Estamos en periodo de Declaración de la Renta, y los ciberdelincuentes lo saben: cuidado con esta nueva estafa

Ya estamos en pleno periodo de Declaración de la Renta 2025, un trámite que genera temor en muchos ante la posibilidad de tener que pagar a Hacienda, mientras que alegra a quienes saben que recibirán una devolución. Pero, más allá de lo que nos indique la Agencia Tributaria, en estas fechas debemos estar muy atentos a las estafas que intentan suplantarla.

La campaña de la declaración, que ya ha comenzado y estará activa hasta el 30 de junio, es el periodo favorito de los ciberdelincuentes. Son estos meses del año en los que estamos más pendientes de las notificaciones de Hacienda, y los estafadores lo saben. Por eso concentran sus engaños en este tiempo, algo que también ha sido advertido por el Instituto Nacional de Ciberseguridad (INCIBE).

Cuidado con la nueva estafa

El INCIBE ha informado recientemente de una campaña de phishing que suplanta a la Agencia Estatal de Administración Tributaria (AEAT). Antes de entrar en detalles, aclaremos que phishing es una técnica de fraude en la que alguien se hace pasar por una entidad confiable. Su nombre proviene del término inglés fishing (pescar), porque los delincuentes lanzan el anzuelo y esperan que alguna víctima lo muerda, es decir, que crea la notificación falsa.

Por eso no solo explicaremos el nuevo fraude detectado por el INCIBE, sino que también detallaremos cómo identificar una estafa. Así sabrás exactamente cómo operan los criminales durante la Declaración de la Renta 2025 y podrás distinguir si una notificación de la AEAT es legítima o no.

En qué consiste la suplantación

La campaña denunciada por esta entidad pública consiste en el envío masivo de correos electrónicos a numerosos usuarios, con el objetivo de hacerse pasar por una institución legítima y convencer a las personas de que tienen algo pendiente con ella o de que se les ofrece algún beneficio.

En esencia, se trata de un correo fraudulento con un enlace malicioso que aparenta ser de Hacienda, pero ha sido creado por los ciberdelincuentes. Es probable que el mensaje intente parecer auténtico, incluso utilizando un lenguaje correcto y formal para dar una apariencia oficial, pero todo es falso. Existen varios tipos de correos, pero abajo te dejamos una muestra de uno de ellos:

En el correo se incluye un enlace que conduce a una página web que simula ser la de la Agencia Tributaria. Recomendamos no hacer clic en él, aunque, en principio, estamos a salvo si no introducimos ningún dato. Sin embargo, si lo hacemos, acabaremos en una web falsa que imita a la de Hacienda, algo a donde nunca resulta recomendable acceder.

En dicha página se solicitan nuestras credenciales. En el caso detectado por el INCIBE, se piden el correo electrónico y su contraseña, pero en otras ocasiones también se pueden requerir datos más sensibles, como la dirección, el DNI o incluso la información bancaria, con la que los criminales podrían robarnos dinero directamente.

Cómo protegernos

Ante este tipo de fraude, lo más importante es no proporcionar nuestras credenciales. No se debe acceder a enlaces sospechosos o de remitentes desconocidos, pero si lo hacemos, estaremos protegidos mientras no introduzcamos información personal.

Si ya hemos facilitado nuestros datos, cambia lo antes posible las contraseñas de tus cuentas online. Hazlo con todas aquellas que puedan estar comprometidas o sobre las que tengas la más mínima sospecha de acceso no autorizado. Es crucial actuar con rapidez para no dar tiempo al delincuente a usar la información.

Además, guarda toda la evidencia que puedas sobre la estafa, como capturas de pantalla o enlaces. Esta documentación será útil si decides denunciar el caso ante las Fuerzas y Cuerpos de Seguridad del Estado, que es aconsejable.

Recuerda que también puedes contactar con la Línea de Ayuda en Ciberseguridad de INCIBE, que es gratuita. Ellos podrán asesorarte y registrar el incidente, ayudándote a ti y previniendo nuevas víctimas.

Cómo detectar una estafa que suplanta a Hacienda

A continuación, te damos algunos consejos clave para identificar correos fraudulentos que se hacen pasar por la Agencia Tributaria:

Fíjate en los enlaces

Coloca el cursor sobre los enlaces para ver su dirección completa. Muchas veces se nota que no pertenecen a un dominio oficial, aunque en otras ocasiones la diferencia es mínima, como en estos ejemplos:

• Ejemplo falso: agenciatributaria-gob.es

• Ejemplo real: agenciatributaria.gob.es

Tono alarmista

La mayoría de estas estafas utilizan un lenguaje urgente y alarmante para generar preocupación y lograr que actúes sin pensar. Suelen emplear frases como:

• "Aviso importante"

• "Notificación urgente"

• "Últimas 24 horas para..."

Atento a la web

La página web a la que te redirige el enlace puede ayudarte a identificar si se trata de una falsificación. Una forma sencilla de detectar irregularidades es examinar los menús y la estructura del sitio, como si redigiren correctamente a otras secciones o apartados de la entidad o simplemente son imágenes .png incrustadas en un fondo.

Hacienda nunca solicita datos por email o SMS

Aunque los organismos públicos pueden enviarte un correo electrónico para que accedas a su web oficial mediante tus credenciales, jamás te pedirán que respondas con tus datos personales por correo o SMS. En esta estafa, los delincuentes utilizan enlaces falsos, pero en otros casos pueden intentar que contestes al mensaje con tu información. No lo hagas nunca: Hacienda no solicitará tus claves de esa manera.