BeValk Logo
estafas

Estafas de Hacienda durante la renta 2025: así funcionan y cómo protegerte

María Aperador

18/05/2026

12 min

Estafas de Hacienda durante la renta 2025: así funcionan y cómo protegerte

La campaña de la renta 2025 ya ha empezado. Y con ella, la otra campaña: la de los ciberdelincuentes.

Soy María Aperador, criminóloga, y llevo años analizando cómo funcionan las estafas que suplantan a organismos públicos. Lo que te voy a contar hoy no es teoría: es lo que estamos viendo en tiempo real en BeValk, donde en las últimas semanas hemos detectado más de 40 dominios nuevos que imitan a la Agencia Tributaria.

Según datos del INCIBE, durante la campaña de la renta 2024 los intentos de phishing suplantando a Hacienda aumentaron un 60% respecto al resto del año. Y cada año se superan. En 2025 va a ser peor, porque los estafadores tienen una herramienta nueva: la inteligencia artificial generativa, que les permite crear mensajes sin faltas de ortografía y webs clon casi perfectas.

Si estás leyendo esto en abril, mayo o junio de 2026, estás en plena temporada de caza. Y eres la presa.

Por qué Hacienda es la tapadera perfecta para los estafadores

No es casualidad que los ciberdelincuentes elijan la AEAT. Como criminóloga, te explico por qué Hacienda reúne las condiciones ideales para una estafa masiva:

  • Universalidad. Todo el mundo tiene relación con Hacienda. Da igual que seas asalariado, autónomo, pensionista o estudiante con un trabajo de verano
  • Emociones extremas. La palabra «devolución» activa la codicia. La palabra «requerimiento» activa el miedo. Ambas nublan tu juicio
  • Fechas predecibles. Los estafadores saben que entre abril y junio estás pendiente de tu declaración. Es como pescar en un río lleno de peces
  • Desconocimiento. La mayoría de la gente no sabe cómo se comunica realmente Hacienda. Y esa ignorancia es el hueco por el que entran

Es el mismo patrón que vemos con los SMS falsos de la DGT: un organismo oficial que todo el mundo conoce, un mensaje urgente y un enlace fraudulento. Pero la renta tiene un ingrediente extra: dinero real que esperas cobrar.

El modus operandi es el siguiente

Esto es lo que ningún artículo de INCIBE ni de Xataka te explica: cómo funciona la operación completa desde el lado del atacante. Lo desgloso paso a paso porque entender al estafador es la mejor defensa.

Fase 1: Preparación (febrero-marzo)

Los ciberdelincuentes compran dominios que imitan a la AEAT. No uno: decenas. En BeValk hemos identificado patrones como:

Fíjate en el patrón: siempre usan palabras como «aeat», «agenciatributaria», «sede» o «hacienda» para que el dominio parezca oficial a primera vista. Pero el dominio real de Hacienda siempre termina en .gob.es.

Fase 2: Clonación de la web (marzo)

Montan páginas idénticas a la sede electrónica de la AEAT. Con inteligencia artificial generativa, ahora pueden clonar una web en horas. Incluyen logos oficiales, certificados SSL (el candado verde que mucha gente confunde con «página segura») y formularios que imitan a los reales.

Fase 3: Disparo masivo (abril-junio)

Envían millones de SMS y emails. No eligen víctimas concretas: disparan a ciegas, sabiendo que en esas fechas casi todo el mundo está pensando en la renta. Es phishing masivo, no dirigido.

Fase 4: Cosecha

Cuando alguien pulsa el enlace e introduce sus datos bancarios o credenciales, los ciberdelincuentes los capturan en tiempo real. En muchos casos, el dinero sale de la cuenta en menos de 24 horas.

Los 4 mensajes falsos que están circulando ahora mismo

Estos son ejemplos basados en las campañas reales que estamos detectando. Si recibes algo parecido, ya sabes que es falso.

1. El SMS de la «devolución pendiente»

«AEAT: Se ha aprobado una devolución de 345,76 EUR a su favor. Verifique su cuenta bancaria para tramitar el ingreso: https://agenciatributaria-es.com/devolucion»

Lo que delata a esta estafa: - El dominio agenciatributaria-es.com no es el oficial - La cantidad concreta (345,76 EUR) está diseñada para sonar creíble - Hacienda no pide verificar cuentas bancarias por SMS. Nunca

2. El email del «requerimiento urgente» con adjunto

Asunto: Requerimiento de documentación - Expediente 2025/IRPF/29481

«Adjuntamos requerimiento con el detalle de la documentación que debe aportar en un plazo de 10 días hábiles. [Descargar requerimiento.pdf]»

Lo que delata a esta estafa: - El remitente aeat-gobierno.es es falso. El email real termina en @correo.aeat.es - Ese PDF contiene malware que infecta tu ordenador - Los «10 días hábiles» te presionan para actuar sin pensar

3. El SMS del «certificado digital caducado»

«Agencia Tributaria: Su certificado digital ha caducado. Renuévelo antes del 1 de abril para poder presentar su declaración: https://sede-aeat.es-certificados.com/renovar»

Lo que delata a esta estafa: - La AEAT no gestiona certificados digitales. Eso lo hace la FNMT - El dominio es-certificados.com es inventado - Aparece justo antes de la campaña para maximizar víctimas

4. La llamada del «inspector de Hacienda»

«Buenos días, le llamo de la Agencia Tributaria. Hemos detectado una incidencia en su declaración de la renta. Necesitamos verificar sus datos bancarios para procesar la devolución.»

