Últimas NoticiasFinanzas Personales

Fraude masivo de phishing que suplanta a Hacienda en plena Campaña de la Renta: cómo proteger tus datos

La Agencia Tributaria nunca solicita datos bancarios por SMS ni correo electrónico. Te explicamos cómo reconocer el engaño y qué pasos dar si has picado.

Por Finanzas Personales M2

Hoy, en plena declaración de la Renta 2025, la Agencia Tributaria no va a comunicarse contigo por SMS para devolverte dinero. Cientos de contribuyentes están recibiendo justo ese mensaje fraudulento y la Asociación Española de Consumidores acaba de lanzar una alerta masiva. En la redacción de Finanzas Personales M2 he buceado en la letra pequeña del engaño para que sepas exactamente qué señales delatan el timo y cómo proteger tus datos bancarios en el momento más delicado del año fiscal.

Un fraude masivo que suplanta a Hacienda en el peor momento

La oleada de avisos llegados a la Asociación Española de Consumidores a través de su Red de Alerta no deja lugar a dudas: correos electrónicos y SMS que simulan proceder de la Agencia Tributaria están circulando de forma masiva. El gancho es siempre el mismo: una supuesta devolución pendiente o una comprobación urgente de la declaración presentada. Aprovechan la preocupación lógica de los contribuyentes durante la campaña y logran que el porcentaje de clics sea elevado.

Publicidad

Según el colectivo, el fraude ha podido alcanzar a millones de ciudadanos. La mecánica es sencilla y devastadora: el mensaje incluye un enlace a una web que imita la Sede Electrónica de la Agencia Tributaria y solicita al usuario sus credenciales de banca online o los datos de la tarjeta. A partir de ahí, los estafadores vacían cuentas o realizan compras no autorizadas.

La campaña coincide con el tramo final de la presentación de la Renta, cuando Hacienda ya ha empezado a realizar las primeras devoluciones y los contribuyentes están más pendientes del buzón. Los ciberdelincuentes lo saben y ponen carnaza emocional: un ingreso falso por devolución rápida o la amenaza de una sanción si no se verifica la información.

Por qué Hacienda nunca te va a escribir así

La Agencia Tributaria no envía SMS ni correos electrónicos con enlaces directos para gestionar devoluciones, comprobaciones o sanciones. Su protocolo de comunicación con el contribuyente es mucho más rígido y siempre pasa por la Sede Electrónica oficial — sede.agenciatributaria.gob.es — o por notificación postal. Para recibir una devolución, primero tienes que haber confirmado el borrador o presentado la declaración mediante certificado digital, Cl@ve PIN o número de referencia.

La clave es que cualquier supuesta gestión se inicia desde el portal oficial y tras identificarte tú, nunca al revés. Si recibes un mensaje que te pide pinchar en un enlace para cobrar un ingreso o para evitar un recargo, la probabilidad de que sea un fraude es casi del cien por cien.

Además, en la Sede Electrónica puedes consultar todas tus notificaciones pendientes de forma segura. No hace falta un SMS externo. Si tienes dudas, entra directamente tecleando la URL en el navegador, nunca desde el enlace que te han enviado.

Las cuatro señales que delatan el engaño al instante

He recopilado los patrones que más se repiten en esta oleada de phishing para que puedas identificarlos sin margen de error:

  • Remitente sospechoso: el mensaje llega desde un número de móvil particular o desde una dirección de correo que imita a la Agencia pero con dominios extraños (por ejemplo, «@agenciatributaria-info.es» o «@hacienda-renta.org»).
  • Urgencia y amenaza: el texto insiste en que actúes en las próximas 24 horas para no perder la devolución o para evitar una penalización. Hacienda nunca presiona con plazos tan cortos.
  • Enlace acortado o desconocido: en lugar de llevarte a sede.agenciatributaria.gob.es, la URL redirige a páginas con nombres largos o imitaciones gráficas.
  • Solicita datos bancarios completos: la Agencia Tributaria ya conoce tu IBAN si has presentado la declaración; no te va a pedir que introduzcas el número de tarjeta ni la clave de firma.

El phishing fiscal explota la confianza institucional y el miedo a Hacienda: una mezcla que vacía cuentas en horas.

Estos patrones son idénticos a los que la Agencia Tributaria advierte en su apartado de seguridad, donde insiste en que jamás se solicitará información confidencial por canales no oficiales. El Banco de España también ha recordado que las entidades financieras nunca piden claves de acceso por SMS o correo.

Qué hacer si has picado o has compartido tus datos

Si ya has pinchado el enlace y has introducido algún dato bancario, la velocidad de reacción es decisiva. La Asociación Española de Consumidores recomienda tres pasos inmediatos:

  • Modifica las contraseñas de acceso a la banca online y al correo electrónico vinculado a la cuenta. Utiliza una clave nueva y robusta que no uses en otros servicios.
  • Bloquea las tarjetas que hayas podido facilitar. Puedes hacerlo desde la app del banco o llamando al servicio de atención 24 horas.
  • Contacta con tu banco para alertar de una posible suplantación y revisa los últimos movimientos. Si detectas cargos no autorizados, solicita su devolución inmediata y guarda un comprobante.

Además, presenta una denuncia ante la Policía Nacional o la Guardia Civil, aportando el mensaje fraudulento como prueba. La denuncia te será útil si necesitas reclamar al banco y también ayuda a las autoridades a trazar la red de estafadores. La Asociación de Consumidores incluso habilita el correo consultas@consumoenpositivo.es para centralizar los avisos de los afectados y dimensionar el fraude.

La ciberseguridad que te protege todo el año

Este tipo de estafa no se limita a la campaña de la Renta. Cualquier momento es bueno para que los ciberdelincuentes suplanten a organismos oficiales, bancos o compañías de suministros. Por eso, mantener actualizado el antivirus en ordenadores y móviles es una capa de defensa básica pero efectiva. Muchos ataques de phishing incorporan malware que roba credenciales incluso aunque no introduzcas los datos a mano.

Un hábito sencillo que ahorra disgustos es verificar siempre la URL en la barra de direcciones antes de identificarte. Si el dominio no coincide exactamente con el del organismo oficial, sal de la página y accede directamente desde el buscador. Y, por supuesto, desconfía de cualquier mensaje que llegue sin haberlo solicitado y prometa un ingreso o amenace con un recargo: la Agencia Tributaria, el Banco de España y el INE tienen protocolos de comunicación mucho más formales.

💶 El Impacto en tu Bolsillo

  • Qué hacer hoy: Si estás esperando la devolución de la Renta, entra a la Sede Electrónica desde el navegador y comprueba el estado de tu declaración sin pinchar enlaces. Borra cualquier SMS o correo sospechoso y advierte a familiares mayores que suelen ser el blanco preferido.
  • Qué vigilar: En las próximas semanas se intensifican los fraudes de suplantación porque Hacienda sigue abonando devoluciones. Desconfía de cualquier comunicación que te pida datos bancarios por vía electrónica no oficial.
  • El error a evitar: No asumir que el mensaje es real solo porque lleva el logo de la Agencia Tributaria. Las páginas falsas son clones casi perfectos. La única vacuna es entrar directamente tecleando la URL oficial y verificar todas las notificaciones en la Sede Electrónica.
Noticia anterior
La OCU alerta de una estafa masiva que suplanta a Correos mediante SMS y roba tus datos bancarios
La OCU alerta de una estafa masiva que suplanta a Correos mediante SMS y roba tus datos bancarios

Publicidad