¿Necesitas ayuda o prefieres visitarnos?
Teléfono:
960 260 360
Dirección:
Plaza País Valencia, 25 (bajo)
En un contexto donde muchos esperan la devolución tributaria tras la campaña Renta 2024, ciberdelincuentes están aprovechando para lanzar ataques de phishing haciéndose pasar por Hacienda. La Agencia Tributaria advierte sobre mensajes falsos que prometen devoluciones inexistentes, buscando robar datos personales a través de enlaces fraudulentos. Es vital desconfiar y verificar cualquier comunicación directamente en los canales oficiales para proteger nuestra información.
Protege tus Datos: Evita el Phishing de la Devolución Tributaria
La época de devoluciones es terreno fértil para el engaño, ya que muchos ciudadanos esperan un ingreso de Hacienda y están más receptivos a cualquier comunicación que prometa agilizarlo. Los ciberdelincuentes se aprovechan de ese contexto con campañas de phishing, a menudo por SMS o correo, que simulan ser avisos de la Agencia Tributaria. En los mensajes se anuncia una supuesta devolución pendiente y se invita a pulsar en un enlace para completar un formulario con datos personales y bancarios.
Imagen generada por IA con licencia de Freepik
La Agencia Tributaria ha advertido de una campaña reciente, confirmada en una comunicación oficial del 10 de septiembre de 2025, que suplanta su identidad y utiliza un enlace a una web fraudulenta. El objetivo es robar credenciales, números de tarjeta y otros datos sensibles que permiten vaciar cuentas o cometer suplantaciones de identidad. Para añadir verosimilitud, algunos mensajes incluyen un saludo falso atribuido a la directora del organismo, un detalle que busca romper la desconfianza inicial.
Debes recordar una regla sencilla, pero esencial, si la comunicación requiere pulsar en un enlace para introducir claves, tarjetas o códigos, desconfía y no sigas el vínculo. La Agencia Tributaria no solicita información confidencial por email o SMS, y canaliza sus notificaciones a través de la Sede Electrónica y del correo postal certificado. Accede siempre por tu cuenta, escribe la dirección en el navegador, revisa el dominio y verifica la autenticidad antes de realizar cualquier acción. Esta prudencia, junto con un buen antivirus y filtros antiphishing, reduce drásticamente el riesgo.
Cómo Funcionan los Fraudes de Phishing por Parte de Ciberdelincuentes
El fraude comienza con la recolección de objetivos, mediante bases de datos filtradas, rastreos en redes sociales y envíos masivos no personalizados. Con esa materia prima, los atacantes preparan mensajes que utilizan spoofing del remitente, dominios similares mediante typosquatting y un lenguaje que genera urgencia. El enlace apunta a una página que imita con precisión la estética de la Agencia Tributaria, a menudo con certificado HTTPS válido para aparentar seguridad.
Para montar la trampa, se emplean kits de phishing precocinados que clonan formularios e interfaces y que envían los datos capturados al panel del atacante. En ocasiones, el formulario solicita primero datos inocuos y, en una segunda pantalla, pide números de tarjeta, códigos de un solo uso o credenciales de banca. Si la víctima introduce la información, el sistema la reenvía de forma automática a canales de control, como bots de mensajería o servidores de mando y control, con el fin de monetizarla rápido.
La campaña se perfecciona con técnicas adicionales, por ejemplo, acortadores de URL que ocultan el dominio real, captación mediante smishing o manipulación del identificador del remitente para que parezca legítimo. En escenarios más avanzados, se intentan eludir medidas de 2FA con solicitudes de códigos bajo pretextos de verificación. El resultado es una cadena de engaños que presiona al usuario para que actúe sin pensar. La mejor defensa es cortar el flujo, no clicar, comprobar el dominio y acudir a los canales oficiales.
Identifica los Mensajes Falsos de Hacienda
Los mensajes falsos de Hacienda suelen compartir patrones claros que facilitan su detección si prestamos atención. El primero es el canal, suelen llegar como SMS no solicitado o correos genéricos, sin expediente asociado ni referencia verificable. El segundo es la urgencia artificial, con avisos de caducidad inmediata de la devolución, lenguaje alarmista o amenazas de sanción si no se actúa al instante.
Otro rasgo habitual es el enlace a un formulario externo que no pertenece al dominio oficial de la Agencia Tributaria. El sitio legítimo utiliza el dominio .gob.es y, en particular, la Sede Electrónica se identifica con direcciones bajo sede.agenciatributaria.gob.es. En cambio, las estafas emplean dominios similares o extraños, a veces con errores ortográficos, subdominios confusos o terminaciones poco habituales para este contexto.
