BeValk Logo
phishing hacienda

Estafas de Hacienda y la Agencia Tributaria: Phishing en la declaración de la Renta

María Aperador

19/03/2026

12 min

Estafas de Hacienda y la Agencia Tributaria: Phishing en la declaración de la Renta

«La Agencia Tributaria ha ordenado el pago de 389,40 EUR a su favor. Para recibir la devolución, verifique sus datos bancarios en el siguiente enlace.» Si te ha llegado un SMS o un email como este, no hagas clic. Es una estafa.

Cada año, entre abril y junio, millones de españoles presentan la declaración de la renta. Y cada año, los ciberdelincuentes lanzan su propia «campaña de la renta»: oleadas masivas de SMS, emails y llamadas falsas suplantando a Hacienda y la Agencia Tributaria. Según datos del INCIBE, las campañas de phishing que suplantan a la AEAT se disparan hasta un 60% durante el período de declaración. En 2025, la Agencia Tributaria fue una de las entidades más suplantadas en España.

En esta guía te explico cómo funcionan estas estafas, cómo detectarlas al instante y qué hacer si ya has picado. Porque el mejor escudo contra los ciberdelincuentes es saber reconocer sus trampas.

Por qué Hacienda es el gancho perfecto para los estafadores

Los ciberdelincuentes no eligen a Hacienda por casualidad. La Agencia Tributaria reúne todas las condiciones para ser el anzuelo ideal:

  1. Todo el mundo tiene relación con Hacienda: Da igual que seas asalariado, autónomo, pensionista o estudiante con un trabajo temporal. Hacienda te afecta. Y eso significa que cualquier mensaje «de la AEAT» resulta creíble para prácticamente cualquier persona en España
  2. La palabra «devolución» genera codicia: ¿Quién no quiere recibir dinero? La promesa de una devolución pendiente activa el impulso de cobrar cuanto antes
  3. La palabra «requerimiento» genera miedo: Un aviso de Hacienda es algo que nadie quiere ignorar. La posibilidad de una sanción o un embargo paraliza y empuja a actuar sin pensar
  4. Urgencia + autoridad = combinación letal: Los estafadores combinan plazos cortos («24 horas para verificar») con la autoridad de un organismo estatal. Es la receta perfecta para que actúes por impulso
  5. Época del año predecible: La campaña de la renta tiene fechas fijas (abril-junio), lo que permite a los ciberdelincuentes preparar y lanzar campañas masivas justo cuando la gente está más receptiva a mensajes de Hacienda

Es exactamente el mismo modus operandi que vemos con los SMS falsos de la DGT o las estafas bancarias por SMS, pero con un ingrediente añadido: la declaración de la renta implica dinero real que la gente espera cobrar o teme tener que pagar.

Los 5 tipos de estafa que suplantan a Hacienda

1. SMS de «devolución pendiente» (el más común)

Es el clásico. Recibes un mensaje de texto informándote de que Hacienda te debe dinero y que debes verificar tus datos bancarios para recibirlo. El enlace te lleva a una web falsa que imita la sede electrónica de la AEAT.

«AEAT: Se ha aprobado una devolución de 345,76 EUR a su favor. Verifique su cuenta bancaria para tramitar el ingreso: https://agenciatributaria-es.com/devolucion»

Objetivo del estafador: Robar tus datos bancarios (número de cuenta, tarjeta, credenciales de banca online).

2. Email de «requerimiento de la AEAT» con adjunto malware

Recibes un correo electrónico aparentemente oficial con el logo de la Agencia Tributaria, avisándote de un requerimiento, una notificación pendiente o una irregularidad en tu declaración. Incluye un archivo adjunto (PDF, ZIP o documento Word) que, al abrirlo, instala malware en tu ordenador.

Asunto: Notificación de la Agencia Tributaria - Referencia 2026-AEAT-48291

«Estimado contribuyente, adjuntamos notificación relativa a su declaración del ejercicio 2025. Descargue y revise el documento adjunto. Tiene un plazo de 10 días hábiles para atender este requerimiento.»

Objetivo del estafador: Instalar software malicioso que espíe tu actividad, robe contraseñas o cifre tus archivos (ransomware).

3. SMS de «verificar datos para la declaración»

Variante que aparece justo al inicio de la campaña de la renta. El mensaje te pide que confirmes tus datos fiscales antes de presentar la declaración, como si fuera un paso previo obligatorio.

«Agencia Tributaria: Para presentar su declaración 2025 es necesario actualizar sus datos fiscales. Acceda aquí: https://aeat-verificacion.es/datos»

Objetivo del estafador: Robar tu información personal (DNI, dirección, datos bancarios) y posiblemente tus credenciales de Cl@ve.

4. Llamada del «inspector de Hacienda» (vishing)

Recibes una llamada de alguien que se identifica como inspector o funcionario de la Agencia Tributaria. Te informa de una irregularidad en tu declaración, una deuda pendiente o una investigación abierta. Te presiona para que facilites datos personales o realices un pago inmediato.

Este tipo de estafa es especialmente peligrosa porque la voz humana genera más confianza que un SMS. Si quieres profundizar en cómo funcionan estas llamadas falsas, tenemos una guía completa sobre vishing.

Objetivo del estafador: Obtener datos personales y bancarios por teléfono, o que hagas una transferencia directamente.

