Login Probar gratis
Phishing de Hacienda y la Agencia Tributaria: campañas de estafa más usadas

Phishing de Hacienda y la Agencia Tributaria: campañas de estafa más usadas

por MataSpam Phishing y Estafas

El phishing de Hacienda se dispara cada año entre abril y junio, coincidiendo con la campaña de la Renta. Los ciberdelincuentes lo saben, y por eso la estafa de la Agencia Tributaria es una de las más rentables del calendario. Un correo falso de Hacienda bien diseñado puede colarte un troyano, robarte las credenciales del certificado digital o vaciarte la cuenta corriente. Si alguna vez has recibido un email con asunto "Aviso de devolución fiscal" o "Irregularidad en su declaración", ya has visto uno. Aquí vamos a diseccionar las campañas de fraude con la Renta más comunes, cómo identificar un phishing de la AEAT a simple vista y qué hacer si ya has picado.

Las campañas de phishing de Hacienda más frecuentes

La Agencia Tributaria (AEAT) lleva años alertando sobre estas campañas, pero los atacantes las refinan cada temporada. Estas son las variantes que más víctimas acumulan:

La falsa devolución de impuestos

El clásico. Recibes un correo que simula ser de la AEAT informándote de que tienes una devolución pendiente de 200, 350 o 500 euros. Incluye un enlace a un formulario donde te piden los datos de tu tarjeta bancaria "para procesar la transferencia". Hacienda jamás pide datos bancarios por email. Si te deben dinero, lo ingresan en la cuenta que ya consta en tu declaración.

El requerimiento fiscal urgente

Este juega con el miedo. El asunto suele ser "Notificación de deuda pendiente" o "Inicio de procedimiento sancionador". El cuerpo del mensaje te da un plazo de 48 horas para regularizar tu situación y te dirige a una web clonada de la Sede Electrónica. Allí te piden el certificado digital o las credenciales de Cl@ve PIN. Con eso, los atacantes pueden acceder a tu información fiscal real y usarla para ingeniería social más elaborada.

El SMS de la Renta (smishing)

No todo llega por email. El fraude con la Renta por SMS ha crecido mucho desde 2022. Mensajes cortos tipo "AEAT: Su declaración presenta incidencias. Consulte aquí" con un enlace acortado que lleva a una página de login falsa. La AEAT envía SMS legítimos, sí, pero nunca incluyen enlaces directos a formularios de pago o login.

El adjunto malicioso con "documentación fiscal"

Esta variante es más peligrosa porque no busca tus datos: quiere infectar tu equipo. El correo simula un envío de documentación tributaria e incluye un archivo .zip, .xlsm o .pdf que en realidad contiene un dropper de malware. Algunas campañas detectadas por el INCIBE han distribuido troyanos bancarios como Mekotio y Grandoreiro por esta vía. Si quieres saber más sobre extensiones de archivo peligrosas en emails, tenemos una guía específica.

Cómo identificar un correo falso de Hacienda en 30 segundos

No necesitas ser analista de ciberseguridad para detectar un correo falso de Hacienda. Estas señales delatan a la mayoría de campañas de phishing de la AEAT:

  • Remitente sospechoso: Los correos legítimos de la AEAT proceden de dominios @correo.aeat.es o @agenciatributaria.es. Si ves @aeat-info.com, @hacienda-gob.es o cualquier variante con guiones y subdominios raros, es falso.
  • Urgencia artificial: "Tiene 24 horas", "Último aviso antes de embargo". Hacienda opera con plazos administrativos de semanas o meses, no de horas.
  • Solicitud de datos bancarios: La AEAT no pide números de tarjeta, CVV ni credenciales bancarias por email. Punto.
  • Enlaces que no apuntan a agenciatributaria.gob.es: Pasa el ratón por encima del enlace (sin hacer clic) y mira la URL real en la barra inferior del navegador. Si no es el dominio oficial, descártalo.
  • Errores gramaticales o de formato: Muchas campañas se traducen automáticamente y contienen fallos ortográficos, tildes mal puestas o frases que suenan a traducción literal.
  • Logotipos pixelados o desactualizados: Los atacantes copian el logo de la AEAT, pero a veces usan versiones antiguas o de baja resolución.