Lo que delata a esta estafa: - Hacienda no hace llamadas para pedir datos bancarios - Un inspector de verdad te cita en la delegación o te notifica por sede electrónica - Usan un tono profesional y tranquilo para generar confianza

Si al recibir cualquiera de estos mensajes quieres verificar si el enlace es real, consulta nuestra guía sobre cómo saber si un enlace es seguro antes de hacer clic. Ahí explico paso a paso cómo comprobar un dominio.

Cómo se comunica Hacienda de verdad: la tabla que necesitas guardar

Esta es la información que los ciberdelincuentes esperan que no conozcas. Si la tienes clara, eres prácticamente inmune:

La regla de oro: si Hacienda necesita algo de ti, te lo comunica por la sede electrónica o por correo postal certificado. Cualquier otra vía es sospechosa.

Las devoluciones de la renta se ingresan automáticamente en la cuenta que indicaste al declarar. No necesitas «verificar» nada ni «confirmar» datos. Si te corresponde una devolución, llega sola.

Lo que no te cuentan: por qué la IA hace estas estafas más peligrosas en 2025

Hasta 2024, muchas estafas de Hacienda se podían detectar por las faltas de ortografía o por un diseño cutre de la web falsa. En 2025 eso ha cambiado.

Con herramientas de inteligencia artificial generativa, los ciberdelincuentes ahora pueden:

  • Escribir SMS y emails sin faltas de ortografía, en un castellano perfecto
  • Clonar webs de la AEAT con un nivel de detalle que antes llevaba semanas y ahora lleva horas
  • Personalizar mensajes con tu nombre, tu NIF o tu provincia (datos obtenidos de filtraciones previas)
  • Generar llamadas con voz sintética que imita el tono profesional de un funcionario

Esto significa que los «trucos clásicos» para detectar phishing (buscar faltas de ortografía, fijarse en el diseño) ya no son suficientes. El único indicador fiable es el dominio del enlace y el canal de comunicación.

Por eso la regla de oro que te he dado arriba es tan importante: no analices el contenido del mensaje. Analiza de dónde viene y qué te pide hacer.

El problema real: tres meses recibiendo mensajes

Ahora ya sabes cómo funcionan estas estafas. Tienes la regla de oro. Conoces los ejemplos. Pero esto no acaba aquí.

Entre abril y junio vas a recibir SMS de «Hacienda». Varios. Algunos serán más elaborados que los ejemplos de arriba. Y no solo tú: tus padres, tu pareja, tus compañeros de trabajo. Son millones de mensajes lanzados al azar, cada día, durante tres meses.

¿Vas a analizar cada enlace manualmente? ¿Vas a comprobar cada dominio letra por letra? ¿Y tus padres? ¿Ellos van a distinguir agenciatributaria.gob.es de agenciatributaria-es.com?

Saber detectar una estafa es el primer paso. Pero estar protegido durante tres meses de bombardeo constante requiere algo más que conocimiento: requiere una herramienta que vigile por ti.

BeValk analiza automáticamente los enlaces que recibes por SMS. Sin que tengas que copiar, pegar ni comprobar dominios. Si te llega un SMS falso de Hacienda, te avisa antes de que hagas clic. Y si no estás seguro de un mensaje, le preguntas a MarIA: «Me ha llegado un SMS de Hacienda, ¿es real?» y te lo confirma en segundos.

Más de 1.100 personas ya no piensan en esto. La app piensa por ellas.

Descarga BeValk gratis y llega a la campaña de la renta protegido.

Qué hacer si ya has caído

Si ya has pulsado un enlace o has dado tus datos, no pierdas tiempo. Consulta nuestra guía paso a paso sobre cómo denunciar una estafa online en España y cómo recuperar tu dinero después de una estafa.

Preguntas frecuentes

¿Hacienda envía algún tipo de SMS o email?

Sí, puede enviar avisos informativos: recordatorio de plazos, confirmación de que tu declaración se ha presentado correctamente o aviso de que tienes una notificación en la sede electrónica. Pero estos mensajes nunca incluyen enlaces para hacer clic, nunca piden datos bancarios y nunca traen archivos adjuntos para descargar.

¿Cómo consulto si tengo notificaciones reales de Hacienda?

Accede directamente a sede.agenciatributaria.gob.es tecleando la dirección tú mismo en el navegador (nunca desde un enlace que te hayan enviado). Entra con tu certificado digital, DNI electrónico o Cl@ve. También puedes revisar tu buzón en DEHú (dehu.redsara.es). Si hay algo pendiente de verdad, aparecerá ahí.

¿Pueden saber que estoy esperando una devolución?

No necesitan saberlo. Envían millones de mensajes al azar durante la campaña, sabiendo que un gran porcentaje de la población está pendiente de su declaración. No te han elegido a ti: es phishing masivo. Aunque en algunos casos sí pueden tener tu nombre o NIF de filtraciones de datos anteriores, lo que hace el mensaje más convincente.

¿El candado verde del navegador significa que la página es segura?

No. El candado (certificado SSL) solo significa que la conexión está cifrada, no que la página sea legítima. Los ciberdelincuentes también instalan certificados SSL en sus webs falsas. De hecho, más del 80% de las páginas de phishing actuales tienen candado verde. Lo que debes comprobar es el dominio, no el candado.

¿Qué pasa si he descargado un archivo adjunto de un email falso de Hacienda?

Si has abierto un PDF o archivo adjunto de un email sospechoso, tu dispositivo puede estar infectado con malware. Desconecta el dispositivo de internet, no accedas a tu banca online desde ese equipo y ejecuta un análisis antivirus completo. Si has introducido datos bancarios después, contacta con tu banco inmediatamente para bloquear movimientos.

Última actualización: abril 2026