También es significativo el uso de una firma personalizada para aparentar institucionalidad. En la campaña reciente, los estafadores cierran con un saludo atribuido a ‘Soledad Fernández’, lo que sirve como anzuelo de credibilidad. No obstante, los comunicados reales de la Agencia suelen emplear firmas genéricas y no solicitan datos sensibles por correo o SMS. Si el mensaje pide tarjetas, claves o códigos, es una señal inequívoca de fraude.
Por último, conviene observar matices en el texto, errores gramaticales, inconsistencias en acentos, formatos de fecha poco habituales o logotipos de baja calidad. Aunque algunos fraudes son muy elaborados, siempre hay un detalle que chirría. Ante cualquier duda, sal del mensaje, no pulses enlaces y accede por tu cuenta a la Sede Electrónica. Contrastar en origen es la táctica más eficaz para evitar caer.
Caracteres Comunes de los Correos Electrónicos Fraudulentos
Los correos fraudulentos se distinguen por un puñado de señales técnicas y de estilo que, combinadas, delatan el engaño. La dirección visible del remitente no siempre coincide con la real, conviene revisar las cabeceras SMTP o pulsar en el remitente para ver el dominio asociado. Si el reply-to no pertenece a un dominio institucional o apunta a un servicio gratuito, desconfía de inmediato.
En el cuerpo del mensaje suelen aparecer enlaces disfrazados, donde el texto indica una ruta oficial, pero el destino real es diferente. Pasa el ratón sin clicar y comprueba la URL emergente, si no pertenece a sede.agenciatributaria.gob.es, descarta el correo. El uso de acortadores, como un URL shortener, es otra pista, ya que ocultan el dominio final y facilitan la redirección a páginas maliciosas.
Otro indicador son los adjuntos sospechosos, archivos .zip, .html o documentos que piden habilitar macros, algo innecesario en comunicaciones fiscales ordinarias. Además, muchos fraudes insertan rastreadores invisibles para comprobar si has abierto el correo, lo que dispara nuevas oleadas de spam si interactúas. Aunque veas candado HTTPS en la página de destino, recuerda que el candado solo indica conexión cifrada, no legitimidad del sitio.
Si tienes experiencia técnica, fíjate en la autenticación de dominio, SPF, DKIM y DMARC. La ausencia o fallo en estas validaciones incrementa la probabilidad de suplantación. En cualquier caso, el criterio práctico es simple, no descargar adjuntos inesperados, no facilitar datos y verificar el contenido en la Sede Electrónica antes de cualquier acción. La prudencia y la verificación externa ganan siempre al impulso.
Pasos para Verificar la Autenticidad de Comunicaciones de la Agencia Tributaria
Ante un mensaje que menciona devoluciones o requiere datos, el primer paso es no pulsar ningún enlace ni descargar adjuntos. Cierra el correo o el SMS y abre el navegador para acceder manualmente a la Sede Electrónica. Escribe la dirección completa y verifica que el dominio termina en .gob.es. Una vez dentro, autentícate con Cl@ve, certificado digital o DNIe para revisar notificaciones y expedientes.
Comprueba si existe una comunicación pendiente en el apartado de notificaciones. Si el supuesto aviso no aparece, lo más probable es que sea un intento de phishing. Si aparece algo y tienes dudas, verifica el Código Seguro de Verificación en el propio portal, un identificador que permite confirmar la integridad de documentos oficiales. Contrasta también el número de expediente y la fecha con lo que figure en tu buzón seguro.
Como medida adicional, utiliza el teléfono oficial de información de la Agencia Tributaria o pide cita en una oficina para confirmar la autenticidad. Evita llamar a números que figuren en el mensaje sospechoso, busca el contacto en la web oficial. Anota la incidencia, conserva capturas y remite el intento a los canales de reporte de fraude. Esta trazabilidad ayuda a protegerte y contribuye a frenar nuevas campañas.
Por último, si has introducido datos por error, actúa con rapidez. Cambia contraseñas, activa 2FA en tus cuentas, contacta con tu banco, bloquea tarjetas y vigila movimientos. Considera un aviso a la policía y a los servicios de ciberseguridad públicos. La reacción temprana limita el impacto y corta el acceso a los delincuentes.
Utiliza Canales Oficiales para Confirmar Información
Los únicos canales válidos para confirmar una comunicación de Hacienda son los que dependen de dominios gubernamentales y de sus aplicaciones oficiales. Accede siempre por la dirección completa de la Sede Electrónica y comprueba el candado HTTPS, el certificado y el dominio .gob.es. La página debe cargar sin redirecciones extrañas y con contenido coherente con los servicios habituales.
Las apps móviles deben instalarse desde las tiendas oficiales y pertenecer a desarrolladores verificados. Revisa los permisos que solicita la aplicación y mantén el sistema actualizado, ya que las vulnerabilidades abiertas son puertas para el fraude. Si recibes un PDF o documento, valida su CSV en el verificador de la Sede Electrónica, esa comprobación garantiza que el archivo fue emitido por la Agencia y no ha sido alterado.
