Hacienda alerta: autónomos reciben mensajes falsos sobre deudas y sanciones en la renta

Hacienda alerta autónomos reciben mensajes falsos sobre deudas y sanciones en la renta

Hacienda alerta: autónomos reciben mensajes falsos sobre deudas y sanciones en la renta

La recta final de la campaña de la renta se ha convertido en uno de los momentos de mayor actividad para los ciberdelincuentes que suplantan a la Agencia Tributaria. Con el plazo de presentación cerrándose el 30 de junio de 2026, están aumentando los intentos de fraude a través de correos electrónicos, SMS e incluso llamadas en las que se reclaman supuestos pagos pendientes o se advierte de presuntas incidencias fiscales que requieren actuación inmediata.

El riesgo afecta especialmente a autónomos y pymes, que gestionan directamente buena parte de sus obligaciones tributarias y reciben con frecuencia comunicaciones reales de las administraciones. Esta familiaridad con los trámites fiscales puede convertirse en un factor de vulnerabilidad cuando los mensajes fraudulentos replican con fidelidad el formato oficial.

El cambio de estrategia: de prometer devoluciones a amenazar con deudas

Durante años, las campañas de phishing que suplantaban a Hacienda seguían un patrón reconocible: un mensaje que prometía una devolución pendiente y solicitaba datos bancarios para tramitarla. Ese esquema sigue existiendo, pero los expertos han detectado un cambio significativo en las últimas semanas de la campaña fiscal de 2026.

Ahora proliferan los mensajes que alertan de supuestas deudas tributarias, errores en la declaración ya presentada o pagos urgentes para evitar sanciones. El giro es importante: si antes el gancho era la promesa de un beneficio económico, ahora es el miedo a un perjuicio. Según David Blanch, director digital de Cdmon, empresa proveedora de servicios de alojamiento web que ha seguido estas campañas, este enfoque genera una urgencia que reduce la capacidad de análisis del receptor antes de actuar.

La estrategia resulta especialmente efectiva durante las últimas semanas de junio, cuando muchos contribuyentes ya conocen el resultado de su declaración. Quienes tienen que pagar son más receptivos a cualquier comunicación relacionada con obligaciones tributarias, y quienes esperan devolución temen que algún error pueda haberla bloqueado.

Cómo funcionan estas estafas: el recorrido del fraude

El proceso habitual sigue estos pasos:

  • El receptor recibe un correo electrónico, un SMS o una llamada que aparenta proceder de la Agencia Tributaria. El remitente, el número o la presentación visual imitan con detalle los canales oficiales.
  • El mensaje informa de una incidencia tributaria urgente: una deuda pendiente, un error detectado en la declaración o un pago que debe realizarse antes de una fecha concreta para evitar recargos o bloqueo de cuentas.
  • Se incluye un enlace que dirige a una página web visualmente casi idéntica a la Sede Electrónica de la Agencia Tributaria. El diseño, los logotipos y la estructura replican con precisión el portal oficial.
  • Una vez en esa página falsa, se solicita al usuario que introduzca sus credenciales de acceso (certificado electrónico, Cl@ve o datos del DNI), datos personales o información bancaria para resolver la supuesta incidencia.
  • Con esos datos, los delincuentes pueden acceder a la Sede Electrónica real del contribuyente, presentar declaraciones en su nombre, solicitar devoluciones fraudulentas o vaciar cuentas bancarias vinculadas.

Según los últimos datos del Instituto Nacional de Ciberseguridad (Incibe), en 2025 se gestionaron 122.223 incidentes de ciberseguridad en España, un 26% más que el año anterior. Los casos de phishing superaron los 25.000.

Por qué los autónomos son un objetivo prioritario

Los autónomos reúnen características que los convierten en un blanco atractivo para este tipo de fraudes. Realizan de forma habitual trámites con las administraciones públicas, reciben comunicaciones oficiales con frecuencia y suelen gestionar pagos, impuestos y notificaciones electrónicas de manera recurrente y directa, a menudo sin el filtro de un departamento de seguridad informática.

Además, durante la campaña de la renta la carga de gestión aumenta: hay que seguir el estado de la declaración, revisar el borrador, gestionar posibles pagos o devoluciones y atender comunicaciones del asesor. En ese contexto, un mensaje que alerta de una incidencia fiscal puede pasar fácilmente por una comunicación legítima más entre la docena de trámites pendientes.

Los canales reales de Hacienda: cómo comunica la Agencia Tributaria

La Agencia Tributaria ha reiterado en numerosas ocasiones los principios básicos sobre cómo se comunica con los contribuyentes. Conocerlos es la mejor forma de distinguir lo real de lo falso:

  • La AEAT nunca solicita información personal, claves de acceso ni datos bancarios por correo electrónico o SMS.
  • La Agencia Tributaria no remite enlaces para que los contribuyentes introduzcan datos confidenciales fuera de su sede electrónica oficial (sede.agenciatributaria.gob.es).
  • Las notificaciones tributarias oficiales se tramitan a través de la Dirección Electrónica Habilitada (DEH) o del sistema Cl@ve. El contribuyente recibe un aviso de que tiene una notificación pendiente, pero debe acceder por su cuenta a la Sede Electrónica para leerla, no a través de ningún enlace incluido en el aviso.
  • Las comunicaciones urgentes que impliquen plazos o pagos siempre pueden verificarse accediendo directamente a la Sede Electrónica, sin necesidad de seguir ningún enlace externo.

