Guía

Phishing de Hacienda en la campaña de la renta: cómo reconocer el fraude

Publicado el · Equipo Aprende Ciberseguridad

Guía completa Forma parte de: Estafas y fraudes

TL;DR: en la campaña de la renta (de abril a junio) se disparan los correos y SMS falsos que suplantan a la Agencia Tributaria, casi siempre con el gancho de una «devolución pendiente» o una «sanción urgente». La clave: Hacienda no te pide datos bancarios ni claves por SMS o correo, ni gestiona devoluciones por un enlace. Ante la duda, entra tú a la sede electrónica oficial; nunca por el enlace del mensaje.

Esta guía es perenne: el phishing de Hacienda reaparece cada año en la campaña de la renta. La revisamos y actualizamos en cada campaña.

Cada primavera, millones de personas esperan noticias de Hacienda. Los estafadores lo saben y lanzan oleadas de mensajes que imitan a la Agencia Tributaria. Como esperamos esa comunicación, baja la guardia. Vamos a subirla.

El gancho: devolución o sanción

Casi todos los mensajes falsos juegan con una de dos emociones:

  • La ilusión: «tienes una devolución pendiente, confirma tus datos para recibirla».
  • El miedo: «se ha detectado un error / una deuda, regulariza o serás sancionado».

En ambos casos el objetivo es el mismo: que pulses un enlace y metas tus datos personales, bancarios o de tarjeta en una web que imita a la oficial.

Cómo reconocer el fraude

Enciende las alarmas si el mensaje:

  • Mete prisa o amenaza con una sanción inmediata.
  • Te pide datos bancarios, de tarjeta o claves para «recibir la devolución».
  • Tiene faltas de ortografía o un tono raro.
  • El enlace no lleva a la dirección oficial (la de la Agencia Tributaria termina en gob.es), sino a un dominio raro.

Recuerda el principio general del phishing por correo y del smishing por SMS: el engaño busca que actúes rápido sin verificar.

La regla que no falla

La Agencia Tributaria no pide datos bancarios, números de tarjeta ni claves por SMS ni por correo electrónico, y no gestiona devoluciones pidiéndote rellenar un formulario desde un enlace. Sus comunicaciones van por la sede electrónica y las notificaciones oficiales.

Así que, ante cualquier mensaje sobre tu renta:

  1. No pulses el enlace.
  2. Entra a la sede electrónica oficial, escribiendo la dirección o usando la app oficial.
  3. Si hay algo real para ti, lo verás ahí.

Si ya has picado

  • Si diste datos bancarios o de tarjeta, llama de inmediato a tu banco para bloquearla y vigilar movimientos.
  • Cambia las contraseñas que hayas podido revelar y activa la verificación en dos pasos.
  • Guarda capturas como prueba y denuncia ante la Policía o la Guardia Civil.
  • Pide orientación gratuita en el 017 de INCIBE.

Tienes el repaso de todas las suplantaciones de organismos en las estafas más comunes en España. En campaña de la renta, una norma simple te protege: lo de Hacienda se mira en la web de Hacienda, nunca en un enlace que te llega.

Preguntas frecuentes

¿La Agencia Tributaria envía SMS o correos con enlaces para devoluciones?
La Agencia Tributaria no solicita por SMS ni por correo electrónico datos bancarios, números de tarjeta ni claves, y no gestiona devoluciones pidiéndote que pulses un enlace y rellenes tus datos. Si recibes algo así, trátalo como fraude. Ante la duda, entra tú a la sede electrónica oficial escribiendo la dirección o usa su app.
¿Cómo distingo un mensaje falso de uno real?
Sospecha si te meten prisa, te prometen una devolución a cambio de tus datos o te amenazan con una sanción inmediata, si hay faltas de ortografía o si el enlace no lleva a la dirección oficial (que termina en gob.es). Hacienda se comunica sobre todo a través de su sede electrónica y notificaciones oficiales, no por enlaces en SMS.
He pulsado el enlace y he metido mis datos. ¿Qué hago?
Si diste datos bancarios o de tarjeta, llama de inmediato a tu banco para bloquearla y vigilar movimientos. Cambia las contraseñas que hayas podido revelar y activa la verificación en dos pasos. Guarda capturas como prueba y denuncia. Puedes pedir orientación gratuita en el 017 de INCIBE.
¿Por qué llegan tantos en primavera?
Porque los estafadores aprovechan la campaña de la renta (que en España va de abril a junio), cuando todo el mundo espera comunicaciones de Hacienda y devoluciones. El contexto hace que el engaño parezca creíble. Por eso conviene extremar la atención en esos meses.