5. Web falsa que imita la sede electrónica de la AEAT

No siempre necesitan enviarte un SMS o email. A veces, los ciberdelincuentes crean webs que posicionan en buscadores con términos como «declaración renta 2026», «consultar borrador AEAT» o «devolución hacienda». Si accedes a una de estas webs creyendo que es la oficial, puedes acabar introduciendo tus credenciales de Cl@ve o tus datos bancarios en una página fraudulenta.

Objetivo del estafador: Capturar credenciales de acceso a la sede electrónica real y datos bancarios.

Ejemplos reales de SMS y emails falsos de Hacienda

Estos son los mensajes que más están circulando. Si reconoces alguno, ya sabes que es una estafa:

Ejemplo 1. El SMS de devolución clásico

«AEAT: Tras la revisión de su declaración, se ha determinado una devolución de 389,40 EUR. Confirme sus datos bancarios: https://agencia-tributaria.es-devolucion.com/pago»

Señales de fraude: - Dominio falso: es-devolucion.com no es el dominio de la AEAT. El dominio oficial es agenciatributaria.gob.es - Hacienda nunca pide datos bancarios por SMS: Las devoluciones se ingresan automáticamente en la cuenta que indicaste en la declaración - Importe específico para generar codicia: Una cantidad concreta como 389,40 EUR suena creíble y motiva a actuar

Ejemplo 2. El email de requerimiento urgente

De: [email protected]

Asunto: Requerimiento de documentación - Expediente 2026/IRPF/29481

«Estimado/a contribuyente, le comunicamos que se ha detectado una discrepancia en su declaración de IRPF del ejercicio 2025. Adjuntamos requerimiento con el detalle de la documentación que debe aportar en un plazo de 10 días hábiles. [Descargar requerimiento.pdf]»

Señales de fraude: - Remitente falso: aeat-gobierno.es no es un dominio oficial. El email real de la AEAT termina en @correo.aeat.es o @agenciatributaria.es - Archivo adjunto sospechoso: Un PDF descargable puede contener malware. Hacienda no envía requerimientos por email con adjuntos - Urgencia con plazo corto: Los 10 días hábiles presionan para que abras el archivo rápido

Ejemplo 3. El SMS de verificación pre-declaración

«Agencia Tributaria: Su certificado digital ha caducado. Renuévelo antes del 1 de abril para poder presentar su declaración: https://sede-aeat.es-certificados.com/renovar»

Señales de fraude: - La AEAT no gestiona certificados digitales por SMS: Los certificados los emite la FNMT, no la Agencia Tributaria - Dominio fraudulento: es-certificados.com no pertenece a ningún organismo oficial - Coincidencia temporal sospechosa: Aparece justo antes de la campaña de la renta para maximizar el impacto

Ejemplo 4. El email de devolución con formulario

De: [email protected]

Asunto: Devolución IRPF 2025 - Acción requerida

«Le informamos de que tiene derecho a una devolución fiscal de 247,80 EUR correspondiente al ejercicio 2025. Para recibir el ingreso en su cuenta, complete el formulario de verificación: [Acceder al formulario]»

Señales de fraude: - Dominio inventado: agenciatributaria-notify.com no existe. El oficial es agenciatributaria.gob.es - Formulario externo: Hacienda nunca te pide rellenar formularios a través de un enlace de email - No necesitas «verificar» nada: Si te corresponde devolución, Hacienda la ingresa automáticamente

Cómo comunica Hacienda de verdad

Este es el dato más importante de todo el artículo. Si lo recuerdas, serás prácticamente inmune a cualquier phishing de la AEAT.

Canales oficiales de la Agencia Tributaria

Lo que Hacienda NUNCA hace

  • Nunca pide datos bancarios por SMS, email o llamada telefónica
  • Nunca envía SMS con enlaces para tramitar devoluciones
  • Nunca envía emails con adjuntos para descargar requerimientos
  • Nunca llama para pedir el PIN de tu tarjeta o tus credenciales de Cl@ve
  • Nunca amenaza con embargos inmediatos por teléfono

Las devoluciones de la renta se hacen automáticamente. Si te corresponde una devolución, Hacienda la ingresa en la cuenta bancaria que indicaste en tu declaración. No necesitas «verificar» nada ni «confirmar» datos. Si hay algún problema con tu declaración, recibes una notificación oficial a través de DEHú o por correo postal certificado.

Cómo detectar un phishing de Hacienda

Si recibes un SMS o email sospechoso de Hacienda y no tienes claro si es real o falso, BeValk puede ayudarte a verificarlo en segundos:

  1. Copia el enlace del SMS o email (sin abrirlo en el navegador)
  2. Pégalo en el analizador de enlaces de BeValk para escanearlo
  3. Recibe un veredicto instantáneo: seguro o peligroso, con los motivos detallados

También puedes preguntarle a MarIA, nuestra asistente de ciberseguridad con inteligencia artificial: «Me ha llegado un email de Hacienda pidiendo mis datos bancarios, ¿es real?» y te ayudará a verificarlo al instante.

Recuerda: Hacienda nunca te va a pedir tus datos bancarios por SMS ni por email. Nunca. Si recibes un mensaje así, ya tienes la respuesta. Los ciberdelincuentes cuentan con tu prisa y tu miedo. Tú cuentas con información y herramientas para protegerte.

Descarga BeValk gratis y verifica antes de hacer clic.