Volver

SMS falso de Hacienda

Recibes un SMS que parece enviado por la Agencia Tributaria informándote de una devolución de impuestos pendiente o de un problema con tu declaración. El mensaje incluye un enlace para "confirmar tus datos" o "recibir el pago". Es un fraude diseñado para robar tus datos bancarios.

Este tipo de phishing es especialmente efectivo porque casi todo el mundo tiene alguna relación con Hacienda, ya sea por la declaración de la renta, por IVA si eres autónomo, o simplemente por el miedo generalizado que genera recibir comunicaciones del fisco. Los estafadores aprovechan ese respeto (y temor) que la Agencia Tributaria inspira para que bajes la guardia.

Cómo funciona

El fraude del SMS de Hacienda sigue un patrón similar a otros tipos de phishing, pero con particularidades propias que lo hacen especialmente creíble durante ciertas épocas del año, como la campaña de la renta.

El mensaje

El SMS llega a tu móvil desde un número desconocido, aunque en algunos casos los estafadores consiguen que aparezca como "AEAT" o "Hacienda" mediante técnicas de suplantación del remitente. El contenido está diseñado para generar una reacción inmediata, ya sea por la ilusión de recibir dinero o por el miedo a tener un problema fiscal.

Ejemplos típicos de mensajes fraudulentos que suplantan a Hacienda:

"AEAT: Se ha aprobado una devolución de 328,50€ a su favor. Confirme sus datos bancarios para recibir el pago: [enlace]"

"Agencia Tributaria: Tiene una notificación pendiente. Acceda antes del [fecha] para evitar recargos: [enlace]"

Las variantes más comunes que circulan incluyen:

  • "Devolución aprobada" te hace creer que Hacienda te debe dinero y solo necesita tus datos para pagarte. La cantidad suele ser específica (287,45€, 412,30€) para parecer más real.
  • "Notificación pendiente" genera ansiedad al sugerir que hay un problema fiscal que debes resolver urgentemente.
  • "Irregularidad detectada" te asusta haciéndote pensar que has cometido un error en tu declaración y tendrás consecuencias si no actúas.
  • "Verificación de datos" parece un trámite rutinario obligatorio que debes completar.
  • "Deuda pendiente" te hace creer que debes dinero a Hacienda y que habrá recargos si no pagas inmediatamente.

El enlace

La URL del mensaje está diseñada para parecer oficial. Los estafadores registran dominios que incluyen palabras como "agenciatributaria", "aeat", "hacienda" o "renta" combinadas con otras palabras o extensiones que no corresponden a la administración pública.

Ejemplos de dominios fraudulentos detectados:

  • aeat-devoluciones.com mezcla el acrónimo oficial con una palabra relacionada
  • agenciatributaria-es.net añade extensiones que no son las oficiales
  • hacienda-notificaciones.info combina el nombre con términos administrativos
  • renta2025-aeat.com aprovecha la campaña de la renta para parecer más creíble
  • devolucion-irpf.es usa términos fiscales para generar confianza

La web oficial de la Agencia Tributaria es sede.agenciatributaria.gob.es. Las páginas de la administración pública española usan el dominio .gob.es, nunca .com, .net, .info ni ninguna otra extensión comercial.

La web falsa

Al hacer clic en el enlace llegas a una página que imita el diseño de la sede electrónica de la Agencia Tributaria. Los estafadores copian logotipos, colores, estructura y hasta los avisos legales para aumentar la credibilidad. Algunas imitaciones son tan precisas que resultan difíciles de distinguir del original sin fijarse en la URL.

La web fraudulenta te solicita datos que la Agencia Tributaria real ya tiene o nunca te pediría por este medio:

  • DNI o NIE para "identificarte" como contribuyente
  • Nombre completo y fecha de nacimiento como supuesta verificación
  • Número de cuenta bancaria (IBAN) donde supuestamente ingresarán la devolución
  • Datos de tarjeta de crédito en algunos casos, con la excusa de "verificar titularidad"
  • Código de verificación SMS que te envían en el momento, indicando que están intentando acceder a algún servicio real con tus datos

El robo

Con los datos que introduces en la web falsa, los estafadores pueden causarte diferentes tipos de perjuicio según la información que hayas proporcionado.