Para la atención telefónica o presencial, utiliza los números y direcciones publicados en la web oficial. Evita cualquier contacto facilitado en el mensaje sospechoso, ya que puede dirigirte a líneas fraudulentas. Si te proponen pagos, reembolsos inmediatos o verificaciones de tarjeta por teléfono, cuelga y contrasta por tu cuenta en los canales de la Agencia.
Como complemento técnico, activa el modo de navegación HTTPS-Only en tu navegador, emplea un DNS seguro y, si accedes desde redes públicas, utiliza una VPN de confianza. Estas capas de protección reducen el riesgo de manipulación de tráfico y dificultan los ataques de intermediario. La combinación de canal oficial y buenas prácticas técnicas es la barrera más eficaz.
Consejos para Mantener Segura tu Información Personal
La mejor defensa contra el fraude es anticiparte con hábitos sólidos. Utiliza un gestor de contraseñas para crear claves únicas, largas y complejas, y activa la autenticación en dos pasos en servicios críticos, como correo, banca y la Sede Electrónica. Evita reutilizar contraseñas, ya que un solo servicio comprometido puede abrir la puerta al resto.
Imagen generada por IA con licencia de Freepik
Mantén el sistema operativo, el navegador y las apps actualizados. Las actualizaciones corrigen vulnerabilidades que los atacantes aprovechan para colarse. Refuerza la protección con un antivirus de confianza y un firewall activo, además de filtros antiphishing en el navegador y en el cliente de correo. Esta combinación corta muchas amenazas antes de que lleguen a tus manos.
En el ámbito financiero, activa alertas en tu banca para cada movimiento y utiliza tarjetas virtuales de un solo uso en compras online. Revisa extractos con frecuencia y limita los fondos en tarjetas que uses en Internet. Si sospechas de un robo de datos, cambia inmediatamente credenciales, bloquea medios de pago y notifica la incidencia a tu entidad.
Por último, reduce tu huella digital. Evita publicar información sensible en redes sociales, como direcciones, teléfonos o patrones de viaje. Desconfía de encuestas y sorteos que pidan datos personales sin una finalidad clara. El mejor dato es el que no entregas, y cada dato adicional facilita la suplantación de identidad. Un enfoque prudente mantiene tu información fuera de las manos equivocadas.
Antes de introducir credenciales o datos bancarios, verifica la barra de direcciones, el dominio y el certificado. No te fíes solo del candado HTTPS, asegúrate de que la dirección sea la oficial. Evita acceder a servicios sensibles desde Wi-Fi públicas y, si no hay alternativa, emplea una VPN confiable para cifrar el tráfico.
Desactiva el autocompletado en formularios críticos y no almacenes tarjetas en el navegador. Considera extensiones de seguridad que alerten de sitios falsos y bloqueen scripts sospechosos. Activa el aislamiento de sitios del navegador y utiliza perfiles separados para trabajo y uso personal, esta segmentación reduce el impacto si una sesión queda comprometida.
No descargues archivos ni instales extensiones fuera de fuentes oficiales. Si un sitio ofrece un documento para “ver la devolución” o “acelerar un trámite”, sospecha y cierra la ventana. Configura un DNS seguro con protección contra dominios maliciosos y añade listas de bloqueo para publicidad agresiva, ya que muchos fraudes se propagan por anuncios de baja calidad.
Recuerda que el modo incógnito no te hace anónimo, solo evita que el navegador guarde historial local. La verdadera protección proviene de una combinación de verificación manual de dominios, actualizaciones al día, autenticación reforzada y una política de mínima exposición de datos. Con estas prácticas, navegarás con más control y reducirás al mínimo la superficie de ataque.
Contacto
Si estás preocupado por la seguridad de tus datos personales tras recibir un mensaje inesperado sobre la devolución de Hacienda, no dudes en ponerte en contacto con nosotros. En Wifilinks te ofrecemos asesoramiento personalizado sobre cómo protegerte contra fraudes y mejorar tu seguridad digital. Recuerda, un solo clic en un enlace malicioso puede comprometer tu información sensible, así que infórmate y actúa con precaución en todo momento.
- 📞 Teléfono: 960 260 360
- ✉️ Correo electrónico: info@wifilinks.es
- 📍 Dirección: Pl. País Valencia, 25, 46760 Tavernes de la Valldigna, Valencia
- 🌐 Sitio web: www.wifilinks.es
No bajes la guardia ante los intentos de estafa, verifica siempre la fuente de la información. Proteger tu información personal hoy puede ahorrarte problemas mañana, así que actúa ahora. Contacta con Wifilinks y recibe el apoyo que necesitas para asegurar tu seguridad digital.
Fuente: www.incibe.es
