El Instituto Nacional de Ciberseguridad (INCIBE) advierte de una oleada de correos y SMS que suplantan a la Agencia Tributaria para reclamar deudas ficticias o prometer reembolso
24 sep 2025 . Actualizado a las 14:01 h.Un mensaje en la bandeja de entrada. El asunto reza: «Obligación tributaria vencida». Otro correo llega minutos después: «[AEAT] Notificación Oficial: Reembolso de impuestos aprobados». Al abrirlos, el ciudadano se encuentra con un diseño pulcro, encabezados en azul y un tono administrativo que recuerda al de Hacienda. Solo un detalle delata el engaño: la dirección de correo no corresponde al dominio oficial «agenciatributaria.gob.es». Quien no repare en esa pista puede terminar entregando, sin saberlo, su número de tarjeta de crédito, sus datos personales o incluso la imagen de su DNI.
El Instituto Nacional de Ciberseguridad (INCIBE) ha lanzado una alerta pública ante la detección de múltiples campañas de phishing y smishing que intentan suplantar a la Agencia Estatal de Administración Tributaria (AEAT). La advertencia llega en un momento especialmente sensible: el cierre del ejercicio fiscal del 2024, con miles de contribuyentes pendientes de gestiones, devoluciones y notificaciones oficiales. Es, justamente, ese contexto el que explotan los ciberdelincuentes.
El texto es el siguiente: «La AEAT le comunica que tras el análisis de su declaración correspondiente al último ejercicio fiscal, ha sido calificado para recibir un reembolso por un importe de 1.257 euros». O, en otro correo: «Su deuda no satisfecha se encuentra vencida. La liquidación correspondiente se encuentra disponible en su cuenta de la AEAT, accesible para consulta».
Son mensajes construidos para generar confianza —por la promesa de un ingreso— o para provocar miedo —ante la amenaza de una deuda—. Solo un detalle delata el engaño: la dirección de correo no corresponde al dominio oficial «agenciatributaria.gob.es». Quien no repare en esa pista puede terminar entregando, sin saberlo, su número de tarjeta de crédito, sus datos personales o incluso la imagen de su DNI.
El anzuelo: deudas inventadas y reembolsos ficticios
El mecanismo del fraude es conocido, pero no por ello menos efectivo. Los atacantes envían correos electrónicos o mensajes de texto con apariencia oficial, en los que avisan al usuario de supuestas incidencias con Hacienda: deudas vencidas, obligaciones tributarias pendientes o reembolsos que requieren una gestión urgente. El mensaje incluye un enlace que conduce a una página web falsa, diseñada para imitar la apariencia de la sede electrónica de la AEAT.
Una vez allí, se solicita al contribuyente que introduzca sus credenciales, complete formularios con información personal e incluso aporte datos bancarios. Según ha comprobado el INCIBE, los estafadores llegan a pedir los números de la tarjeta de crédito. Al hacerlo, la víctima ya ha quedado expuesta a un fraude económico y a una posible suplantación de identidad.
La sofisticación del fraude
A diferencia de las viejas estafas plagadas de faltas de ortografía, las nuevas campañas muestran un grado notable de profesionalización. Los correos están bien redactados y maquetados, con logos y tipografías similares a las oficiales. Solo un análisis detallado revela incongruencias: remitentes con dominios ajenos a Hacienda, enlaces que no redirigen a «agenciatributaria.gob.es» y, en el caso de los SMS, ligeros errores ortográficos que levantan sospechas.
El INCIBE insiste en que la Agencia Tributaria nunca comunica deudas o reembolsos mediante enlaces directos en correos o mensajes. Todas las notificaciones oficiales se gestionan exclusivamente a través de la sede electrónica, con acceso mediante certificado digital, Cl@ve PIN o DNI electrónico.
Qué hacer si recibes uno de estos mensajes
El organismo recomienda varias medidas preventivas. Si se recibe un correo o SMS sospechoso sin haber pulsado el enlace, debe reportarse de inmediato al buzón de incidentes del INCIBE, además de bloquear al remitente y eliminar el mensaje. Esa información ayuda a identificar patrones de ataque y prevenir que otros usuarios caigan en la trampa.
Pero si el usuario ya ha accedido al enlace y facilitado datos, la respuesta debe ser más amplia:
- Contactar con la Línea de Ayuda en Ciberseguridad del INCIBE para recibir asesoramiento especializado.
- Avisar al banco para bloquear tarjetas y movimientos no autorizados.
- Acudir a la oficina de expedición del DNI si se han compartido imágenes del documento, para renovarlo y anular el anterior.
- Reunir pruebas —capturas de pantalla, enlaces, correos— y presentarlas en una denuncia formal ante las Fuerzas y Cuerpos de Seguridad del Estado.
- Realizar búsquedas periódicas en internet (egosurfing) durante los meses posteriores para detectar un posible uso indebido de la información personal filtrada.