Si un correo pasa todas estas comprobaciones pero aún tienes dudas, entra directamente en sede.agenciatributaria.gob.es escribiendo la URL en el navegador. Nunca hagas clic en los enlaces del email.

Anatomía técnica de una campaña de phishing fiscal

Para los más curiosos, así funciona el montaje detrás de una estafa de la Agencia Tributaria típica:

  1. Registro de dominio similar: El atacante registra un dominio como agenciatributaria-es.com o aeat-devoluciones.es. Muchos usan registradores fuera de la UE para dificultar el takedown.
  2. Clonado del sitio: Herramientas como HTTrack o wget permiten copiar la apariencia de la Sede Electrónica en minutos. Las campañas más sofisticadas incluso replican el flujo de Cl@ve PIN.
  3. Kit de phishing con panel: El formulario falso envía los datos capturados a un panel de administración o directamente a un canal de Telegram. Sí, Telegram se ha convertido en la herramienta favorita para exfiltrar credenciales en tiempo real.
  4. Envío masivo: Usan bases de datos filtradas (de brechas previas) y servicios SMTP comprometidos para enviar miles de correos. Las campañas grandes lanzan entre 50.000 y 500.000 emails en una sola oleada.
  5. Rotación de dominios: Cuando un dominio es reportado y cae, ya tienen otros tres preparados. Algunas campañas rotan dominios cada 6-12 horas.

Si quieres verificar un dominio o URL sospechosa, herramientas como VirusTotal, URLScan.io o PhishTank te permiten comprobar si ya ha sido reportado. En nuestra guía de herramientas de ciberseguridad gratuitas tienes un listado completo de recursos para protegerte.

Qué hacer si ya has picado

Has hecho clic, has metido tus datos y ahora te sudan las manos. Tranquilo, hay un protocolo:

  1. Si diste datos bancarios: Llama a tu banco inmediatamente. Bloquea la tarjeta y pide que revisen movimientos recientes. La mayoría de entidades tienen un teléfono 24h para fraudes.
  2. Si introdujiste credenciales de Cl@ve: Cambia tu contraseña de Cl@ve PIN en clave.gob.es de inmediato. Revisa si alguien ha accedido a tu Sede Electrónica y si se han modificado datos como la cuenta bancaria de devoluciones.
  3. Si descargaste un archivo: Desconecta el equipo de Internet, ejecuta un escaneo completo con tu antivirus y, si es posible, analiza el archivo en VirusTotal. Si el antivirus detecta algo, considera restaurar el sistema a un punto anterior. Los cryptominers ocultos y los troyanos bancarios son los payloads más habituales en estas campañas.
  4. Denuncia: Reporta el phishing al INCIBE (017 o incidencias@incibe-cert.es) y a la Policía Nacional o Guardia Civil. También puedes reportar el correo directamente a la AEAT a través de su formulario de colaboración.
  5. Revisa tus cuentas los días siguientes: Los atacantes no siempre usan los datos de inmediato. A veces esperan semanas. Activa las notificaciones de movimientos en tu app bancaria.

Relacionado con este tema, si alguien consigue tus credenciales y las usa para acceder a servicios donde estás logueado, estás ante un potencial ataque man-in-the-middle. Conviene entender cómo funcionan.

