Cáceres, 09 de junio de 2026

El Instituto Nacional de Ciberseguridad (INCIBE) ha lanzado una alerta de importancia alta ante una nueva campaña de fraude digital en la que ciberdelincuentes se hacen pasar por la Agencia Tributaria para intentar robar datos personales y bancarios de los ciudadanos.

La estafa se realiza mediante la técnica conocida como smishing, una modalidad de fraude que utiliza mensajes SMS para engañar a las víctimas. Los mensajes suelen informar de una supuesta devolución de impuestos, una comunicación pendiente o una incidencia relacionada con Hacienda, e incluyen un enlace que dirige a una página web fraudulenta.

Según advierte INCIBE, estos sitios están diseñados para imitar la apariencia de la sede electrónica de la Agencia Tributaria, con el objetivo de que los usuarios introduzcan datos sensibles como números de tarjeta, claves bancarias o credenciales de acceso.

Cómo identificar el fraude

Los expertos recomiendan prestar especial atención a la dirección web de los enlaces recibidos. Mientras que las páginas oficiales de la Administración suelen utilizar dominios terminados en .gob.es o .es, las webs fraudulentas acostumbran a emplear extensiones poco habituales como .top, .click u otras similares.

Otro aspecto que puede llevar a engaño es que los delincuentes utilizan técnicas de suplantación del remitente, haciendo que el SMS aparezca como si hubiera sido enviado por la propia Agencia Tributaria. En algunos casos, incluso puede mostrarse dentro de conversaciones legítimas recibidas anteriormente.

Además, los mensajes suelen ser muy genéricos, sin incluir el nombre del destinatario ni otros datos identificativos. También pueden contener errores gramaticales, expresiones poco naturales o una redacción que no coincide con las comunicaciones oficiales de la administración.

Qué hacer si recibes uno de estos mensajes

Tanto INCIBE como la Agencia Tributaria recuerdan que nunca solicitan información bancaria, contraseñas o datos confidenciales a través de SMS o correo electrónico. Por ello, cualquier mensaje que solicite este tipo de información debe considerarse sospechoso.

Si recibes uno de estos SMS, lo recomendable es no acceder al enlace, bloquear al remitente y eliminar el mensaje. En caso de duda sobre cualquier gestión tributaria, siempre es aconsejable acceder directamente a la sede electrónica oficial de la Agencia Tributaria.

Si ya se han facilitado datos personales o bancarios, los expertos aconsejan contactar de inmediato con la entidad financiera, recopilar pruebas del fraude y presentar una denuncia ante las autoridades competentes.

Desde INCIBE insisten en que la prevención y la cautela siguen siendo las herramientas más eficaces para evitar caer en este tipo de estafas, cuya sofisticación continúa aumentando año tras año.

Fuentes: Instituto Nacional de Ciberseguridad (INCIBE) y Agencia Estatal de Administración Tributaria (AEAT).