Recibir un correo que menciona una “reclamación a Hacienda” ya pone en tensión a cualquiera, y eso lo saben muy bien los ciberdelincuentes. Aprovechando ese miedo, están enviando mensajes que parecen oficiales para que entres en una supuesta notificación electrónica. El problema es que, detrás de ese mensaje tan serio y bien maquetado, puede esconderse un fraude diseñado para robar tus claves.
En esta campaña, los estafadores están suplantando a la Agencia Tributaria para quedarse con tus datos de acceso a la Dirección Electrónica Habilitada Única (DEHÚ). El Instituto Nacional de Ciberseguridad (INCIBE) ha emitido una alerta sobre este ataque de phishing, precisamente para que no caigas en la trampa. Vamos a ver, paso a paso, cómo funciona, cómo detectarlo y qué hacer si ya has pinchado en el enlace.
¿Qué es este phishing que suplanta a la Agencia Tributaria?
INCIBE ha avisado de una campaña de phishing, es decir, una estafa en la que los delincuentes envían correos electrónicos falsos haciéndose pasar por una entidad oficial para que la víctima les entregue sus datos. En este caso, la entidad suplantada es la Agencia Estatal de Administración Tributaria (AEAT), y el objetivo son las claves que dan acceso a la Dirección Electrónica Habilitada Única (DEHÚ), el servicio de notificaciones electrónicas de la Administración.
El correo fraudulento te informa de que tienes una notificación electrónica relacionada con una reclamación, e incluye un enlace para que supuestamente la consultes. Ese enlace lleva a una página fraudulenta que imita el diseño oficial tanto de la DEHÚ como de la propia AEAT. A simple vista, el mensaje parece totalmente legítimo por su redacción y maquetación, pero la dirección del remitente no tiene relación con el dominio oficial “agenciatributaria.gob.es”, una primera señal de fraude. Entre los asuntos detectados figura, por ejemplo, “Aviso puesta a disposición de nueva notificación electrónica REF XXXXXXXX”, aunque pueden existir variantes.
Para que puedas identificar mejor este tipo de mensajes, aquí tienes un resumen de los elementos clave del correo fraudulento y lo que deberías revisar en cada caso:
| Elemento del correo | Qué debes comprobar |
|---|---|
| Remitente | Que la dirección tenga relación con el dominio oficial “agenciatributaria.gob.es”. Si no se parece, sospecha. |
| Asunto | Mensajes del tipo “Aviso puesta a disposición de nueva notificación electrónica REF XXXXXXXX” u otros muy similares que generen urgencia. |
| Cuerpo del mensaje | Que te avise de una supuesta notificación electrónica sobre una reclamación y te empuje a pinchar en un enlace. |
| Enlace incluido | Que la web a la que te lleva no sea realmente la oficial, aunque el diseño imite a la DEHÚ y a la AEAT. |
Aunque el correo parezca “muy profesional”, si la dirección del remitente no encaja con la oficial o el enlace te lleva a una página sospechosa, lo más prudente es no seguir adelante.
¿Qué riesgo tiene este fraude para tus datos fiscales?
El objetivo central de los ciberdelincuentes es engañarte para que introduzcas tus credenciales de acceso a la DEHÚ. Esas credenciales son las que te permiten entrar en servicios electrónicos vinculados a trámites fiscales y otras gestiones con la Administración. Si las entregas en una página falsa, los atacantes pasan a tener vía libre para acceder a esa información como si fueras tú.
Esto supone un riesgo serio para tu seguridad digital y para la protección de tus datos personales. Al acceder a los servicios electrónicos con tus credenciales, los delincuentes pueden consultar tus datos, ver información sensible y hacer un uso indebido de ella. En resumen, no es solo un susto puntual: es un ataque que compromete directamente tu privacidad.
Cómo saber si un correo de Hacienda es falso
Que te llegue un correo de Hacienda ya impone bastante como para encima tener que pensar si es verdadero o no. Sin embargo, en estos casos es mejor desconfiar un poco de entrada y revisar todo con calma. Hay una serie de pasos sencillos que te pueden ayudar a decidir si un mensaje es legítimo o si, en realidad, estás ante uno de estos intentos de phishing.
Estos son los pasos básicos que deberías seguir si recibes un correo avisándote de una notificación electrónica relacionada con una reclamación a Hacienda:
- No pinches en el enlace del correo, por muy urgente que parezca el aviso.
- Revisa la dirección del remitente y comprueba si guarda relación con el dominio oficial “agenciatributaria.gob.es”.
- No facilites nunca identificadores, contraseñas ni otros datos personales directamente desde el enlace del correo.
- Reenvía el mensaje al buzón de incidentes de INCIBE para que puedan analizarlo y actuar contra la campaña fraudulenta.
- Bloquea al emisor del correo y elimínalo de tu bandeja de entrada para evitar futuras tentativas desde esa dirección.
- Si sospechas que realmente podrías tener una notificación, accede tú directamente a la web de la Agencia Tributaria, escribiendo la dirección en el navegador, nunca desde enlaces recibidos por correo.
Además, recuerda que las gestiones con la Administración Pública solo se realizan a través de sistemas oficiales de identificación como Cl@ve permanente o Cl@ve móvil, certificado digital o DNI electrónico, es decir, herramientas seguras para demostrar quién eres en internet. Y, muy importante, el proceso lo debes iniciar tú: no hay necesidad de entrar en tus datos desde un enlace inesperado que aparece en tu bandeja de entrada.
¿Qué hacer si ya has caído en el phishing de la Agencia Tributaria?
Si ya has pinchado en el enlace o has facilitado tus datos en la página fraudulenta, no eres la primera persona a la que le pasa algo así, ni será la última. Lo importante es reaccionar rápido y seguir una serie de pasos para reducir daños y proteger tus derechos. Todavía puedes hacer mucho para limitar el impacto del fraude.
En primer lugar, contacta con la Línea de Ayuda en Ciberseguridad en el teléfono 017, donde pueden orientarte sobre las medidas concretas a tomar en tu caso. Después, recopila y conserva todas las evidencias: capturas de pantalla del correo y de la web fraudulenta, enlaces, mensajes y cualquier otro detalle que pueda servir como prueba.
Con toda esa información, presenta una denuncia ante la policía. La denuncia es esencial para garantizarte la protección legal si se llegaran a utilizar tus datos para cometer algún delito y para que las fuerzas de seguridad puedan investigar los hechos. No es solo un trámite más: es una pieza clave para defenderte y para frenar a los delincuentes.
Por supuesto, no olvides cambiar las credenciales de acceso que puedas haber introducido en la web falsa. Utiliza contraseñas únicas para cada servicio y activa la doble autenticación siempre que sea posible, de modo que, incluso si alguien consigue tu contraseña, lo tenga mucho más difícil para entrar en tus cuentas.
Cómo vigilar tus datos en internet y prevenir futuros ataques
Además de reaccionar ante este caso concreto, es aconsejable vigilar de vez en cuando tu propia huella digital. Una forma sencilla de hacerlo es buscar tu nombre en internet, lo que se conoce como egosurfing, para comprobar si tu información personal está circulando por la red sin que tú lo sepas. Si ves datos tuyos publicados en lugares inesperados, puede ser una señal de que han sido utilizados sin tu consentimiento.
También es buena idea mantenerse al día sobre nuevas campañas de fraude. Existen otras alertas, avisos y consejos para protegerte del phishing y de otras ciberamenazas que puedes consultar para reforzar tu seguridad digital y la de quienes te rodean. En definitiva, cuanto más conozcas este tipo de engaños, más difícil será que los ciberdelincuentes consigan pillarte desprevenido.