BeValk Logo
phishing hacienda

Estafas Hacienda y la Agencia Tributaria: Phishing en la declaración de la renta

María Aperador

06/03/2026

18 min

Estafas Hacienda y la Agencia Tributaria: Phishing en la declaración de la renta

«La Agencia Tributaria ha ordenado el pago de 389,40 EUR a su favor. Para recibir la devolución, verifique sus datos bancarios en el siguiente enlace.» Si te ha llegado un SMS o un email como este, no hagas clic. Es una estafa.

Cada año, entre abril y junio, millones de españoles presentan la declaración de la renta. Y cada año, los ciberdelincuentes lanzan su propia «campaña de la renta»: oleadas masivas de SMS, emails y llamadas falsas suplantando a Hacienda y la Agencia Tributaria. Según datos del INCIBE, las campañas de phishing que suplantan a la AEAT se disparan hasta un 60% durante el período de declaración. En 2025, la Agencia Tributaria fue una de las entidades más suplantadas en España.

En esta guía te explico cómo funcionan estas estafas, cómo detectarlas al instante y qué hacer si ya has picado. Porque el mejor escudo contra los ciberdelincuentes es saber reconocer sus trampas.

Por qué Hacienda es el gancho perfecto para los estafadores

Los ciberdelincuentes no eligen a Hacienda por casualidad. La Agencia Tributaria reúne todas las condiciones para ser el anzuelo ideal:

  1. Todo el mundo tiene relación con Hacienda: Da igual que seas asalariado, autónomo, pensionista o estudiante con un trabajo temporal. Hacienda te afecta. Y eso significa que cualquier mensaje «de la AEAT» resulta creíble para prácticamente cualquier persona en España
  2. La palabra «devolución» genera codicia: ¿Quién no quiere recibir dinero? La promesa de una devolución pendiente activa el impulso de cobrar cuanto antes
  3. La palabra «requerimiento» genera miedo: Un aviso de Hacienda es algo que nadie quiere ignorar. La posibilidad de una sanción o un embargo paraliza y empuja a actuar sin pensar
  4. Urgencia + autoridad = combinación letal: Los estafadores combinan plazos cortos («24 horas para verificar») con la autoridad de un organismo estatal. Es la receta perfecta para que actúes por impulso
  5. Época del año predecible: La campaña de la renta tiene fechas fijas (abril-junio), lo que permite a los ciberdelincuentes preparar y lanzar campañas masivas justo cuando la gente está más receptiva a mensajes de Hacienda

Es exactamente el mismo modus operandi que vemos con los SMS falsos de la DGT o las estafas bancarias por SMS, pero con un ingrediente añadido: la declaración de la renta implica dinero real que la gente espera cobrar o teme tener que pagar.

Los 5 tipos de estafa que suplantan a Hacienda

1. SMS de «devolución pendiente» (el más común)

Es el clásico. Recibes un mensaje de texto informándote de que Hacienda te debe dinero y que debes verificar tus datos bancarios para recibirlo. El enlace te lleva a una web falsa que imita la sede electrónica de la AEAT.

«AEAT: Se ha aprobado una devolución de 345,76 EUR a su favor. Verifique su cuenta bancaria para tramitar el ingreso: https://agenciatributaria-es.com/devolucion»

Objetivo del estafador: Robar tus datos bancarios (número de cuenta, tarjeta, credenciales de banca online).

2. Email de «requerimiento de la AEAT» con adjunto malware

Recibes un correo electrónico aparentemente oficial con el logo de la Agencia Tributaria, avisándote de un requerimiento, una notificación pendiente o una irregularidad en tu declaración. Incluye un archivo adjunto (PDF, ZIP o documento Word) que, al abrirlo, instala malware en tu ordenador.

Asunto: Notificación de la Agencia Tributaria - Referencia 2026-AEAT-48291

«Estimado contribuyente, adjuntamos notificación relativa a su declaración del ejercicio 2025. Descargue y revise el documento adjunto. Tiene un plazo de 10 días hábiles para atender este requerimiento.»

Objetivo del estafador: Instalar software malicioso que espíe tu actividad, robe contraseñas o cifre tus archivos (ransomware).