Si has dado datos bancarios (IBAN), pueden realizar estas acciones:

  • Domiciliación de recibos fraudulentos cargando pagos recurrentes a tu cuenta
  • Suplantación de identidad para otros fraudes usando tus datos bancarios como "verificación"
  • Venta de los datos en mercados clandestinos donde se comercia con información financiera

Si has dado datos de tarjeta de crédito, las consecuencias son más inmediatas:

  • Compras online fraudulentas con cargo a tu tarjeta
  • Cargos recurrentes por suscripciones que no has contratado
  • Vaciado del límite de la tarjeta si no actúas rápido

Si has introducido credenciales que usas en otros servicios, pueden intentar acceder a esos servicios, especialmente si reutilizas contraseñas.

Señales de alerta

Reconocer un SMS fraudulento de Hacienda requiere conocer cómo comunica realmente la Agencia Tributaria. Hay varias señales que delatan estos mensajes si sabes identificarlas.

Hacienda no envía SMS con enlaces

Esta es la señal definitiva: la Agencia Tributaria no envía SMS que contengan enlaces para hacer trámites, verificar datos o recibir pagos. Las comunicaciones oficiales de Hacienda se realizan por otros canales que veremos más adelante. Cualquier SMS con un enlace que dice ser de Hacienda es fraudulento, sin excepciones.

Claimeet recomienda

Grábate esto a fuego: Hacienda NUNCA envía SMS con enlaces. Si recibes un SMS de "Hacienda" o "AEAT" con un enlace, es fraude al 100%, sin excepciones. Bórralo directamente.

El remitente

Los SMS oficiales de la Agencia Tributaria, cuando los envía (que son muy pocos y nunca con enlaces), proceden de remitentes identificados correctamente. Si el mensaje viene de un número de móvil normal que empieza por 6 o 7, o de un número internacional, es fraude seguro.

Algunos estafadores consiguen que aparezca "AEAT" como remitente mediante suplantación, pero recuerda: aunque el remitente parezca oficial, si el SMS contiene un enlace, es fraudulento.

La urgencia y las amenazas

Los mensajes fraudulentos siempre incluyen presión temporal: "Confirme antes del viernes", "Último aviso", "Evite recargos actuando hoy". Esta urgencia artificial busca que actúes sin pensar.

La Agencia Tributaria real no funciona con ultimátums de 24 horas. Los procedimientos administrativos tienen plazos amplios, y las notificaciones oficiales se realizan por canales que garantizan su recepción. Hacienda no te va a sancionar porque no hagas clic en un enlace en las próximas horas.

La petición de datos bancarios

Hacienda no necesita que le des tus datos bancarios para hacerte una devolución. Cuando presentas la declaración de la renta, ya indicas la cuenta donde quieres recibir devoluciones. Si Hacienda realmente tuviera que devolverte dinero, lo haría a la cuenta que ya tiene en sus registros, sin pedirte nada adicional.

Si un mensaje te pide datos bancarios o de tarjeta para una supuesta devolución fiscal, es fraude.

El dominio de la URL

Como ya hemos visto, las webs oficiales de la administración española usan el dominio .gob.es. La sede electrónica de la Agencia Tributaria está en sede.agenciatributaria.gob.es. Cualquier otra dirección, por muy oficial que suene, es fraudulenta.

Cómo comunica realmente la Agencia Tributaria

Para saber qué es falso, conviene conocer cómo son las comunicaciones legítimas de Hacienda. La Agencia Tributaria utiliza canales oficiales bien definidos.

Sede electrónica

El canal principal para todo lo relacionado con Hacienda es su sede electrónica: sede.agenciatributaria.gob.es. Accediendo con certificado digital, DNI electrónico o Cl@ve puedes ver todas tus notificaciones, el estado de tus declaraciones, si hay devoluciones pendientes, y cualquier otro trámite.

