Alerta del Incibe: una nueva estafa que suplanta a la Agencia Tributaria pone en riesgo miles de credenciales

Los ciberataques se han convertido en una amenaza cotidiana. Solo el año pasado, el Instituto Nacional de Ciberseguridad (Incibe) gestionó 122.223 incidentes, un 26% más que en 2024. En la práctica, esto se traduce en una media de 335 diarios, más de uno cada cinco minutos, lo que da cuenta de la magnitud y persistencia del problema.

El phishing lideró en 2025 los fraudes online con 25.133 casos, como correos falsos simulando ser bancos o empresas conocidas para robar datos personales. Este 2026, no iba a ser distinto.

La Oficina de Seguridad del Internauta (OSI) del Incibe ha alertado de una nueva campaña de phishing que suplanta a la Agencia Tributaria para hacerse con las credenciales personales de los usuarios.

El fraude se basa en el envío de correos electrónicos que simulan notificaciones oficiales para alertar al destinatario de una supuesta reclamación pendiente. En el mensaje se informa de la existencia de una nueva notificación electrónica y se incluye un enlace para acceder a la plataforma y descargarla. Sin embargo, al hacer clic en ese enlace, el usuario es redirigido a una página web fraudulenta.

Las notificaciones están bien redactadas y cuidadosamente diseñadas para imitar las comunicaciones habituales de la Agencia Tributaria, lo que aumenta su credibilidad. No obstante, un elemento clave para detectar el engaño es que la dirección del remitente no guarda ninguna relación con el dominio oficial de la AEAT: "agenciatributaria.gob.es".

El asunto más habitual de estos mensajes fraudulentos es: "Aviso puesta a disposición de nueva notificación electrónica REF-XXXXXXXX", aunque desde el Instituto Nacional de Ciberseguridad (Incibe) no descartan la existencia de otros correos con asuntos distintos.

Además de suplantar la web de la Agencia Tributaria, también se han identificado campañas similares que imitan la plataforma de notificaciones Dirección Electrónica Habilitada Única (DEHú), ampliando así el alcance del fraude y el riesgo para los usuarios.

¿Cómo se debe actuar en estos casos?

Si una persona ha recibido un correo electrónico que aparenta proceder de la Agencia Tributaria pero no ha accedido al enlace fraudulento, lo más recomendable es reenviarlo al buzón de incidentes del instituto para evitar que otros usuarios caigan en el engaño. A continuación, conviene bloquear al remitente y eliminar el mensaje de la bandeja de entrada.

En el caso de que se haya accedido al enlace y facilitado información personal, el Incibe recomienda contactar con su Línea de Ayuda en Ciberseguridad para recibir asesoramiento personalizado y evaluar los pasos a seguir según cada situación.

Además, aconseja recopilar y conservar todas las evidencias del fraude, como capturas de pantalla, correos recibidos o enlaces maliciosos, ya que serán necesarias para presentar una denuncia ante las Fuerzas y Cuerpos de Seguridad del Estado. También se deberán cambiar las credenciales de acceso si se utilizan las mismas contraseñas en otros servicios y reforzar la seguridad de las cuentas, preferiblemente con autenticación en dos factores.

Por último, durante los meses posteriores al incidente, se recomienda practicar egosurfing de forma periódica para comprobar si los datos personales han sido expuestos o utilizados de manera indebida.

"Si dudas sobre la legitimidad de una comunicación, verifica siempre antes de actuar por los canales oficiales, como la web de la Agencia Tributaria", concluye la OSI.