Recibes un correo que dice que Hacienda te debe 311 euros y que tienes que verificar tus datos bancarios para cobrarlos. El mensaje lleva el logo oficial, los colores de la Agencia Tributaria y hasta una referencia numérica que parece real. Antes de que acabes de leer este párrafo, ya habrás sentido el impulso de pinchar. Eso es exactamente lo que buscan.
La campaña de la renta de 2026 ha disparado una oleada de fraudes digitales que suplanta a Hacienda con una precisión nunca vista. Según la empresa de ciberseguridad Proofpoint, más de un centenar de campañas con señuelos fiscales se han detectado solo en lo que va de año, algunas capaces de instalar software malicioso que controla tu ordenador sin que lo percibas.
Hacienda nunca te pedirá lo que ese correo te pide
La propia Agencia Tributaria lo repite en cada campaña porque sigue siendo necesario: Hacienda jamás solicita datos bancarios, números de tarjeta ni contraseñas por correo electrónico o SMS. Si te corresponde una devolución del IRPF, el dinero llega solo a la cuenta que indicaste en tu declaración, sin trámite adicional, sin confirmar nada, sin hacer clic en ningún enlace.
Lo que los estafadores aprovechan es el cóctel perfecto: millones de personas esperando una transferencia, el estrés fiscal de abril y junio, y la urgencia artificial que crean los mensajes falsos. Expresiones como «su devolución caduca en 24 horas» o «último aviso antes de penalización» son señales de alarma, no de autenticidad.
Cómo reconoce Hacienda un fraude en su propio nombre
La Agencia Tributaria publica en su sede electrónica un registro actualizado de fraudes detectados. El phishing que suplanta a organismos oficiales funciona así: el mensaje incluye un enlace que lleva a una web clonada, con el logo y los colores exactos de la AEAT, donde se pide el número de tarjeta, el CVV y las claves del banco. En cuestión de minutos, los estafadores hacen cargos o vacían la cuenta.
La señal más fiable para detectar el fraude es el remitente. Si la dirección de correo no termina exactamente en agenciatributaria.gob.es, el mensaje es falso aunque incluya logotipos oficiales y parezca administrativamente impecable. Los delincuentes utilizan dominios registrados ad hoc —agenciatributaria-es.com, aeat-devolucion.net— que a primera vista engañan a cualquiera.
El fraude que ahora también va a por tus criptomonedas y tu ordenador
En 2026, la AEAT ha documentado modalidades de phishing que van mucho más allá del robo bancario clásico. Algunos correos fraudulentos solicitan pagos en criptomonedas con la coartada de regularizar una supuesta deuda fiscal. Otros adjuntan un PDF o un archivo ZIP que, al abrirlo, instala un programa que da al atacante acceso remoto completo al dispositivo de la víctima.
El colectivo más vulnerable sigue siendo el de los contribuyentes que esperan devolución y el de los jubilados con menos familiaridad con la sede electrónica. Pero este año los autónomos también están en el punto de mira, con mensajes que hablan de incidencias en el modelo 130 o de regularizaciones urgentes del IVA, jugando con el miedo al recargo.
Qué hacer si ya has picado
Actúa en los primeros minutos
El tiempo es decisivo. Si has introducido datos bancarios en una web fraudulenta, llama de inmediato a tu banco para bloquear la tarjeta o la cuenta afectada. La mayoría de entidades tienen líneas de fraude operativas las 24 horas. Cuanto antes actúes, más posibilidades hay de detener las transacciones no autorizadas.
Denuncia y notifica
Tras contactar con el banco, denuncia ante la Policía Nacional o la Guardia Civil y reporta el mensaje a la AEAT a través de su sede electrónica, en el apartado de soporte a cuestiones informáticas. El INCIBE también atiende incidencias en el 017. Cada denuncia ayuda a retirar la web fraudulenta más rápido y protege a otras potenciales víctimas.
Las cuatro reglas que te salvan la cuenta
- No accedas desde el enlace: Escribe siempre manualmente
sede.agenciatributaria.gob.esen el navegador. - Desconfía de la urgencia: Los plazos fiscales reales se miden en semanas, nunca en horas.
- Revisa el remitente al completo: Un solo carácter de diferencia convierte una dirección oficial en una trampa.
- No descargues adjuntos no solicitados: Un PDF de Hacienda que no pediste puede ser malware disfrazado.
El fraude se sofisticará, pero la defensa es siempre la misma
La tendencia para la segunda mitad de 2026 apunta a mensajes de phishing generados con inteligencia artificial, capaces de personalizar el asunto del correo con tu nombre real y tu NIF. Hacienda y el INCIBE ya trabajan en sistemas de alerta temprana que avisen al contribuyente antes de que el fraude llegue a su bandeja de entrada. La tecnología del engaño avanza, pero también la del escudo.
Lo bueno es que la regla de oro no cambia: Hacienda no te pedirá jamás que hagas nada para cobrar tu devolución. Si un mensaje te exige acción para recibir dinero del fisco, ya sabes lo que es. Ciérralo, bórralo y cuéntaselo a alguien mayor que quizá no lo sepa.
