¿De verdad puedes distinguir un SMS de la Agencia Tributaria de uno falso? INCIBE lleva semanas registrando una campaña que demuestra que la mayoría de usuarios no pueden. Los mensajes no tienen faltas de ortografía, llegan con número de referencia y hasta replican el tono oficial del reembolso del IRPF.
Lo que los diferencia es invisible a primera vista: el dominio al que apuntan fue registrado hace menos de 48 horas. Y ese detalle, que ningún ciudadano tiene por qué saber, es exactamente la trampa que los ciberdelincuentes están explotando ahora mismo en España.
Qué está detectando INCIBE en esta campaña de smishing
El Instituto Nacional de Ciberseguridad lleva semanas documentando un patrón muy específico: mensajes SMS que informan de un reembolso pendiente del IRPF y dirigen al usuario a un enlace con apariencia institucional. Lo diferencial de esta oleada es la velocidad de rotación de los dominios, todos bajo extensión .es, registrados en menos de dos días antes de ser utilizados.
INCIBE clasifica esta amenaza dentro de las campañas de smishing de alta sofisticación porque los atacantes combinan tres elementos: número de referencia fiscal personalizado, diseño idéntico al portal de la AEAT y un dominio .es que genera confianza visual inmediata en el receptor.
Por qué los dominios .es son ahora la trampa perfecta del INCIBE-smishing
INCIBE advierte que la extensión .es era considerada históricamente de bajo riesgo porque su registro requería más pasos administrativos que un .com genérico. Ese prejuicio de seguridad es ahora el principal activo de los atacantes. Los datos confirman que entre finales de 2024 y principios de 2025, los ataques de phishing basados en dominios .es se multiplicaron por 19.
El smishing con dominios .es resulta especialmente peligroso porque muchas herramientas de seguridad corporativas y filtros de spam están calibrados para bloquear extensiones exóticas, no las nacionales. El usuario ve .es y baja la guardia. El filtro ve .es y lo deja pasar.
Cómo reconocer el mensaje fraudulento antes de abrirlo
INCIBE ha publicado las señales técnicas que permiten identificar este smishing sin necesidad de abrir ningún enlace. La primera es la más importante: ningún organismo público español envía SMS con enlace directo a un formulario de datos bancarios. La AEAT nunca gestiona reembolsos del IRPF por SMS.
La segunda señal es el dominio de destino. Si el enlace no termina exactamente en agenciatributaria.gob.es, es fraudulento sin excepción. Cualquier variación —con guiones, subdominios adicionales o extensión .es comercial— es una señal de alarma que INCIBE identifica como definitoria de esta campaña.
| Característica | Mensaje legítimo AEAT | Mensaje fraudulento detectado |
|---|---|---|
| Canal oficial | Notificación en sede electrónica | SMS con enlace directo |
| Dominio del enlace | agenciatributaria.gob.es | Dominio .es registrado <48h |
| Solicita datos bancarios | Nunca | Sí, en formulario web |
| Número de referencia | Verificable en sede | Generado aleatoriamente |
| Urgencia en el mensaje | No aplica | Alta («plazo de 24 horas») |
Qué hacer si ya pulsaste el enlace según INCIBE
Si accediste al formulario y introdujiste tus datos bancarios, el tiempo de reacción es crítico. INCIBE establece una ventana operativa de menos de dos horas antes de que las credenciales robadas se procesen y utilicen. El primer paso es llamar inmediatamente a tu banco para bloquear preventivamente cualquier operación en curso.
Después, INCIBE recomienda tres acciones en paralelo: guarda capturas de pantalla de todos los mensajes recibidos, presenta denuncia ante la Policía Nacional o la Guardia Civil y llama al 017, la Línea de Ayuda en Ciberseguridad del INCIBE, gratuita y disponible todos los días del año. No esperes a confirmar si se ha producido movimiento en tu cuenta.
INCIBE y la previsión para los próximos meses: más oleadas y más precisión
Los expertos de INCIBE anticipan que esta tipología de smishing con dominios .es seguirá creciendo durante todo 2026, especialmente en los periodos clave del calendario fiscal: campaña de la renta, declaraciones trimestrales y notificaciones de la AEAT. La sofisticación irá en aumento porque los atacantes ya saben que este vector funciona.
El consejo de experto es estructural: configura desde hoy una regla mental sencilla. Cualquier SMS que incluya un enlace y mencione dinero, impuestos o datos personales es fraudulento hasta que puedas verificarlo accediendo directamente —sin pulsar nada— a la sede electrónica oficial. INCIBE lo resume en una frase que conviene memorizar: ninguna administración pública española gestiona reembolsos, multas ni incidencias fiscales por SMS con enlace.