3. SMS de «verificar datos para la declaración»

Variante que aparece justo al inicio de la campaña de la renta. El mensaje te pide que confirmes tus datos fiscales antes de presentar la declaración, como si fuera un paso previo obligatorio.

«Agencia Tributaria: Para presentar su declaración 2025 es necesario actualizar sus datos fiscales. Acceda aquí: https://aeat-verificacion.es/datos»

Objetivo del estafador: Robar tu información personal (DNI, dirección, datos bancarios) y posiblemente tus credenciales de Cl@ve.

4. Llamada del «inspector de Hacienda» (vishing)

Recibes una llamada de alguien que se identifica como inspector o funcionario de la Agencia Tributaria. Te informa de una irregularidad en tu declaración, una deuda pendiente o una investigación abierta. Te presiona para que facilites datos personales o realices un pago inmediato.

Este tipo de estafa es especialmente peligrosa porque la voz humana genera más confianza que un SMS. Si quieres profundizar en cómo funcionan estas llamadas falsas, tenemos una guía completa sobre vishing.

Objetivo del estafador: Obtener datos personales y bancarios por teléfono, o que hagas una transferencia directamente.

5. Web falsa que imita la sede electrónica de la AEAT

No siempre necesitan enviarte un SMS o email. A veces, los ciberdelincuentes crean webs que posicionan en buscadores con términos como «declaración renta 2026», «consultar borrador AEAT» o «devolución hacienda». Si accedes a una de estas webs creyendo que es la oficial, puedes acabar introduciendo tus credenciales de Cl@ve o tus datos bancarios en una página fraudulenta.

Objetivo del estafador: Capturar credenciales de acceso a la sede electrónica real y datos bancarios.

Ejemplos reales de SMS y emails falsos de Hacienda

Estos son los mensajes que más están circulando. Si reconoces alguno, ya sabes que es una estafa:

Ejemplo 1. El SMS de devolución clásico

«AEAT: Tras la revisión de su declaración, se ha determinado una devolución de 389,40 EUR. Confirme sus datos bancarios: https://agencia-tributaria.es-devolucion.com/pago»

Señales de fraude: - Dominio falso: es-devolucion.com no es el dominio de la AEAT. El dominio oficial es agenciatributaria.gob.es - Hacienda nunca pide datos bancarios por SMS: Las devoluciones se ingresan automáticamente en la cuenta que indicaste en la declaración - Importe específico para generar codicia: Una cantidad concreta como 389,40 EUR suena creíble y motiva a actuar

Ejemplo 2. El email de requerimiento urgente

De: [email protected]

Asunto: Requerimiento de documentación - Expediente 2026/IRPF/29481

«Estimado/a contribuyente, le comunicamos que se ha detectado una discrepancia en su declaración de IRPF del ejercicio 2025. Adjuntamos requerimiento con el detalle de la documentación que debe aportar en un plazo de 10 días hábiles. [Descargar requerimiento.pdf]»

Señales de fraude: - Remitente falso: aeat-gobierno.es no es un dominio oficial. El email real de la AEAT termina en @correo.aeat.es o @agenciatributaria.es - Archivo adjunto sospechoso: Un PDF descargable puede contener malware. Hacienda no envía requerimientos por email con adjuntos - Urgencia con plazo corto: Los 10 días hábiles presionan para que abras el archivo rápido

Ejemplo 3. El SMS de verificación pre-declaración

«Agencia Tributaria: Su certificado digital ha caducado. Renuévelo antes del 1 de abril para poder presentar su declaración: https://sede-aeat.es-certificados.com/renovar»

Señales de fraude: - La AEAT no gestiona certificados digitales por SMS: Los certificados los emite la FNMT, no la Agencia Tributaria - Dominio fraudulento: es-certificados.com no pertenece a ningún organismo oficial - Coincidencia temporal sospechosa: Aparece justo antes de la campaña de la renta para maximizar el impacto

Ejemplo 4. El email de devolución con formulario

De: [email protected]

