La Agencia Tributaria no escribe así. Pero cada semana, miles de españoles abren un email aparentemente oficial, pulsan el enlace adjunto y entregan sus datos bancarios a estafadores sin darse cuenta. El correo parece legítimo: logos oficiales, lenguaje administrativo, referencias al BOE, incluso la firma digital del Gobierno. ¿Cómo distinguir el fraude cuando todo huele a auténtico?
La campaña de phishing más agresiva del año explotó el 12 de febrero de 2026, según alertó el INCIBE. Justo cuando arranca la temporada de la Renta 2025, los delincuentes disparan notificaciones falsas sobre reclamaciones urgentes y supuestas devoluciones de impuestos. El objetivo: robar credenciales bancarias aprovechando que millones de contribuyentes esperan comunicaciones reales de Hacienda.
La regla de oro que Hacienda repite pero nadie escucha
La Agencia Tributaria lleva años martilleando el mismo mensaje: jamás solicita datos bancarios, contraseñas o claves de acceso por correo electrónico o SMS. Nunca. Bajo ningún concepto. Ni para devoluciones, ni para reclamaciones, ni siquiera para confirmar tu identidad.
Todas las notificaciones oficiales llegan exclusivamente a través del sistema DEHÚ (Dirección Electrónica Habilitada Única), accesible desde la sede electrónica oficial de la Agencia Estatal de Administración Tributaria. Si Hacienda necesita datos adicionales, te lo notifica en tu buzón tributario personal. El correo electrónico se usa solo para avisar de que tienes una nueva notificación disponible en tu área privada, pero el enlace siempre apunta a agenciatributaria.gob.es, nunca a dominios alternativos. Esto es fundamental: el aviso no contiene información sensible, solo te redirige a la plataforma oficial donde tú inicias sesión con tus credenciales.
Por qué explota ahora
La Guardia Civil detectó el 3 de febrero de 2026 un repunte brutal en correos fraudulentos coincidiendo con el anuncio oficial del calendario de la Renta 2025. Los estafadores explotan tres ventanas críticas cada año: arranque de campaña fiscal en febrero, vencimiento de plazos en junio y cierre de ejercicio en diciembre. En estos periodos, los usuarios bajan la guardia porque esperan comunicaciones reales.
- Campaña Renta 2025 anunciada: Fechas oficiales publicadas el 6 de febrero, phishing detectado 6 días después
- Sofisticación técnica: IA generativa replica lenguaje administrativo con precisión inédita hasta 2026
- Volumen de envíos: INCIBE reporta millones de correos distribuidos en 72 horas (estimación 8-10 febrero)
- Tasa de conversión: Entre 2-4% de receptores pinchan el enlace fraudulento según datos históricos Europol
Los delincuentes aprovechan la urgencia fiscal: cuando un correo amenaza con sanciones o promete devoluciones, el cerebro prioriza velocidad sobre análisis. El resultado: credenciales bancarias filtradas en menos de 3 minutos.
Cómo afecta al contribuyente promedio
Frente a este escenario, el impacto va más allá de lo económico. Un usuario que facilita sus datos bancarios a un dominio falso entrega acceso directo a su cuenta: número IBAN, claves de acceso y, en muchos casos, contraseñas que reutiliza en otros servicios. Los estafadores actúan rápido: en menos de 24 horas ejecutan transferencias, contratan microcréditos o venden las credenciales en mercados clandestinos por 50-200€ por cuenta comprometida.
El problema se agrava cuando las víctimas tardan días en detectar el fraude. Los bancos exigen demostrar que el acceso fue fraudulento, lo cual complica la recuperación del dinero si el usuario introdujo sus datos «voluntariamente» en el sitio falso. La carga de la prueba recae sobre la víctima: debe justificar que fue engañada, no negligente. Mientras tanto, el estafador ya vació la cuenta o contrató productos a tu nombre. Recuperar el control implica bloquear tarjetas, cambiar contraseñas en decenas de servicios y, en casos extremos, demostrar ante el banco que no autorizaste las operaciones realizadas con tus propias credenciales.
Qué implica esta escalada de sofisticación
Más allá del robo puntual, esta generación de phishing revela un cambio estructural: los delincuentes ya no lanzan emails masivos con errores ortográficos evidentes. Ahora usan inteligencia artificial para replicar el tono, formato y estructura exacta de las comunicaciones oficiales. Copian plantillas reales de la AEAT, clonan dominios similares (agenciatributaria-gob.es en lugar de agenciatributaria.gob.es) y certifican sus webs falsas con SSL, mostrando el candado de seguridad que antes garantizaba legitimidad.
Esto explica por qué el fraude fiscal digital creció 340% entre 2024 y 2026 según datos de la Policía Nacional. El usuario promedio no tiene herramientas para distinguir un correo falso cuando cada elemento visual y textual es idéntico al original. La única defensa real es conocer qué no hace Hacienda, no qué hace. Porque los estafadores replican lo que sí hace, pero ignoran lo que nunca hará: solicitar datos sensibles fuera de su plataforma oficial. El cambio de paradigma es claro: antes detectabas el fraude por sus errores; ahora solo lo detectas sabiendo qué prácticas son imposibles para la institución real.
Disipando dudas que todos tenemos
P: ¿Hacienda puede pedirme confirmar mi cuenta bancaria por email?
R: No. Nunca solicita IBAN, contraseñas ni acceso bancario fuera de su sede electrónica oficial.
P: ¿Y si el correo incluye el logo oficial y dominio con «gob.es»?
R: Verifica la URL completa antes de pinchar. Los estafadores usan dominios parecidos (gobernación.es, agenciatributaria-gob.es).
P: ¿Puedo responder al email para verificar si es real?
R: Nunca respondas. Accede manualmente a agenciatributaria.gob.es y revisa tu buzón tributario directamente.
P: ¿Qué hago si ya introduje mis datos en un enlace sospechoso?
R: Contacta tu banco inmediatamente, cambia contraseñas, presenta denuncia y notifica al INCIBE (017).
Qué pasará mientras los usuarios no memoricen el detalle crítico
Mirando adelante, las campañas de phishing seguirán perfeccionándose hasta que el reconocimiento visual del fraude sea imposible. La solución no está en detectar correos falsos, sino en automatizar la desconfianza: nunca pinches enlaces en emails sobre temas fiscales, siempre accede manualmente a la web oficial. Hacienda lo repite en cada comunicado, pero el mensaje aún no cala.
Los próximos picos de fraude llegarán en junio (vencimiento Renta) y diciembre (cierre fiscal). Mientras tanto, la Agencia Tributaria mantiene su canal oficial de verificación: ante cualquier duda sobre una notificación, accede directamente a tu área privada o llama al 901 33 55 33. Ningún correo legítimo te pedirá actuar con urgencia introduciendo credenciales fuera de la plataforma oficial. Ese detalle —la solicitud de datos sensibles por email— es el único que delata el fraude al instante, sin importar cuán perfecto parezca el resto del mensaje.