Por qué Hacienda es el cebo perfecto

Los ciberdelincuentes no eligen la AEAT por casualidad. El phishing de Hacienda funciona tan bien por varios factores psicológicos:

  • Autoridad: Un correo de Hacienda genera respeto y miedo a partes iguales. Pocos se atreven a ignorarlo.
  • Temporalidad: La campaña de la Renta crea una ventana de oportunidad donde millones de contribuyentes esperan comunicaciones reales de la AEAT.
  • Motivación económica: La promesa de una devolución activa la codicia. El miedo a una sanción activa el pánico. Ambos nublan el juicio.
  • Complejidad fiscal: La mayoría de contribuyentes no entienden bien el sistema tributario, así que un correo técnico con terminología fiscal resulta creíble.

El Grupo de Delitos Telemáticos de la Guardia Civil y la Brigada de Investigación Tecnológica de la Policía Nacional publican alertas periódicas sobre estas campañas. Seguir sus cuentas oficiales en redes sociales es una forma sencilla de estar al tanto de las oleadas activas.

Preguntas frecuentes

¿Hacienda envía correos electrónicos a los contribuyentes?

Sí, la AEAT envía correos informativos, pero nunca solicita datos personales, bancarios ni credenciales por email. Las notificaciones oficiales se realizan a través de la Sede Electrónica o por correo postal certificado. Si recibes un email pidiéndote que "verifiques" datos, es phishing de la AEAT.

¿Cómo puedo comprobar si una devolución de la Renta es real?

Entra directamente en sede.agenciatributaria.gob.es con tu certificado digital, DNIe o Cl@ve PIN. En la sección "Mis expedientes" puedes consultar el estado real de tu declaración y cualquier devolución pendiente. Nunca uses enlaces de emails para comprobarlo.

¿Puedo reenviar un correo sospechoso a la AEAT para que lo investiguen?

Sí. La AEAT tiene un buzón para reportar correos falsos de Hacienda: puedes informar a través de su web oficial en la sección de avisos de seguridad. También conviene reportarlo al INCIBE a través del 017 (gratuito y confidencial) o por email a incidencias@incibe-cert.es.

¿Es seguro usar la app de la Agencia Tributaria?

La app oficial de la AEAT (disponible en App Store y Google Play) es segura. Descárgala siempre desde las tiendas oficiales, nunca desde enlaces de terceros. Ten cuidado también con el SIM swapping, que podría comprometer la verificación por SMS de tu acceso.

¿Qué diferencia hay entre phishing y smishing de Hacienda?

El phishing llega por email y el smishing por SMS, pero la mecánica es la misma: un mensaje que suplanta a la AEAT para llevarte a una web fraudulenta o hacerte descargar malware. Las campañas recientes combinan ambos canales para aumentar la tasa de éxito.

El siguiente paso

Abre tu bandeja de entrada ahora mismo y busca correos de "Hacienda", "AEAT" o "Agencia Tributaria" que hayas recibido en los últimos meses. Comprueba el remitente real (no el nombre visible, sino la dirección completa) y elimina cualquier mensaje sospechoso. Si tienes dudas sobre alguno, pásalo por VirusTotal antes de interactuar con él. Si tu filtro de spam no los está pillando, plantéate mejorar tu configuración de seguridad — en nuestro listado de herramientas gratuitas tienes opciones para reforzar la protección de tu correo sin gastar un euro.

phishing hacienda estafa agencia tributaria correo falso hacienda fraude renta phishing aeat
MataSpam

Somos un equipo obsesionado con la ciberseguridad. Creamos guías prácticas para que no te la cuelen online. Sin edulcorantes, con mala leche y buen corazón.

Artículos relacionados

Pharming vs phishing: diferencias y cómo protegerte de ambos
Phishing y Estafas

Pharming vs phishing: diferencias y cómo protegerte de ambos

Phishing de Correos y paquetería: no caigas en la trampa del paquete retenido
Phishing y Estafas

Phishing de Correos y paquetería: no caigas en la trampa del paquete retenido

Qué es el spear phishing y por qué es más peligroso que el phishing normal
Phishing y Estafas

Qué es el spear phishing y por qué es más peligroso que el phishing normal

← Volver al blog