Cómo identificar un mensaje fraudulento: señales de alerta

Estas son las características más frecuentes de los mensajes de phishing que suplantan a Hacienda:

  • Urgencia extrema: el mensaje insta a actuar en horas o en pocas horas, bajo amenaza de sanción, bloqueo de cuenta o recargo automático.
  • Enlace incluido en el mensaje: Hacienda no envía enlaces para que el contribuyente acceda a trámites sensibles. Cualquier enlace en un correo o SMS que lleve a una pantalla de introducción de credenciales debe considerarse sospechoso.
  • Remitente con dominio inusual: la AEAT utiliza únicamente dominios @agenciatributaria.gob.es. Cualquier variante (agencia-tributaria.es, aeat-info.com, hacienda-online.es, etc.) es fraudulenta.
  • Errores gramaticales o de formato: aunque los mensajes fraudulentos son cada vez más sofisticados, todavía es habitual encontrar inconsistencias en el texto, errores de puntuación o un tono ligeramente diferente al oficial.
  • Solicitud de datos que Hacienda ya tiene: la Agencia Tributaria dispone de todos los datos identificativos del contribuyente. Nunca solicitará por email o SMS que se los vuelva a facilitar.

Qué hacer si recibes un mensaje sospechoso

Si recibes un correo, SMS o llamada que afirma ser de Hacienda y te genera dudas, el procedimiento recomendado es el siguiente:

  • No hagas clic en ningún enlace incluido en el mensaje ni descargues ningún archivo adjunto.
  • No llames a ningún número de teléfono que aparezca en el mensaje, especialmente si es un número de tarificación especial.
  • Accede directamente a la Sede Electrónica de la AEAT escribiendo la dirección en tu navegador (sede.agenciatributaria.gob.es) y comprueba si tienes notificaciones o avisos pendientes. Si no hay nada en tu buzón oficial, el mensaje era falso.
  • Si tienes dudas, consulta con tu asesor fiscal antes de realizar cualquier acción.
  • Si ya has clicado en un enlace o introducido datos, cambia inmediatamente las contraseñas afectadas y contacta con tu banco si facilitaste información bancaria. Puedes reportar el incidente al Incibe a través del teléfono de ayuda en ciberseguridad 017.

La regla más sencilla es también la más fiable: ante cualquier comunicación fiscal que genere urgencia y pida actuar a través de un enlace, la primera acción siempre debe ser acceder directamente a la Sede Electrónica por tu cuenta, sin usar el enlace recibido. Si el problema es real, estará ahí. Si no aparece nada, el mensaje era fraudulento.

Preguntas frecuentes sobre el phishing de Hacienda y las estafas fiscales

¿Cómo sé si un correo de Hacienda es real o falso?

La AEAT solo utiliza el dominio @agenciatributaria.gob.es en sus comunicaciones por correo electrónico. Cualquier otro dominio es fraudulento. Además, Hacienda nunca incluye enlaces para introducir claves ni solicita datos bancarios por email. Ante la duda, accede directamente a la Sede Electrónica escribiendo la dirección en el navegador.

¿La Agencia Tributaria envía SMS?

Sí, pero únicamente como aviso de notificación pendiente, sin incluir enlaces para tramitar nada. Cualquier SMS que incluya un enlace para introducir datos o realizar un pago debe considerarse sospechoso. Las gestiones siempre deben realizarse accediendo a la Sede Electrónica por cuenta propia.

¿Qué pasa si he introducido mis datos en una página falsa de Hacienda?

Debes actuar de inmediato: cambia la contraseña de Cl@ve y cualquier otra credencial que hayas facilitado, revisa tu buzón de la Sede Electrónica para comprobar si se han realizado gestiones no autorizadas, y contacta con tu banco si facilitaste datos bancarios. Reporta el incidente al Incibe llamando al 017.

¿Por qué los autónomos son especialmente vulnerables a este tipo de fraudes?

Porque realizan de forma habitual trámites fiscales, reciben comunicaciones reales de Hacienda con frecuencia y, durante la campaña de la renta, gestionan una mayor carga de obligaciones. Esta familiaridad con los trámites puede hacer que un mensaje fraudulento pase inadvertido entre la documentación legítima.

¿Cuál es la diferencia entre el phishing por email y el smishing por SMS?

El phishing se realiza por correo electrónico y el smishing por mensaje de texto (SMS). Ambos buscan suplantar a un organismo oficial para obtener datos o credenciales del receptor. El smishing ha aumentado en los últimos años porque los usuarios tienden a confiar más en los SMS que en los correos electrónicos como canal de comunicación oficial.

¿Dónde puedo reportar un intento de estafa que suplante a Hacienda?

Puedes reportarlo al Incibe a través del teléfono 017 (gratuito, de lunes a domingo de 8h a 23h) o a través del formulario de la web incibe.es. También puedes notificarlo directamente a la Agencia Tributaria a través de su Sede Electrónica.