Si quieres comprobar si Hacienda te ha notificado algo, entra directamente en la sede electrónica escribiendo la dirección manualmente en el navegador. Nunca uses enlaces de mensajes sospechosos.

Correo postal certificado

Para comunicaciones importantes y notificaciones con efectos legales, Hacienda utiliza el correo postal certificado. Las notificaciones que pueden afectar a tus derechos (requerimientos, liquidaciones, sanciones) se envían siempre por correo certificado con acuse de recibo, no por SMS.

Notificaciones electrónicas

Si estás dado de alta en el sistema de notificaciones electrónicas (obligatorio para empresas y voluntario para particulares), las notificaciones oficiales aparecen en tu buzón de la sede electrónica. Puedes recibir un aviso por email de que tienes una notificación pendiente, pero ese email no contiene la notificación en sí ni enlaces para "resolver" nada: solo te informa de que entres en la sede electrónica a verla.

App de la Agencia Tributaria

La Agencia Tributaria tiene una app oficial disponible en las tiendas de Apple y Google. A través de ella puedes acceder a ciertos servicios y recibir avisos. Pero, de nuevo, cualquier trámite real se realiza dentro de la app o en la sede electrónica, no a través de enlaces en SMS.

Teléfono de atención

Los teléfonos oficiales de la Agencia Tributaria para información general son el 901 33 55 33 y el 91 554 87 70. Si tienes dudas sobre una comunicación, puedes llamar para verificar. Hacienda nunca te llamará para pedirte datos bancarios o para que hagas clic en enlaces.

Qué hacer si recibes el SMS

Tu reacción debe adaptarse a cuánto has interactuado con el mensaje fraudulento. Las acciones necesarias varían según solo lo hayas leído, hayas hecho clic, o hayas introducido datos.

Si no has hecho clic

Si has identificado el fraude antes de interactuar, estás completamente a salvo. El simple hecho de recibir el SMS no supone ningún riesgo. Toma estas medidas preventivas:

  1. No hagas clic en el enlace bajo ningún concepto.
  2. Bloquea el número del remitente para no recibir más mensajes de ese origen.
  3. Borra el mensaje para evitar clics accidentales en el futuro.
  4. Si tienes dudas sobre tu situación fiscal, entra directamente en sede.agenciatributaria.gob.es escribiendo la dirección manualmente.
  5. Reporta el fraude al INCIBE (017) para ayudar a identificar la campaña.

Si has hecho clic pero no has dado datos

Si has abierto la web falsa pero no has introducido ninguna información, el riesgo es limitado. Algunas webs fraudulentas intentan instalar malware, pero si cierras inmediatamente y tu dispositivo está actualizado, probablemente estés a salvo. Toma estas precauciones:

  1. Cierra la página inmediatamente sin interactuar con nada.
  2. Borra historial, cookies y caché del navegador.
  3. Ejecuta un análisis antivirus en tu dispositivo.
  4. Revisa las apps instaladas por si se hubiera añadido algo sin tu conocimiento.
  5. Monitoriza el dispositivo los días siguientes buscando comportamientos anómalos.

Si has introducido datos

Esta situación requiere acción inmediata. Según los datos que hayas proporcionado, debes actuar de diferente manera:

Si has dado datos de tarjeta de crédito:

  1. Llama a tu banco inmediatamente y bloquea la tarjeta.
  2. Revisa los movimientos buscando cargos no autorizados.
  3. Denuncia ante la Policía si ha habido cargos fraudulentos.
  4. Reclama al banco la devolución de cualquier cargo no autorizado.

Si has dado tu número de cuenta (IBAN):

  1. Avisa a tu banco de que tus datos pueden haber sido comprometidos.
  2. Revisa los recibos domiciliados regularmente durante los próximos meses.
  3. Activa alertas para ser notificado de nuevas domiciliaciones.
  4. Si aparecen cargos no autorizados, reclama su devolución.

Si has dado tu DNI y datos personales:

  1. Monitoriza posibles usos de tu identidad (puedes usar servicios de alerta de identidad).
  2. Desconfía de comunicaciones futuras que mencionen estos datos como "verificación".
  3. Considera denunciar para que quede constancia del incidente.

