Una campaña de phishing a gran escala está circulando entre ciudadanos españoles con el objetivo de robar sus credenciales de acceso a la plataforma tributaria. El Instituto Nacional de Ciberseguridad (INCIBE) ha emitido una alerta oficial sobre correos electrónicos fraudulentos que se hacen pasar por la Agencia Tributaria, buscando engañar a usuarios para que revelen información sensible como contraseñas y datos bancarios.
Lo más preocupante de esta campaña es que los correos están elaborados de manera sofisticada. Los atacantes han invertido tiempo en que parezcan legítimos, utilizando lenguaje oficial y estructura similar a las comunicaciones reales de Hacienda. Esto ha conseguido que muchas personas caigan en la trampa sin sospechar que se trata de fraude.
Cómo funciona el engaño
El usuario recibe un correo electrónico que aparentemente proviene de la Agencia Tributaria informando sobre una nueva notificación disponible relacionada con un trámite o reclamación fiscal. El tono del mensaje es urgente, animando al destinatario a pinchar en un enlace para descargar o consultar la supuesta notificación.
Cuando el usuario hace clic, se ve redirigido a una página web que imita la apariencia de la plataforma oficial de la Agencia Estatal de Administración Tributaria. Sin embargo, toda la información que introduce en ese formulario falso va directamente a los atacantes. Estos solicitan datos como usuario, contraseña, número de documento de identidad y, en muchos casos, información bancaria.
El asunto más común que ha detectado INCIBE es “Aviso puesta a disposición de nueva notificación electrónica REF-XXXXXXXX”, aunque se sospecha que existen variantes con otros tipos de referencias numéricas para evitar ser fácilmente identificadas.
A pesar de la sofisticación visual del correo, existe una manera de identificarlo si se revisa con atención. La dirección de correo del remitente no pertenece al dominio oficial agenciatributaria.gob.es. Este es el indicador principal que cualquier ciudadano debería verificar antes de hacer clic en un enlace relacionado con impuestos.
Los criminales utilizan direcciones que parecen legítimas a simple vista, pero cuando se examinan detenidamente revelan su naturaleza fraudulenta. Es una táctica recurrente: confiar en que la mayoría de personas no verifican de dónde proviene realmente el correo que reciben.
Qué información pueden robar
Si alguien introduce sus datos en el formulario falso, los atacantes acceden a información crítica que les permite cometer múltiples delitos:
- Contraseñas y credenciales de acceso a la plataforma tributaria
- Número de documento de identidad
- Nombre completo y dirección
- Detalles de declaraciones de impuestos anteriores
- Números de cuenta bancaria e IBAN
- Números de teléfono y direcciones de correo alternativas
Con estos datos en su poder, los criminales pueden suplantar la identidad de la víctima, acceder a su información fiscal sensible, realizar trámites fraudulentos en su nombre, solicitar créditos o vender toda la información en mercados negros de internet.
Un momento crítico para la seguridad digital española
Esta ola de phishing llega en una situación especialmente complicada. En paralelo, se está investigando una posible filtración masiva de Hacienda donde un grupo de hackers afirma haber robado información de 47,3 millones de españoles, lo que significaría comprometer datos de prácticamente toda la población adulta del país, según han publicado medios económicos nacionales.
Si ambas amenazas ocurren simultáneamente, el riesgo se multiplica. Las personas que caen en la trampa del phishing podrían ser exactamente las mismas cuya información ya está comprometida en la brecha. El resultado sería una suplantación de identidad a gran escala.
España ya enfrenta un panorama complicado en ciberseguridad. Durante 2025 se registraron en torno a 45.000 ataques diarios, lo que sitúa al país entre los más atacados del mundo y obliga a empresas y ciudadanos a tomar medidas preventivas.
La entrada La Guardia Civil alerta: campaña masiva de phishing suplantando la AEAT pone en riesgo a miles de españoles es original de MuySeguridad. Seguridad informática.