La falsa Agencia Tributaria: cómo evitar las estafas de la declaración de la renta

Recibes un SMS aparentemente enviado por la Agencia Tributaria: “Tiene pendiente una devolución a su favor y dispone de 48 horas para reclamarla”. El mensaje incluye un enlace que parece dirigir a una página oficial del Ministerio de Hacienda. El tono es administrativo y el diseño resulta convincente. Precisamente ese es el efecto que buscan los ciberdelincuentes cuando preparan este tipo de fraudes.

Un anzuelo con muchas formas

Las estafas relacionadas con la declaración de la renta suelen aumentar entre abril y junio. Durante estas semanas, millones de personas están pendientes de presentar su declaración o de recibir una devolución, lo que hace que cualquier comunicación relacionada con Hacienda genere una atención especial.

Los delincuentes aprovechan este contexto para lanzar campañas masivas de fraude mediante SMS, correos electrónicos, llamadas telefónicas o incluso aplicaciones de mensajería instantánea.

Entre los mensajes fraudulentos más habituales se encuentran:

• Supuestas notificaciones pendientes de lectura.
• Falsas incidencias que podrían derivar en sanciones económicas.
• Avisos sobre devoluciones aprobadas que requieren una gestión inmediata.
• Comunicaciones que solicitan actualizar datos personales o bancarios.

Aunque el contenido varía, todos persiguen el mismo objetivo: que la víctima pulse en un enlace, facilite información confidencial o realice un pago.

Por qué resultan tan convincentes

Los intentos de fraude vinculados a la Agencia Tributaria son cada vez más sofisticados. En algunos casos, los mensajes incluyen información personal como el nombre completo o el número de DNI de la víctima. Estos datos pueden proceder de filtraciones de información, bases de datos ilícitas o fraudes anteriores.

Su presencia aumenta la credibilidad del mensaje y reduce las sospechas iniciales. Además, algunos delincuentes consiguen que sus SMS aparezcan integrados en el mismo hilo de conversaciones donde el usuario ha recibido comunicaciones legítimas en años anteriores, dificultando aún más la identificación del fraude.

A ello se suma el uso de enlaces acortados o dominios que imitan la apariencia de los sitios oficiales, aunque en realidad dirigen a páginas fraudulentas diseñadas para capturar datos personales o bancarios.

Señales que delatan el engaño

Para detectar este tipo de fraudes conviene conocer cómo se comunica realmente la Agencia Tributaria con los contribuyentes.

Las notificaciones oficiales se reciben a través de la sede electrónica y requieren identificación mediante Cl@ve, certificado electrónico o DNI electrónico. Los SMS que envía la Agencia Tributaria suelen tener carácter meramente informativo y no incluyen enlaces para realizar trámites o introducir datos personales.

Más allá de ello, existen varias señales que deben activar la alerta:

• El enlace no corresponde al dominio oficial.
• La dirección web es diferente a la de la sede electrónica, aunque la página imite su aspecto y sea igual que la original.
• Se solicitan datos personales, bancarios, números de tarjeta, PIN o contraseñas.
• Se pide descargar o instalar una aplicación.
• El mensaje contiene errores ortográficos, expresiones poco naturales o un tono excesivamente urgente.

Cómo protegerte

Adoptar algunas medidas básicas puede reducir significativamente el riesgo de convertirse en víctima de estas estafas:

• Acceder siempre a la Agencia Tributaria escribiendo directamente la dirección oficial en el navegador: sede.agenciatributaria.gob.es.
• No hacer clic en enlaces incluidos en SMS o correos electrónicos, aunque parezcan legítimos.
• No descargar archivos adjuntos de mensajes no solicitados.
• No facilitar datos personales, bancarios o contraseñas fuera de los canales oficiales.
• Verificar cualquier comunicación sospechosa contactando directamente con la Agencia Tributaria.
• Reportar los mensajes fraudulentos mediante los canales habilitados por el propio organismo.

Qué hacer si has caído en la estafa

Si has facilitado información personal o bancaria en una página fraudulenta, actuar con rapidez es fundamental para minimizar las consecuencias.

Se recomienda comunicar el incidente a las autoridades y al Instituto Nacional de Ciberseguridad (INCIBE), a través de su portal de ayuda o del teléfono 017. Si se han compartido datos de una tarjeta bancaria, conviene solicitar su bloqueo o cancelación de forma inmediata.

También es importante contactar con la entidad financiera utilizando únicamente sus canales oficiales para informar de lo ocurrido y seguir las recomendaciones de seguridad correspondientes.

La campaña de la declaración de la renta es uno de los periodos del año más utilizados por los ciberdelincuentes para lanzar fraudes masivos. Mantener una actitud crítica ante mensajes inesperados y verificar siempre la autenticidad de las comunicaciones sigue siendo la mejor defensa frente a este tipo de amenazas.