Asunto: Devolución IRPF 2025 - Acción requerida

«Le informamos de que tiene derecho a una devolución fiscal de 247,80 EUR correspondiente al ejercicio 2025. Para recibir el ingreso en su cuenta, complete el formulario de verificación: [Acceder al formulario]»

Señales de fraude: - Dominio inventado: agenciatributaria-notify.com no existe. El oficial es agenciatributaria.gob.es - Formulario externo: Hacienda nunca te pide rellenar formularios a través de un enlace de email - No necesitas «verificar» nada: Si te corresponde devolución, Hacienda la ingresa automáticamente

Cómo comunica Hacienda de verdad

Este es el dato más importante de todo el artículo. Si lo recuerdas, serás prácticamente inmune a cualquier phishing de la AEAT.

Canales oficiales de la Agencia Tributaria

Lo que Hacienda NUNCA hace

  • Nunca pide datos bancarios por SMS, email o llamada telefónica
  • Nunca envía SMS con enlaces para tramitar devoluciones
  • Nunca envía emails con adjuntos para descargar requerimientos
  • Nunca llama para pedir el PIN de tu tarjeta o tus credenciales de Cl@ve
  • Nunca amenaza con embargos inmediatos por teléfono

Las devoluciones de la renta se hacen automáticamente. Si te corresponde una devolución, Hacienda la ingresa en la cuenta bancaria que indicaste en tu declaración. No necesitas «verificar» nada ni «confirmar» datos. Si hay algún problema con tu declaración, recibes una notificación oficial a través de DEHú o por correo postal certificado.

Cómo detectar un phishing de Hacienda: checklist práctico

Antes de hacer clic en cualquier mensaje que parezca de Hacienda, repasa esta lista:

1. Comprueba el dominio

La única URL oficial de la Agencia Tributaria es agenciatributaria.gob.es (y sus subdominios dentro de .gob.es). Cualquier variación es falsa:

Si tienes dudas sobre un enlace, puedes aprender a verificar si es seguro antes de hacer clic o escanearlo directamente con BeValk.

2. ¿Te piden datos bancarios?

Hacienda nunca solicita datos de tarjeta, número de cuenta, PIN ni credenciales bancarias por SMS ni por email. Si un mensaje te los pide, es fraude. Sin excepciones.

3. ¿Incluye un enlace para «cobrar» una devolución?

Las devoluciones se procesan automáticamente. No existe ningún trámite adicional para recibirlas. Si un mensaje te dice que tienes que hacer algo para cobrar tu devolución, es falso.

4. ¿Tiene un adjunto para descargar?

La AEAT no envía requerimientos ni notificaciones como archivos adjuntos en emails. Las notificaciones oficiales se reciben a través de DEHú o por correo postal. Un PDF o ZIP adjunto en un email «de Hacienda» probablemente contiene malware.

5. ¿Crea urgencia con plazos cortos?

«24 horas», «último aviso», «su devolución caducará». Los trámites fiscales reales tienen plazos de semanas o meses, nunca de horas. Si te presionan con urgencia, desconfía.

6. ¿Te llama por tu nombre o dice «estimado contribuyente»?

Las notificaciones reales de Hacienda incluyen tu nombre completo y tu NIF. Los mensajes genéricos que dicen «estimado contribuyente» o «estimado cliente» son una señal clara de phishing masivo.

Qué hacer si has caído en una estafa de Hacienda

Si hiciste clic pero no introdujiste datos

  1. Cierra la página inmediatamente
  2. Borra la caché y las cookies de tu navegador
  3. Pasa un antivirus por tu dispositivo
  4. Monitoriza tus cuentas durante los próximos días

Si descargaste un archivo adjunto

  1. No abras el archivo si aún no lo has hecho
  2. Elimina el archivo de tu dispositivo
  3. Ejecuta un análisis antivirus completo
  4. Si ya lo abriste, cambia todas tus contraseñas desde otro dispositivo
  5. Considera restaurar el equipo si el antivirus detecta amenazas

Si introdujiste datos personales (DNI, dirección)

