Fuente: Incibe.es 25/05/2026
Se ha detectado una campaña de smishing que intentan suplantar a la AEAT. El fraude consiste en el envío de notificaciones a través de mensajes de texto en el que te informan de que tienes que acceder a un enlace para consultar un supuesto comunicado emitido por la AEAT.
Existen tres elementos principales que delatan que este mensaje es falso:
- El enlace (URL) es sospechoso: la web oficial de la Agencia Tributaria siempre termina en .gob.es o .es (por ejemplo, sede.agenciatributaria.gob.es). El dominio de la imagen termina en .top o en .click, según otras evidencias, que es una extensión barata y muy utilizada por ciberdelincuentes para crear páginas web temporales de estafa.
- El remitente "AEAT" es engañoso. El SMS aparece bajo el nombre "AEAT". No te fíes de esto; los atacantes utilizan técnicas de SMS spoofing para camuflar el número de teléfono real y hacer que en tu pantalla aparezca el nombre de una institución legítima, logrando incluso que el mensaje se cuele en el mismo hilo de SMS auténticos que hayas recibido antes.
- Falta de personalización y redacción extraña. El mensaje dice "dirigida a usted , que usted recibe en calidad de titular". Deja un espacio extraño antes de la coma y utiliza una redacción redundante y artificial. Además, las notificaciones reales de la administración pública suelen incluir tu nombre, apellidos o parte de tu NIF, nunca son tan genéricas.
Al pulsar en el enlace, nos redirige a una web fraudulenta que imita a la legítima, donde nos pedirán datos personales y bancarios para recibir una supuesta devolución.
La AEAT jamás te pedirá por SMS o correo electrónico información confidencial, números de tarjeta de crédito, cuentas bancarias, ni te enviará un enlace directo para cobrar una devolución de impuestos. Las devoluciones se tramitan exclusivamente a través de su sede electrónica oficial o mediante la declaración de la renta presentada formalmente.
Solución
Si has recibido un mensaje de texto (SMS), supuestamente de la AEAT, pero no has accedido al enlace fraudulento que acompaña al mensaje, te recomendamos que lo reportes a nuestro buzón de incidentes. Esto nos permitirá recopilar la información para prevenir que otros usuarios caigan en este tipo de fraude. Además, bloquea al remitente y elimina el mensaje.
En el caso de haber accedido al enlace y haber facilitado información personal y/o bancaria, te recomendamos que realices las siguientes recomendaciones:
- Ponte en contacto con la Línea de Ayuda en Ciberseguridad para que te asesoremos de forma especializada.
- Contacta con tu entidad bancaria para que puedan ayudarte a bloquear cualquier movimiento no autorizado y la tarjeta bancaria.
- Reúne y guarda todas las evidencias disponibles sobre el fraude, como capturas de pantalla o enlaces maliciosos. Puedes utilizar servicios de testigos online para validar la recopilación de pruebas, especialmente en este caso de smishing.
- Presenta una denuncia ante las Fuerzas y Cuerpos de Seguridad del Estado, aportando todas las pruebas recopiladas durante el proceso.
- Practica egosurfing de manera periódica hasta pasados unos meses para detectar si tu información personal ha sido expuesta o utilizada de forma indebida.
Si dudas sobre la legitimidad de una comunicación vía SMS o correo electrónico, verifica siempre antes de actuar por los canales oficiales, como la web de la Agencia Tributaria.
