Si recibes un mensaje de Hacienda, podría ser una estafa: la Agencia Tributaria alerta de suplantaciones en la campaña de la Renta

Cada año, millones de contribuyentes esperan con atención cualquier comunicación relacionada con la campaña de la Renta. Un correo electrónico que anuncia una devolución pendiente del IRPF, un SMS de Hacienda que promete un ingreso inmediato o una notificación urgente alertando de un supuesto pago pendiente suelen generar una reacción inmediata. La mayoría de las personas piensa automáticamente en la Agencia Tributaria cuando recibe este tipo de mensajes y, precisamente por eso, los ciberdelincuentes aprovechan el contexto de la campaña de la declaración de la Renta para lanzar nuevos fraudes y estafas digitales cada vez más sofisticadas.

La Agencia Tributaria advierte sobre una nueva ola de fraudes digitales que en 2026 ya incluye correos falsos que piden pagos en criptomonedas, SMS con enlaces a webs clonadas y llamadas que suplantan a su personal directivo. El objetivo de estos ataques es siempre el mismo: que la víctima entregue datos personales, bancarios o confidenciales, o que realice un pago que nunca recuperará.

Los fraudes más habituales llegan disfrazados de buenas noticias, como una devolución pendiente, o de amenazas urgentes: una multa, un embargo, el bloqueo de una tarjeta. La Agencia Estatal de Administración Tributaria (AEAT) ha publicado en su Sede Electrónica varios casos detectados este año, entre los que figura una campaña que usa terminología fiscal real y apariencia institucional para convencer al receptor de que transfiera dinero a una cartera de criptomonedas. Según explica en su página web, la AEAT no utiliza ‘wallets blockchain’ ni solicita pagos mediante criptomonedas bajo ningún concepto.

Tres señales que delatan un fraude

Antes de abrir cualquier enlace o descargar un archivo adjunto, conviene tener claros los límites que la Agencia Tributaria nunca traspasa en sus comunicaciones oficiales:

• Nunca pide datos personales, bancarios ni números de tarjeta por correo electrónico o SMS.
• Nunca realiza devoluciones a tarjetas de crédito, débito ni por Bizum.
• Nunca cobra por los servicios que presta.

Si un mensaje incumple cualquiera de estos tres puntos, es una estafa. Sin excepciones.

Qué hacer al recibir un mensaje sospechoso

El primer paso es no actuar por impulso. Los fraudes por suplantación de identidad, conocidos como phishing cuando llegan por correo y smishing cuando lo hacen por SMS, están diseñados para generar urgencia y miedo. Esa presión es, precisamente, la señal de alerta más fiable.

La AEAT recomienda seguir estos pasos:

1. No abrir mensajes de remitentes desconocidos. Si no lo solicitaste, elimínalo directamente.
2. No responder ni hacer clic en ningún enlace, aunque el remitente parezca conocido o el mensaje tenga el logo oficial de la Agencia Tributaria.
3. No descargar archivos adjuntos de correos no solicitados, independientemente de su apariencia.
4. Teclear directamente la dirección sede.agenciatributaria.gob.es en el navegador para acceder a la Sede Electrónica, sin usar enlaces recibidos por correo o SMS.
5. Verificar el certificado de seguridad del sitio web antes de introducir cualquier dato.
6. Contactar con la Agencia Tributaria para confirmar la autenticidad de cualquier comunicación que genere dudas.

Cómo reportar un intento de fraude

Muchos de los casos que la AEAT detecta y publica en su registro oficial llegan gracias a ciudadanos que los notifican. Quien reciba un mensaje sospechoso puede reportarlo a través de la sección Soporte a cuestiones informáticas de la Sede Electrónica o desde la app oficial de la Agencia Tributaria, en el apartado Asistencia y Cita.

En 2026, la AEAT ya ha documentado al menos seis modalidades distintas de fraude activas, según el registro público disponible en su página de casos de suplantación. La lista se actualiza de forma continua a medida que se detectan nuevas campañas.