  1. Denuncia ante la Policía Nacional o la Guardia Civil: Tus datos pueden usarse para suplantar tu identidad
  2. Contacta con INCIBE (017) para recibir asesoramiento personalizado
  3. Practica egosurfing: Busca tu nombre y DNI en Google periódicamente para detectar usos fraudulentos
  4. Vigila tu buzón postal: Podrían intentar contratar servicios a tu nombre

Si introdujiste datos bancarios o de tarjeta

Esto es una emergencia. Actúa ya:

  1. Llama a tu banco inmediatamente y bloquea la tarjeta. No esperes a mañana
  2. Revisa los movimientos de las últimas horas. Si hay cargos que no reconoces, notifícalos al banco
  3. Solicita una tarjeta nueva con numeración diferente
  4. Denuncia ante la Policía Nacional o Guardia Civil: Lleva capturas del SMS/email y de la web falsa
  5. Guarda toda la evidencia: Capturas de pantalla, mensajes originales, movimientos bancarios sospechosos

Para una guía paso a paso sobre cómo presentar la denuncia y reclamar, consulta nuestra guía completa para denunciar una estafa online en España.

Preguntas frecuentes

¿Hacienda envía algún tipo de comunicación por SMS o email?

La Agencia Tributaria puede enviar avisos informativos por SMS o email (por ejemplo, recordando que se acerca el plazo de la declaración o confirmando que tu declaración ha sido presentada). Pero estos mensajes nunca incluyen enlaces para hacer clic, nunca piden datos bancarios y nunca traen archivos adjuntos. Son puramente informativos.

¿Cómo puedo consultar si tengo notificaciones reales de Hacienda?

Accede a la sede electrónica de la AEAT (sede.agenciatributaria.gob.es) con tu certificado digital, DNI electrónico o Cl@ve. También puedes revisar tu buzón en DEHú (dehu.redsara.es). Si hay alguna notificación real pendiente, aparecerá ahí.

¿Las devoluciones de la renta requieren alguna acción por mi parte?

No. Si te corresponde una devolución, Hacienda la ingresa automáticamente en la cuenta bancaria que indicaste al presentar la declaración. No necesitas verificar nada, confirmar datos ni acceder a ningún enlace. Si el número de cuenta es incorrecto, Hacienda te lo comunicará por los canales oficiales (DEHú o correo postal).

¿Qué hago si recibo una llamada de alguien que dice ser de Hacienda?

Cuelga y comprueba por tu cuenta. Llama tú al teléfono oficial de información tributaria (901 200 345) o acude a una oficina de la AEAT con cita previa. Si la comunicación fuera real, podrás gestionarla desde la sede electrónica. Un funcionario de Hacienda nunca te pedirá datos bancarios ni credenciales por teléfono.

¿Pueden los ciberdelincuentes saber que estoy esperando una devolución?

No necesitan saberlo. Envían millones de mensajes al azar durante la campaña de la renta, sabiendo que un gran porcentaje de la población está pendiente de su declaración. Juegan con la probabilidad y con la codicia que genera la palabra «devolución». No es que te hayan seleccionado a ti: es phishing masivo.

Protégete con BeValk

Si recibes un SMS o email sospechoso de Hacienda y no tienes claro si es real o falso, BeValk puede ayudarte a verificarlo en segundos:

  1. Copia el enlace del SMS o email (sin abrirlo en el navegador)
  2. Pégalo en el analizador de enlaces de BeValk para escanearlo
  3. Recibe un veredicto instantáneo: seguro o peligroso, con los motivos detallados

También puedes preguntarle a MarIA, nuestra asistente de ciberseguridad con inteligencia artificial: «Me ha llegado un email de Hacienda pidiendo mis datos bancarios, ¿es real?» y te ayudará a verificarlo al instante.

Recuerda: Hacienda nunca te va a pedir tus datos bancarios por SMS ni por email. Nunca. Si recibes un mensaje así, ya tienes la respuesta. Los ciberdelincuentes cuentan con tu prisa y tu miedo. Tú cuentas con información y herramientas para protegerte.

Descarga para iOS y Android y verifica antes de hacer clic.

Para una visión completa de todas las estafas que circulan en España y cómo protegerte, consulta nuestra guía definitiva sobre phishing, smishing y vishing.

Última actualización: marzo 2026