Si han realizado operaciones fraudulentas

Si descubres cargos en tu cuenta o tarjeta que no has autorizado:

  1. Documenta todo: capturas del SMS, de la web si la tienes, de los cargos fraudulentos.
  2. Comunica el fraude al banco formalmente por escrito.
  3. Presenta denuncia policial detallando los hechos.
  4. Reclama al banco la devolución de las cantidades.
  5. Si el banco rechaza, acude al Banco de España o a la vía judicial.

Cómo reclamar

Si has sufrido perjuicio económico por este fraude, tienes derecho a reclamar. El proceso es similar al de otros fraudes bancarios.

Al banco

La normativa de servicios de pago obliga a los bancos a reembolsar las operaciones no autorizadas. Si te han hecho cargos fraudulentos en tu tarjeta o cuenta, el banco debe devolverlos salvo que demuestre negligencia grave por tu parte.

Presenta reclamación formal por escrito al Servicio de Atención al Cliente detallando los hechos, adjuntando la denuncia policial y solicitando el reembolso. Si rechazan la reclamación, puedes escalar al Banco de España.

Modelo de reclamación

Asunto: Reclamación por cargos fraudulentos - Phishing suplantando a la AEAT

A la atención del Servicio de Atención al Cliente de [BANCO].

Datos del reclamante: [Nombre, DNI, número de cuenta/tarjeta afectada]

HECHOS:

1. El día [FECHA] recibí un SMS fraudulento que suplantaba a la Agencia
   Tributaria comunicando una supuesta devolución de impuestos.

2. El mensaje contenía un enlace a una web que imitaba la sede electrónica
   de la AEAT, donde, creyendo que era legítima, introduje mis datos
   [bancarios/de tarjeta].

3. Como consecuencia, se han realizado los siguientes cargos no autorizados:
   [Detallar cargos, fechas e importes]

4. He presentado denuncia ante [Policía/Guardia Civil] con referencia [NÚMERO].

SOLICITO:

La devolución inmediata del importe total de [CANTIDAD] euros al amparo
del Real Decreto-ley 19/2018 de servicios de pago.

Adjunto: Denuncia policial, capturas del SMS, extracto con cargos fraudulentos.

Fecha y firma

Cómo denunciar

Denunciar el fraude es importante para documentar el incidente y ayudar a las autoridades.

Policía Nacional y Guardia Civil

La denuncia policial es fundamental si has sufrido perjuicio económico. Puedes presentarla online (denuncias.policia.es) o presencialmente. Aporta el SMS fraudulento, capturas de la web falsa si las tienes, y extractos con los cargos fraudulentos.

INCIBE

El Instituto Nacional de Ciberseguridad recoge reportes de fraudes a través de la Línea 017 (gratuita) y su web incibe.es. Reportar ayuda a identificar campañas activas y alertar a otros ciudadanos.

Agencia Tributaria

Aunque la AEAT no ha sido la responsable del fraude, les interesa conocer las campañas de suplantación que afectan a su imagen. Puedes reportar el phishing enviando la información a phishing@correo.aeat.es, incluyendo capturas del mensaje fraudulento.

AEPD

Si te preocupa el uso de tus datos personales, puedes reclamar ante la Agencia Española de Protección de Datos.

Épocas de mayor riesgo

Los fraudes que suplantan a Hacienda se intensifican en determinados momentos del año, coincidiendo con fechas fiscales relevantes.

Campaña de la renta (abril-junio)

Es la época de mayor actividad para estos fraudes. Durante la campaña de declaración de la renta, millones de españoles están pendientes de Hacienda, esperan posibles devoluciones y están más receptivos a mensajes relacionados con impuestos. Los estafadores lo saben y multiplican sus campañas.

Durante estos meses, extrema la precaución. Si esperas devolución, compruébala siempre en sede.agenciatributaria.gob.es, nunca a través de enlaces en mensajes.

