Renta 2025: Cómo evitar los intentos de ciberengaño de quienes se hacen pasar por la Agencia Tributaria

La presente campaña de la Declaración de la Renta, iniciada oficialmente el pasado 8 de abril, representa un periodo crítico tanto para contribuyentes… como para los profesionales de la ciberdelincuencia que buscan lucrarse ilícitamente. Durante estas semanas de trámites fiscales, los ataques de phishing y smishing se multiplican aprovechando el volumen de comunicaciones oficiales y la urgencia de los ciudadanos por cumplir con sus obligaciones. Solo en la campaña anterior, instituciones como el INCIBE gestionaron decenas de miles de incidentes relacionados con fraudes online, confirmando que estas fechas son un señuelo recurrente. Los expertos advierten que la presión psicológica es el arma principal para que el usuario actúe rápido y sin cuestionar la veracidad del mensaje recibido. 

Desde organismos como INCIBE insisten en que es fundamental entender que el engaño puede comenzar con un simple correo electrónico que parece legítimo, pero que en realidad busca robar credenciales de acceso fiscales. Se trata de uno de los cebos más efectivos en la actualidad, un mail que simula una “nueva notificación electrónica”, utilizando un lenguaje administrativo muy convincente. Estos mensajes suelen incluir asuntos alarmistas sobre referencias de expedientes que invitan a una reacción inmediata para evitar supuestos problemas legales. Los ciberdelincuentes redirigen a las víctimas a páginas web clonadas que imitan con precisión milimétrica la sede electrónica de la Agencia Tributaria. En estos entornos fraudulentos, los usuarios introducen datos sensibles como su DNI o claves de acceso, que pasan directamente a manos de los atacantes. 

La rapidez con la que se ejecutan estas campañas dificulta muchas veces la detección por parte de los filtros de seguridad convencionales de los usuarios. Por ello, se recomienda desconfiar de cualquier comunicación que no haya sido esperada o que no siga los cauces habituales de la administración pública. La irrupción de la inteligencia artificial generativa ha elevado la sofisticación de estos ataques a niveles nunca vistos en campañas de años anteriores. Actualmente, los mensajes de fraude ya no contienen los errores gramaticales o de diseño que antes servían como señales de alerta evidentes. La IA permite crear interfaces idénticas a las oficiales y redactar textos con un tono profesional impecable, incluyendo incluso datos personalizados del contribuyente. Esto genera una falsa sensación de seguridad que facilita que incluso los usuarios más prevenidos puedan bajar la guardia ante una supuesta notificación.

Además, los ciberdelincuentes utilizan ahora ataques multicanal, coordinando correos electrónicos, SMS y llamadas telefónicas para construir una historia creíble y coherente. El objetivo final es siempre el mismo: obtener información confidencial o forzar un pago indebido bajo la apariencia de una gestión oficial necesaria. Pero afortunadamente existen señales de advertencia críticas que todo contribuyente debe aprender a identificar para proteger su información personal y bancaria durante este ejercicio fiscal. Entre ellas destaca el uso de un lenguaje alarmista que menciona bloqueos de expedientes, sanciones inminentes o embargos para provocar miedo en el receptor. También son frecuentes las promesas de reembolsos inmediatos de importes exactos, enviadas a través de enlaces acortados en mensajes de texto SMS. 

Desde Hacienda se recuerda de forma insistente que la Agencia Tributaria nunca solicita pagos urgentes ni datos bancarios a través de medios no seguros como el correo electrónico. Es vital revisar siempre el dominio del remitente, buscando variaciones sutiles que intentan imitar la dirección oficial agenciatributaria.gob.es de forma fraudulenta. Cualquier mensaje que incite a descargar archivos adjuntos, como supuestas facturas o PDFs de notificaciones, debe ser tratado con extrema precaución.

La Organización de Consumidores y Usuarios (OCU) también ha alzado la voz para alertar a los ciudadanos sobre la proliferación de estos engaños estacionales. Según la OCU, los argumentos de los estafadores cambian periódicamente, pasando de requerimientos de pago a peticiones de documentación imprescindible para recibir una devolución. La organización insiste en que la primera pista de fraude es el propio mensaje, especialmente si promete una devolución de dinero totalmente inesperada. Recomiendan encarecidamente no hacer clic en los enlaces recibidos y, en su lugar, pasar el cursor por encima para verificar la dirección de destino real. Si la dirección web no coincide con los dominios oficiales del Estado, se debe eliminar el mensaje de inmediato sin interactuar con él. La OCU recalca que mantenerse alerta es la mejor defensa ya que, una vez introducidos los datos, el proceso de reclamación puede ser complejo.

Para operar con total seguridad, es imprescindible conocer cuáles son los únicos dominios y canales oficiales que utiliza la Agencia Tributaria en sus comunicaciones. Las direcciones web legítimas incluyen siempre dominios como sede.agenciatributaria.gob.es o variantes que finalizan estrictamente en aeat.es o agenciatributaria.es. Además, la administración utiliza sistemas de identificación robustos y oficiales como el certificado digital, el DNI electrónico o el sistema Cl@ve Móvil. Hacienda ha dejado claro que nunca utiliza servicios de mensajería instantánea ni solicita información económica personal a través de plataformas como Bizum. Por otro lado, las llamadas telefónicas de supuestos agentes solo se producen si el contribuyente ha solicitado previamente una cita para ser atendido. Cualquier llamada inesperada que solicite datos bancarios o presione para realizar un trámite en el momento debe considerarse un intento de fraude telefónico o vishing.

Rapidez y pruebas

Otros métodos de engaño incluyen la oferta de servicios de pago para gestionar citas previas que, en realidad, son trámites totalmente gratuitos. Páginas web fraudulentas se presentan como intermediarios para aprovechar la saturación del sistema y la urgencia de los usuarios por resolver su situación. Igualmente, la presencia de formularios excesivamente simples que solicitan la contraseña del correo electrónico es una señal inequívoca de que se trata de una estafa. Ningún organismo oficial pedirá jamás las claves de acceso a servicios personales de mensajería o redes sociales bajo ningún concepto. Los delincuentes también utilizan documentos adjuntos maliciosos que, al ser abiertos, instalan malware en el dispositivo de la víctima para monitorizar su actividad bancaria. 

Ante cualquier duda sobre la autenticidad de un documento, lo más seguro es acudir directamente a la sede electrónica para cotejarlo mediante el código seguro de verificación. En el caso de que un ciudadano sospeche que ha podido caer en la trampa o haya introducido datos en un enlace sospechoso, debe actuar con rapidez. Lo primero es recopilar todas las pruebas posibles, como capturas de pantalla, enlaces y mensajes recibidos, para facilitar una posterior denuncia. Es fundamental cambiar de inmediato las contraseñas comprometidas y contactar con la entidad bancaria para solicitar el bloqueo preventivo de tarjetas o cuentas. El incidente debe reportarse a las Fuerzas y Cuerpos de Seguridad del Estado y a la propia Agencia Tributaria a través de sus canales de denuncias. Además, el INCIBE pone a disposición de los usuarios la Línea de Ayuda en Ciberseguridad (017) para recibir orientación experta sobre cómo proceder tras el ataque. La celeridad en estas acciones, insisten, es determinante para minimizar el impacto financiero y evitar que los delincuentes hagan un uso extensivo de la información robada.