Cada vez más, los ciberdelincuentes están al acecho para intentar aprovecharse de tu información más confidencial e, incluso, de tu dinero. Cuando empieza la campaña de la renta 2024-25, los estafadores aprovechan para intentar timar a los contribuyentes. Por lo que es importante conocer cómo mantenerse alerta y evitar estos fraudes online.
- ¿Cómo son los mensajes fraudulentos?
- Ciberestafas en la declaración de la renta 2024-25
- Consejos para evitar ciberestafas en la renta
Hay muchos tipos de ciberestafas: el phishing, el smishing o el vishing, son solo algunas de las técnicas de las que ya hemos hablado en este blog. Por eso, si quieres aprender a evitar las consecuencias de la ciberdelincuencia en la declaración de la renta, continúa leyendo y entérate de todos los detalles.
¿Cómo son los mensajes fraudulentos?
A través del envío de correos electrónicos o mensajes de texto engañosos, los ciberdelincuentes se hacen pasar por empresas u organismos para obtener información. En este caso, suplantan la identidad de la Agencia Tributaria para intentar que los contribuyentes les proporcionen sus datos personales.
Aunque las ciberestafas se producen durante todo el año, en la campaña de la renta los casos se multiplican. Por eso, desde la propia Agencia Tributaria destacan que nunca solicitarán datos bancarios, números de tarjeta ni información sobre facturas por correo electrónico ni por SMS
Con esto en mente, ten en cuenta que los mensajes fraudulentos que puedes recibir estos días comparten varias características.
Hacen referencia a una supuesta falta de información
Para solicitar tus datos personales y bancarios, los estafadores utilizan el argumento de que falta información para llevar a cabo la devolución de la declaración de la renta.
Instigan a actuar con urgencia
Con el objetivo de crear una situación de urgencia, los mensajes alertan de posibles consecuencias si no se proporcionan los datos solicitados en determinado tiempo. Por ejemplo, hacer frente a una supuesta sanción o la pérdida del acceso a la cuenta en menos de 24 o 48 horas.
La dirección de correo es incorrecta
Puede que la dirección desde la que se envía el correo electrónico no se corresponda con el remitente. También que contenga faltas de ortografía o errores en el dominio (lo que aparece después del @). El orden de los elementos se debe tener también en cuenta: en los dominios reales, el nombre habitual de la empresa se encuentra justo antes de la extensión, ya sea “.com”, “.es” u otra similar.
Si detectas alguno de estos errores, es probable que el mensaje sea fraudulento. Ten en cuenta que los propios remitentes también se pueden suplantar.
Contienen errores gramaticales
Los mensajes engañosos suelen tener faltas de ortografía o frases mal construidas. Además, no suelen estar personalizados.
Ciberestafas en la declaración de la renta 2024-25
En los últimos años, la Agencia Tributaria ha registrado varios intentos de ciberdelincuencia con la declaración de la renta. A continuación te explicamos las principales ciberestafas que ha detectado para esta campaña que se lleva a cabo en 2025:
Solicitud de dirección de correo electrónico y contraseña
Este caso forma parte de lo que conocemos por phishing. Se redirige al usuario a una página que imita la de la autenticación de la sede de la Agencia Tributaria y que solicita una dirección de correo electrónico y contraseña.
Después de introducir estas credenciales, aparece el siguiente texto: “La validación no es correcta. Vuelve a introducir los dirección de correo y contraseña de correo electrónica”. Como se puede comprobar, el mensaje incluye fallos gramaticales.
Aviso de notificación por correo electrónico
Se trata de un correo enviado por los ciberdelincuentes que incorpora enlaces a los que no se debe acceder. El texto empieza así: “Este email se corresponde con un aviso de una notificación postal. Le informamos que está disponible una nueva notificación para Titular con los siguientes datos (…)”.
Este aviso de notificación también lo podemos recibir en forma de supuesta denuncia con un archivo adjunto: “El archivo adjunto está protegido por contraseña. Solo usted puede abrirlo utilizando su cuenta de correo electrónico xxx@xxxx.com y contraseña”.
Recuerda que nunca se deben abrir enlaces o archivos no solicitados, ni dar claves personales.
Mensaje por SMS de devolución de impuestos
Este caso de smishing los ciberdelincuentes envían un SMS que anuncia una devolución de impuestos que no existe. La mayoría de estos casos se ha enfocado en mutualistas jubilados.
