Cuidado con los correos falsos de la Agencia Tributaria
¿Has recibido un correo avisándote de que consultes una notificación electrónica sobre una reclamación a Hacienda? Pues no pinches en ningún enlace sin comprobar antes de qué dirección viene, porque puede ser falso. Ciberdelincuentes están suplantando a la Agencia Tributaria para conseguir las claves de acceso a la Dirección Electrónica Habilitada Única (DEHÚ) de los contribuyentes.
El Instituto Nacional de Ciberseguridad (INCIBE) ha emitido una alerta sobre una campaña de phishing en la que los atacantes suplantan a la Agencia Estatal de Administración Tributaria (AEAT). Te contamos en que consiste el engaño para que estés alerta y no caigas.
¿En qué consiste el phishing de la AEAT?
Se trata de una información falsa que te llega por correo electrónico informándote de que te ha llegado una notificación electrónica relacionada con una reclamación. El correo incluye un enlace que redirige a una página fraudulenta que imita el diseño oficial tanto de la DEHÚ como de la propia AEAT. A simple vista, el mensaje parece legítimo por su redacción y maquetación; sin embargo, la dirección del remitente no guarda relación con el dominio oficial “agenciatributaria.gob.es”, un primer indicador de fraude. Entre los asuntos detectados se encuentra: “Aviso puesta a disposición de nueva notificación electrónica REF XXXXXXXX”, aunque pueden existir variantes.
¿Cuál es el riesgo de este fraude?
El objetivo de los ciberdelincuentes es engañar a las víctimas para que faciliten sus credenciales de acceso a la Dirección Electrónica Habilitada Única (DEHÚ), un servicio oficial utilizado para comunicaciones administrativas. Esta práctica supone un serio riesgo para la seguridad digital y la protección de datos personales.
¿Cómo funciona?
Si llegas a pinchar en el enlace, te dirigen a una web falsa, donde te piden un identificador y una contraseña con los que los delincuentes pueden acceder a los servicios electrónicos vinculados a trámites fiscales. Una vez ahí, pueden acceder a tu información personal y hacer un uso indebido de ella. Es un ataque que compromete tu privacidad.
Cómo protegerse de este phishing
Recuerda que las gestiones con la Administración Pública solo pueden realizarse a través de sistemas oficiales de identificación como Cl@ve permanente o Cl@ve móvil, certificado digital o DNI electrónico y que debes ser tú quien inicia el proceso.
Si recibes un correo de estas características, no pinches el enlace, reenvía el mensaje al buzón de incidentes de INCIBE, bloquea a el emisor elimínalo de tu bandeja de entrada. Esta colaboración es clave para prevenir que otros consumidores caigan en la trampa y permite reforzar la seguridad colectiva. Además, es fundamental ser prudentes ante cualquier comunicación no verificada y contrastemos la información únicamente a través de los canales oficiales de la Agencia Tributaria. Si crees que puedes tener una notificación, accede tu a la web de la Agencia Tributaria directamente, nunca a través de enlaces que te hayan remitido.
En el caso de que hayas accedido al enlace o facilitado datos personales, contacta con la Línea de Ayuda en Ciberseguridad (teléfono 017), recopila y conserva todas las evidencias —capturas de pantalla, enlaces o mensajes— y presenta una denuncia ante la policía. La denuncia es esencial para garantizarte la protección legal en el caso de que se llegaran a usar tus datos para cometer algún delito y para que se investiguen los hechos.
También es recomendable que busques de vez en cuando tu nombre en internet (egosurfing) para comprobar si tu información personal circula en la red. Por supuesto, no olvides cambiar las credenciales de acceso que te hayan podido robar, utilizando contraseñas únicas para cada servicio y activando la doble autenticación.
Puedes consultar otras alertas, avisos y consejos para protegerte del phishing y otras ciberamenazas en:
