OneCyber

Menú
Menú
Menú

BLOG

Campaña de la Renta 2025 y las estafas electrónicas que acechan a los contribuyentes

Campaña de la Renta 2025 y las estafas electrónicas que acechan a los contribuyentes

La campaña arranca y los ciberdelincuentes ya están preparados

Se abre oficialmente la campaña de la Renta 2025. Hasta el 30 de junio, casi 25 millones de contribuyentes presentarán su declaración, la mayoría por vía telemática. Y los ciberdelincuentes lo saben perfectamente: llevan meses preparándose.

No es una suposición. Check Point Research ha documentado que entre septiembre de 2025 y febrero de 2026 se registraron cientos de nuevos dominios cada mes con palabras clave relacionadas con impuestos y autoridades fiscales.

El dato más preocupante: uno de cada quince dominios recién registrados con temática fiscal ya ha sido clasificado como malicioso o sospechoso. Esta preparación anticipada confirma que no estamos ante oportunistas improvisados, sino ante operaciones planificadas con meses de antelación.

A esto se suma un contexto ya de por sí alarmante. En 2024, el INCIBE gestionó más de 97.000 incidentes de ciberseguridad, de los cuales más de 38.000 estaban relacionados con fraude online y phishing. Y según datos del propio INCIBE, los casos de fraude por phishing y smishing crecieron un 25% en 2025.

En este artículo repasamos las estafas electrónicas más frecuentes durante la campaña de la Renta, cómo han evolucionado este año con la ayuda de la inteligencia artificial, y qué puedes hacer para no caer en ellas.

Las 7 estafas más frecuentes durante la campaña de la Renta

1. El email de la “notificación pendiente” (Phishing clásico)

Es el ataque más recurrente año tras año y la base de la mayoría de las campañas. Recibes un correo aparentemente enviado por la Agencia Tributaria con asuntos como “Aviso puesta a disposición de nueva notificación electrónica REF-XXXXXX”, “NOTIFICACIÓN FINAL: QUEDAN 48 HORAS PARA RESPONDER” o “Acción fiscal”. El email incluye un enlace que redirige a una réplica casi perfecta de la sede electrónica de la AEAT, donde te piden tus credenciales de acceso (Cl@ve, DNI, contraseña o datos bancarios).

La propia AEAT ya ha publicado en su web ejemplos de mensajes fraudulentos detectados en 2026 que suplantan su imagen, incluyendo correos que redirigen a formularios falsos solicitando el correo electrónico y su contraseña.

Novedad 2026: Check Point Research ha detectado campañas que usan la dirección falsificada noreply@agenciatributaria.notificaciones.gob.es con el asunto “AEAT – Notificación 2026”, adjuntando archivos ejecutables maliciosos clasificados como troyanos tipo downloader. Una vez ejecutados, descargan keyloggers o ladrones de credenciales.

Algunos correos incluso utilizan el nombre de la directora general de la AEAT, Soledad Fernández Doctor, para dar mayor credibilidad. Desde Hacienda han sido claros: ni la directora ni ningún funcionario firma correos con ese tipo de redacción.

2. El SMS de la “devolución pendiente” (Smishing)

“AGENCIA TRIBUTARIA: Se ha ordenado el pago de 411,00 de devolución del IRPF de la Renta. Más información en la web: [enlace]”. Este tipo de SMS circula cada campaña con pequeñas variaciones en los importes y la redacción. El objetivo es el mismo: llevarte a una web falsa donde introduces tus datos bancarios con la excusa de tramitar una supuesta devolución.

Las señales son claras si te fijas: errores gramaticales, ausencia de divisa, enlaces acortados o con dominios sospechosos, y un remitente que no es un número oficial. Pero con la ayuda de la IA generativa, estos mensajes son cada vez más creíbles, con importes ajustados, lenguaje natural y múltiples variantes diseñadas para evadir los filtros de las operadoras.

Recuerda siempre: la Agencia Tributaria no comunica devoluciones mediante SMS con enlaces.

3. La llamada del “funcionario de Hacienda” (Vishing)

El vishing es la estafa de más rápido crecimiento, con un aumento del 442% en 2025 (Fuente IBM).

Durante la campaña de la Renta, proliferan las llamadas de supuestos agentes de la Agencia Tributaria que ofrecen ayuda con la declaración, alertan de incidencias ficticias o solicitan datos para “confirmar” una devolución.

La inteligencia artificial ha cambiado las reglas aquí también. Los atacantes pueden generar voces más naturales e incluso simular acentos o identidades concretas. Cuando alguien te llama con seguridad, usando terminología fiscal correcta y un tono profesional, es fácil bajar la guardia.

La regla es sencilla: la Agencia Tributaria solo llama si el contribuyente ha solicitado previamente cita telefónica. Cualquier llamada no solicitada que pide datos personales o bancarios es fraudulenta.

4. La web clonada de la AEAT o DEHú (Pharming)

Los ciberdelincuentes no solo replican la sede electrónica de la Agencia Tributaria. Este año también están clonando la plataforma DEHú (Dirección Electrónica Habilitada Única) (Fuente La Vanguardia), el sistema oficial de notificaciones administrativas. Estas réplicas son extraordinariamente fieles: copian diseño, estructura, textos legales e incluso simulan mensajes de error y tiempos de carga para parecer más auténticas.

La AEAT ha detectado en 2026 una campaña específica que suplanta a DEHú con correos sobre supuestas “facturas electrónicas tributarias” con enlaces a dehu.redsara.es pero con caracteres alterados (punto y coma en lugar de puntos, por ejemplo). Fíjate siempre en la URL real antes de introducir cualquier dato.

5. Las apps falsas de la Renta

Con el auge de la tramitación móvil, han aparecido aplicaciones fraudulentas que se hacen pasar por la app oficial de la AEAT. Se distribuyen mediante enlaces en redes sociales, mensajes de WhatsApp o incluso anuncios en buscadores. Al instalarlas, solicitan permisos excesivos y capturan credenciales, contactos y datos bancarios.

La única app oficial es la de la Agencia Tributaria, disponible en Google Play y App Store. Cualquier otra app que prometa “acelerar tu devolución” o “maximizar tu declaración” es, como mínimo, sospechosa.

6. El fraude del asesor fiscal online

Anuncios en redes sociales y buscadores que ofrecen servicios de “asesoría fiscal online” a precios muy bajos o incluso gratuitos. La víctima comparte su borrador, datos personales, números de cuenta y credenciales de acceso a la sede electrónica. Con esa información, los estafadores pueden presentar declaraciones fraudulentas, solicitar devoluciones a cuentas controladas por ellos o directamente realizar suplantaciones de identidad.

7. La suplantación de identidad vinculada al juego online

Una estafa menos conocida, pero en aumento. Al revisar el borrador de la Renta, algunos contribuyentes descubren ingresos por actividades de juego online que no reconocen como propios. Alguien ha utilizado sus datos para registrarse en plataformas de apuestas. El Ministerio de Consumo ha reactivado el Protocolo de Actuación para Contribuyentes Suplantados (PACS) para esta campaña 2026, con cifras que muestran un incremento del 12% en denuncias por este tipo de suplantación.

El factor IA: por qué las estafas de 2026 son más peligrosas

Si hay un elemento que marca la diferencia este año es la inteligencia artificial generativa aplicada al fraude. Los correos de phishing ya no tienen errores ortográficos evidentes. Los SMS están redactados con lenguaje administrativo impecable. Las webs clonadas son prácticamente indistinguibles de las originales. Y las llamadas de vishing utilizan voces generadas por IA que resultan naturales y convincentes.

Según el Informe de Amenazas 2025 de Europol, más del 36% de los incidentes de seguridad reportados por empresas en Europa estuvieron relacionados con phishing, un aumento del 18% respecto a 2024. La IA ha eliminado la que era la principal debilidad de los estafadores: los errores humanos en la redacción. Y ha convertido cada intento de fraude en una trampa más creíble.

¿Qué hacer si caes en una de estas estafas?