El enlace que se incluye en el SMS redirige a una página web engañosa que emula la imagen de la Agencia Tributaria, como en el caso del phishing. Desde esta página se redirige al contribuyente a un formulario que solicita información acerca de tarjetas de crédito y que no se debe cumplimentar bajo ningún concepto.
Otra modalidad de esta campaña 2024-25 es de spoofing: SMS falsos en conversaciones de mensajes legítimos. Es decir, el mensaje ilegítimo parece provenir del mismo número que utiliza la organización legítima.
Otro mensaje falso puede ser algo similar a «La agencia tributaria ha emitido una notificacion dirigida a ud: https[…]agenclatrlbutarla.com».
También se han registrado SMS fraudulentos que aseguran que se ha detectado una incidencia grave en la declaración y que se puede aplicar una sanción de hasta 984.97 euros.
Solicitud por Bizum
Existen usuarios de la aplicación Bizum que están recibiendo una solicitud de envío de dinero con el asunto “AEAT PAGO RENTA 2024”. La Agencia Tributaria recomienda en este caso hacer clic en la opción “Rechazar solicitud”.
Esta campaña 2024-25 también se ha detectado una campaña de SMS falsos que suplantan la identidad para exigir un pago por superar el límite regulado de Bizum. Como el siguiente:
A pesar de los errores que presentan y los puntos en común que guardan estos mensajes fraudulentos, cada año refinan su forma de engañarte. Algunas de ellas cuidan mucho más la ortografía, son personalizados y se centran en la urgencia para presionar a la víctima. Para su identificación, la Agencia Tributaria registra en su web unos ejemplos de estos mensajes donde los ciberdelincuentes suplantan su identidad.
Declaración de impuestos corporativos
Otra novedad de estafa de la campaña 2024 que se realiza en 2025 son los correos electrónicos falsos que piden acceder a la página web de la Agencia Tributaria para una acción urgente con respecto al Modelo 200, relativo a la declaración de impuestos corporativos.
Consejos para evitar ciberestafas en la renta
La ciberdelincuencia emplea sus armas para vulnerar tu intimidad a pesar de que lleves a cabo medidas preventivas, por eso es tan importante estar preparado. Para no caer en estas estafas en la declaración de la renta, te dejamos algunas recomendaciones.
Presta atención al mensaje
Para la campaña, la Agencia Tributaria publicó un aviso de seguridad en mayo de 2025, para recordar que:
- No solicita información confidencial por correo electrónico o SMS. No pide números de cuenta ni adjunta información de facturas, por ejemplo.
- No hace devoluciones a tarjetas de crédito o débito.
- No cobra por los servicios que presta.
Recuerda que la Agencia Tributaria no envía solicitudes por Bizum y solo utiliza el correo o el SMS para informar sobre el estado de tu declaración
No abras archivos adjuntos ni enlaces
Desconfía de archivos adjuntos que no has solicitado. Lo conveniente es borrar el mensaje sin siquiera abrirlos.
No facilites tus datos personales devoluciones
Evita siempre facilitar tus datos, ya sean contraseñas o números de tarjeta, si te los solicitan para realizar supuestos reembolsos. Especial cuidado con los mensajes tipo SMS como “la agencia tributaria os ha calificado para un reembolso”.
Revisa el dominio
Comprueba que la dirección web del remitente sea igual a la oficial en su totalidad, ya que a veces son muy parecidas y esto puede dar lugar a confusión.
El dominio de la Agencia Tributaria es “aeat.es”. Si dudas, escribe directamente la dirección web en un buscador y no emplees enlaces de correos o mensajes SMS.
Ante todo, es necesario tener presente que el proceso de autenticación en la Agencia Tributaria se lleva a cabo mediante DNI electrónico, clave o certificado digital. Si piden otros datos, hay que sospechar.
Si te preocupa la seguridad de tus datos y lo que pueden hacer los ciberdelincuentes, sobre todo en estas fechas en las que se mueve tanta información confidencial, nosotros te recomendamos que le eches un ojo a Llave ABANCA: el nuevo sistema de verificación de identidad online.
Recuerda que los contenidos de este blog tienen carácter informativo. Cualquier actuación motivada por su contenido o por la interpretación de las normas a las que hace referencia deberá ser analizada de forma específica teniendo en cuenta la situación particular de que se trate.