🚨 Abril-junio: temporada alta de caza

Los estafadores saben que en campaña de la renta millones de españoles esperan devoluciones. Por eso multiplican sus SMS fraudulentos justo en esos meses. Si recibes un SMS de "Hacienda" entre abril y junio, la probabilidad de que sea fraude es altísima. Hazte la pregunta: ¿espero realmente una devolución? Si no lo sabes con certeza, compruébalo SOLO en sede.agenciatributaria.gob.es, escribiendo la dirección tú mismo.

Cierre del año fiscal (diciembre-enero)

Otra época crítica, especialmente para autónomos y empresas que cierran ejercicio. Los mensajes pueden mencionar regularizaciones, inspecciones o ajustes de IVA.

Fechas de vencimiento de impuestos

Cuando se acercan fechas de pago de impuestos trimestrales (abril, julio, octubre, enero), los mensajes fraudulentos sobre "deudas pendientes" o "pagos no recibidos" son más creíbles.

Protegerse en el futuro

Adoptar estos hábitos te protegerá frente a futuros intentos de fraude relacionados con Hacienda.

Accede siempre de forma directa

Si necesitas hacer cualquier trámite con Hacienda o comprobar tu situación fiscal, entra siempre directamente en sede.agenciatributaria.gob.es escribiendo la dirección en el navegador. Nunca sigas enlaces de mensajes, aunque parezcan oficiales.

Claimeet recomienda

Guarda la web de la Agencia Tributaria (sede.agenciatributaria.gob.es) en favoritos y accede siempre desde ahí. Así evitas cualquier riesgo de phishing, sin importar cuántos SMS sospechosos recibas.

Guarda la web en favoritos

Añade la sede electrónica de la Agencia Tributaria a tus favoritos y accede siempre desde ahí. Así evitas errores de tecleo que podrían llevarte a webs fraudulentas con nombres similares.

Conoce los canales oficiales

Si sabes que Hacienda no envía SMS con enlaces, cualquier mensaje de ese tipo es inmediatamente sospechoso. El conocimiento es tu mejor defensa.

Activa las notificaciones oficiales

Darte de alta en el sistema de notificaciones electrónicas de la AEAT te permite recibir avisos legítimos cuando tengas notificaciones pendientes. Estos avisos llegan a tu email pero no contienen enlaces para "resolver" nada: solo te informan de que entres en la sede electrónica.

Desconfía de las devoluciones inesperadas

Si no esperas una devolución de Hacienda, probablemente no la haya. Las devoluciones de la renta se tramitan automáticamente si corresponden; no necesitas "confirmar datos" para recibirlas. Desconfía de mensajes que te ofrecen dinero que no estabas esperando.

Para saber más

Eduardo Lázaro

Sobre el autor

Eduardo Lázaro

Ingeniero de software y entusiasta del análisis de procesos legales y de consumo. Con una trayectoria vinculada a la arquitectura de información desde 2003, Eduardo aplica la lógica para desglosar normativas complejas en guías accesibles. Ha colaborado con varias organizaciones en la defensa de los derechos de los usuarios y la transparencia digital.

Ver perfil | edulazaro.com
Anterior
SMS de Correos falso
Siguiente
Llamada de Microsoft

Configuración de Cookies

Utilizamos cookies propias y de terceros para analizar el uso de la web, personalizar contenido y mostrarte publicidad relevante. Puedes aceptar todas las cookies o configurar tus preferencias. Más información

Preferencias de Cookies

Cookies Esenciales

Siempre activas

Necesarias para el funcionamiento básico del sitio. Incluyen cookies de sesión, autenticación y seguridad. No se pueden desactivar.

Cookies de Análisis

Nos ayudan a entender cómo interactúas con la web, qué páginas visitas y detectar posibles problemas técnicos. Usamos esta información para mejorar nuestros servicios.

Cookies de Marketing

Permiten mostrarte anuncios relevantes basados en tus intereses. También se utilizan para limitar el número de veces que ves un anuncio y medir la efectividad de las campañas.

Cookies Funcionales

Permiten funcionalidades mejoradas como recordar tus preferencias, idioma o región. Sin estas cookies, algunos servicios pueden no funcionar correctamente.

Ver Política de Cookies completa