Oleada de fraudes por phishing y smishing que aprovechan los plazos fiscales para robar credenciales y datos bancarios a los contribuyentes
Con la campaña de la Renta 2025 en marcha hasta el 30 de junio, los ciberdelincuentes activaron una de sus épocas más intensas de actividad del año. Desde el inicio de las presentaciones telemáticas el pasado 8 de abril, expertos en seguridad detectaron una oleada masiva de correos y SMS que suplantan a la Agencia Tributaria con el objetivo de robar credenciales y vaciar cuentas bancarias.
El Banco Santander ya alertó a sus clientes de que desconfíen de cualquier mensaje en nombre de la Agencia Tributaria que pida datos personales, contenga enlaces a formularios o archivos descargables, prometa grandes devoluciones o alerte de un cargo que se puede cancelar.
Urgencia falsa y enlaces trampa
Los métodos más extendidos son el phishing, fraude a través del correo electrónico, y el smishing, la misma técnica pero por SMS. Estos mensajes suelen incluir asuntos como supuestas devoluciones pendientes, incidencias en la declaración o solicitudes urgentes de documentación, y generan una sensación de alarma para que el usuario actúe sin verificar la autenticidad del mensaje.
Según la Organización de Consumidores y Usuarios (OCU), algunos de estos SMS alertan de una supuesta incidencia grave en la declaración que puede acarrear una sanción, e instan al contribuyente a enviar documentación de forma inmediata.
Qué hacer para no caer en la trampa
La Agencia Tributaria insiste en que nunca solicita por correo electrónico o SMS información confidencial, económica o personal, números de cuenta ni números de tarjeta, y tampoco adjunta anexos con facturas ni exige pagos por vías no oficiales. Ante una llamada no solicitada que pida datos, hay que tener en cuenta que el organismo solo llama si el contribuyente solicitó previamente cita telefónica.
Los expertos recomiendan acceder siempre a los trámites fiscales escribiendo directamente la dirección oficial en el navegador, que es sede.agenciatributaria.gob.es, y desconfiar de cualquier variación en la URL.
Desde 2025, Hacienda permite incluir las pérdidas sufridas por este tipo de estafas como pérdida patrimonial en la declaración del IRPF, siempre que se acrediten mediante denuncia y resolución judicial. Quien sospeche haber recibido un mensaje fraudulento puede reportarlo al INCIBE a través de su buzón de incidentes.
