre, la promesa de dinero y la urgencia. Doscientos ochenta y siete euros suenan creíbles, no son ni mil ni diez. Y veinticuatro horas de plazo te impiden pensar.
La crítica es justa: que la AEAT lleve siete años repitiendo el mismo aviso sin que las telecos hayan cerrado el agujero del remitente falso, dice algo del ritmo regulatorio. Mientras tanto, la defensa real está en el lector: ningún organismo público te va a pedir el CVV de tu tarjeta. Ninguno. Si lo piden, es timo. La campaña de la Renta de este ejercicio cierra el 30 de junio para borradores con resultado a ingresar domiciliado, y ese es justo el periodo en el que estos mensajes se multiplican.
Guía rápida del trámite
- 📅 Plazos: La campaña de la Renta 2025 está abierta hasta el 30 de junio de 2026 (presentación general) y hasta el 25 de junio si domicilias el pago.
- ✅ Requisitos clave: Para comprobar si tienes devolución pendiente, basta con DNI y número de referencia, Cl@ve PIN o certificado digital.
- 🌐 Dónde solicitarlo: Sede electrónica de la AEAT (sede.agenciatributaria.gob.es), teléfono de información tributaria 91 554 87 70 y oficinas con cita previa. Para denunciar el fraude: 017 (INCIBE) o Policía Nacional.
- 💰 Importe o coste: El trámite es gratuito. Las devoluciones se ingresan en la cuenta declarada, sin confirmación adicional por SMS ni email.
- ⚠️ Error a evitar: Pinchar el enlace del SMS o introducir datos de tarjeta. Hacienda nunca pide claves bancarias por mensaje, jamás.
