Con el inicio de la campaña de la Renta 2025, el 8 de abril de 2026, millones de contribuyentes en España comienzan el proceso de presentación de su declaración ante la Agencia Estatal de Administración Tributaria (AEAT). Paralelamente, este periodo se convierte en una oportunidad para los ciberdelincuentes, que incrementan sus intentos de fraude mediante la suplantación de organismos oficiales. El presente informe analiza las principales amenazas detectadas, las señales de alerta y las recomendaciones para prevenir este tipo de estafas.
2. Contexto y situación actual
Según la Agencia Tributaria y algunas agencias de ciberseguridad, durante la campaña de la Renta se produce un aumento significativo de correos electrónicos y mensajes SMS fraudulentos. Estos mensajes se hacen pasar por comunicaciones oficiales de la AEAT y suelen aludir a supuestas devoluciones de impuestos, incidencias en la declaración o notificaciones urgentes.
El objetivo principal de estas estafas es obtener información confidencial de los contribuyentes, como credenciales de acceso, datos personales o bancarios, a través de enlaces que redirigen a páginas web falsas o formularios diseñados para aparentar legitimidad.
3. Métodos utilizados por los ciberdelincuentes
Los atacantes emplean técnicas caracterizadas por:
- Correos electrónicos o SMS con apariencia oficial.
- Enlaces a páginas web que imitan el portal de la Agencia Tributaria.
- Mensajes que generan urgencia o alarma para provocar una reacción impulsiva del usuario.
– Las estafas más habituales durante la campaña de la declaración de la renta del 2025 son el phising, el smishing y el vishing, aunque para esta campaña el quishing también está al alza.
– El phishing consiste el envío de correos electrónicos suplantando a un organismo para engañar a la víctima y que esta facilite sus datos personales o bancarios.
– El smishing usa el mismo modus operandi que el phishing, pero ejecuta la estafa a través de SMS.
– El vishing consiste en llamadas telefónicas en las que una voz, a veces generada por inteligencia artificial, se hace pasar por un funcionario de la Agencia Tributaria para presionar a pagar una supuesta deuda o ceder datos personales, según explica Iglesias.
– El quishing usa correos electrónicos que contienen un código QR en lugar de un enlace para para dirigir a páginas falsas y evadir filtros de seguridad, explica el experto.
La AEAT recuerda que nunca solicita información personal o bancaria por correo electrónico o mensajes SMS, ni adjunta documentos en este tipo de comunicaciones.
Casos reales y modalidades frecuentes registrados en campañas anteriores:
– SMS con devoluciones falsas (Smishing): Se reciben mensajes indicando: «Se ha ordenado el pago de su devolución de IRPF 2024. Para recibir el ingreso, complete sus datos…», dirigiendo a páginas web falsas que imitan la sede electrónica de la Agencia Tributaria.
– Correos de «Notificación Disponible»: Correos electrónicos con asuntos como «AVISO IMPORTANTE» o «Nueva notificación electrónica» con enlaces que roban credenciales.
– Suplantación de Gestores: Ciberdelincuentes investigan despachos reales y contactan a las víctimas pidiendo pagos urgentes para evitar recargos o resolver incidencias ficticias.
– Estafas por Bizum: Mensajes que informan de una pequeña devolución y solicitan confirmar la recepción, logrando que la víctima envíe dinero al estafador en lugar de recibirlo.
– Robo de identidad: Casos donde se utiliza el nombre de un ciudadano para realizar una declaración de renta fraudulenta.
En esta pagina de la Agencia tributaria explican ejemplos de casos por año de campaña: https://sede.agenciatributaria.gob.es/Sede/ayuda/consultas-informaticas/informacion-casos-phishing.html
4. Señales de alerta ante un posible fraude
Se identifican varios indicios claros que pueden ayudar a detectar un intento de estafa:
1. Solicitudes de datos personales o bancarios a través de enlaces o formularios externos a la sede electrónica oficial.
2. Mensajes que apelan a la urgencia, como avisos de bloqueos de expediente o devoluciones inmediatas.
3. Remitentes o dominios sospechosos que no correspondan a “agenciatributaria.gob.es” ni a los canales oficiales de notificación.
4. La presencia de uno o varios de estos elementos debe considerarse un motivo de desconfianza.
5. Recomendaciones para la prevención
Para proteger los datos personales durante la campaña de la Renta, se aconseja:
-Acceder siempre a la sede electrónica de la Agencia Tributaria escribiendo manualmente la dirección web en el navegador.
-Verificar cuidadosamente el remitente y el dominio antes de introducir información sensible.
-No facilitar contraseñas, códigos de verificación o datos bancarios por canales no oficiales.
-Mantener actualizados los sistemas operativos, antivirus y filtros antiphishing.
-Comprobar cualquier notificación directamente en los servicios oficiales de la AEAT antes de actuar.
6. Actuación ante una posible interacción con mensajes fraudulentos
En caso de haber pulsado un enlace sospechoso o facilitado información confidencial, se recomienda:
– Recopilar pruebas del fraude, como capturas de pantalla o mensajes recibidos.
– Cambiar inmediatamente las contraseñas afectadas y vigilar movimientos bancarios.
– Denunciar el incidente ante las Fuerzas y Cuerpos de Seguridad del Estado.
– Solicitar ayuda especializada a través de la Línea de Ayuda en Ciberseguridad (017).
La campaña de la Renta es un periodo especialmente sensible en materia de ciberseguridad. La combinación de plazos, trámites administrativos y presión psicológica es aprovechada por los delincuentes para engañar a los contribuyentes. La prevención, la verificación de las comunicaciones y el uso de canales oficiales son las mejores herramientas para evitar ser víctima de fraude y proteger la información personal y financiera.
Comentarios recientes