En plena campaña de devoluciones de la Declaración de la Renta 2026, miles de ciudadanos reciben un SMS fraudulento que suplanta a la Agencia Tributaria. El mensaje incluye un enlace malicioso y busca robar credenciales bancarias y datos fiscales. El INCIBE lo ha calificado con importancia alta, por su alcance masivo y su sincronización con el pico de consultas ciudadanas. No hay notificaciones fiscales por SMS. Nunca.
¿Qué es el smishing y por qué es peligroso ahora?
El smishing es el phishing ejecutado mediante mensajes de texto. A diferencia del correo electrónico, los SMS generan mayor sensación de urgencia y confianza. En junio de 2026, coincide con el cierre de la campaña de la Renta y el inicio masivo de devoluciones bancarias, lo que multiplica la vulnerabilidad.
El ataque no requiere malware instalado. Basta un clic para redirigir a una página falsa idéntica a la sede electrónica de la AEAT. Allí, el usuario ingresa su Cl@ve PIN, DNI, número de cuenta y hasta el código de verificación SMS.
¿Cómo funciona la suplantación técnica?
Los ciberdelincuentes usan SMS spoofing para falsificar el remitente. El nombre «AEAT» aparece en la pantalla, pero no corresponde a un número oficial. No hay control de origen en los protocolos SMS estándar. Esto permite inyectar el mensaje en hilos de conversación legítimos, generando falsa continuidad.
¿Qué errores revelan que el SMS es falso?
La redacción contiene tres señales inequívocas de fraude:
- La URL incluye dominios sospechosos como .xyz, .top o .click —nunca .gob.es.
- El texto usa frases redundantes: «dirigida a usted, que usted recibe…» —la AEAT aplica lenguaje técnico y conciso.
- No menciona el ejercicio fiscal, ni el número de referencia de la declaración. Todo mensaje oficial incluye al menos uno de estos datos.
¿Qué dice la normativa sobre notificaciones fiscales?
Según la Ley General Tributaria (art. 109) y la Orden HFP/1000/2022, la AEAT solo notifica vía sede electrónica, correo certificado o notificación judicial. Los SMS, WhatsApp o llamadas no son canales válidos. Cualquier comunicación fiscal por estos medios carece de valor legal.
¿Qué hacer si ya has hecho clic en el enlace?
Actúa en menos de 15 minutos para minimizar daños:
- Desconecta inmediatamente el móvil de internet y redes Wi-Fi.
- No ingreses ningún dato en la página abierta.
- Borra el mensaje y desactiva notificaciones del hilo.
- Cambia tu Cl@ve PIN desde un dispositivo limpio y con conexión segura.
- Revisa movimientos bancarios de las últimas 72 horas.
- Denuncia en la Policía Nacional (web denuncias.policia.es) y notifica a INCIBE (incibe.es).
¿Cómo protegerse antes del próximo ataque?
Habilita la autenticación en dos pasos (2FA) en Cl@ve. Usa la app oficial Cl@ve PIN en vez del sistema web. Configura alertas bancarias por transacción. Nunca reutilices contraseñas entre servicios fiscales y financieros.
¿Cuál es el impacto económico real de estas estafas?
Según datos del Banco de España (2025), el 62 % de los fraudes digitales en España en 2026 están vinculados a suplantación fiscal. El promedio de pérdida por víctima supera los 1.850 €, con picos de hasta 12.000 € en casos de suplantación bancaria combinada. El coste sistémico —incluyendo atención ciudadana, reembolsos y ciberseguridad reactiva— supera los 320 millones de euros anuales, según la Comisión Nacional de los Mercados y la Competencia (CNMC).
Datos Clave
- El INCIBE ha registrado +14.700 reportes de este smishing en 72 horas.
- El 89 % de los enlaces fraudulentos se desactivan en menos de 6 horas —por eso la velocidad de respuesta es crítica.
- La AEAT no envía SMS, ni correos con enlaces externos, ni solicita contraseñas por mensaje.
- Las extensiones .xyz, .top, .click son usadas en el 94 % de los sitios de smishing detectados en 2026.
- El fraude se intensifica los martes y jueves: días de mayor volumen de devoluciones bancarias.
El contexto actual exige conciencia técnica y acción inmediata. La confianza en los canales oficiales no debe sustituirse por la urgencia del mensaje. La sede electrónica de la AEAT sigue siendo el único punto válido de interacción. Todo lo demás es riesgo calculado por ciberdelincuentes que aprovechan el estrés fiscal de millones.