Si ya has proporcionado datos, actúa con rapidez:

  • Contacta con tu banco inmediatamente. Informa de la situación para bloquear tarjetas o cuentas comprometidas. Recuerda que la normativa europea establece que el banco es custodio de tu dinero: salvo negligencia grave demostrable, la entidad debe reintegrar las cantidades sustraídas por fraude.
  • Cambia todas tus contraseñas. Empezando por la del correo electrónico que proporcionaste y las de los servicios donde uses la misma contraseña. Activa la autenticación en dos pasos en todos los servicios que lo permitan.
  • Denuncia ante la Policía Nacional o Guardia Civil. Recopila todas las evidencias: capturas de pantalla, correos recibidos, URLs, mensajes SMS y extractos bancarios.
  • Reporta al INCIBE: Envía el correo o SMS fraudulento a incidencias@incibe-cert.es. Esto alimenta los sistemas de detección temprana y protege a otros usuarios.
  • Practica egosurfing durante los meses siguientes: Busca tu nombre y datos en Internet para detectar si tu información ha sido expuesta o utilizada de forma indebida.
  • Dato fiscal importante: Hacienda permite desde 2025 que las pérdidas por phishing, vishing y smishing se incluyan como pérdida patrimonial en la declaración del IRPF, siempre que se acrediten mediante denuncia y resolución judicial. Si has sido víctima, consulta con tu asesor fiscal cómo incluirlo en tu declaración.

10 reglas de oro para una declaración segura

  1. La AEAT nunca pide datos bancarios por email ni SMS: Nunca. Ningún correo legítimo de Hacienda te pedirá el número de tu tarjeta para tramitar una devolución.
  2. Verifica siempre la URL: La dirección legítima de la sede electrónica es sede.agenciatributaria.gob.es. Cualquier variación es sospechosa.
  3. No hagas clic en enlaces de correos o SMS: Si necesitas acceder a la AEAT, escribe la dirección directamente en tu navegador o usa la app oficial.
  4. Usa Cl@ve o certificado digital: Evita acceder con sistemas de identificación menos seguros. Si usas número de referencia, recuerda que las referencias anteriores caducaron el 11 de marzo y debes generar una nueva con la casilla 505 de la Renta 2024.
  5. Desconfía de la urgencia: “Quedan 48 horas”, “última oportunidad”, “acción inmediata requerida”. La urgencia es la herramienta número uno de los estafadores.
  6. Verifica las llamadas telefónicas: Si alguien dice llamar de Hacienda y tú no has pedido cita previa, cuelga y llama al número oficial de la AEAT: 901 33 55 33 o 91 554 87 70.
  7. Descarga la app solo desde fuentes oficiales: Google Play y App Store. Nunca desde enlaces recibidos por mensaje.
  8. No compartas tu borrador con desconocidos: Tu borrador contiene toda tu vida fiscal: ingresos, patrimonio, situación familiar, cuentas bancarias.
  9. Mantén tu software actualizado: Navegador, sistema operativo y antivirus al día reducen significativamente el riesgo de infección por malware.
  10. Ante la duda, verifica: Llama al INCIBE (017, gratuito y confidencial) o consulta la sección de phishing de la web de la AEAT antes de actuar.

Tu mejor defensa frente a los estafadores

La campaña de la Renta es un caldo de cultivo perfecto para los ciberdelincuentes: millones de personas realizando trámites sensibles en un plazo limitado, con la ansiedad de hacerlo correctamente y la expectativa de una devolución. Los atacantes explotan cada una de estas emociones con campañas cada vez más sofisticadas y difíciles de detectar.

La buena noticia es que la inmensa mayoría de estas estafas se pueden evitar con información y sentido común. Ninguna administración pública te pedirá datos bancarios por email. Ninguna devolución requiere que hagas clic en un enlace de un SMS. Y ningún funcionario te llamará sin cita previa para pedirte información personal.

Infórmate, desconfía de lo urgente e inesperado, y haz tu declaración tranquilamente desde los canales oficiales. Para una protección completa más allá de la campaña de la Renta, descubre las soluciones de ciberseguridad de OneCyber. Tu mejor escudo es saber cómo operan los estafadores.

¿Tu empresa está preparada si sufre un ciberataque?

Haz nuestro Test de Madurez y descubre los puntos de mejora de la seguridad de tu empresa

Hacer test