La Agencia Estatal de Administración Tributaria (AEAT) informó sobre una nueva ola de fraudes digitales durante la campaña de la Renta 2026, que incluye correos falsos con solicitudes de pago en criptomonedas, SMS con enlaces a sitios clonados y llamadas que suplantan a su personal directivo.
Cada año, millones de contribuyentes reciben comunicaciones relacionadas con la campaña de la Renta. La Agencia Tributaria advirtió que ciberdelincuentes aprovechan este contexto para lanzar fraudes digitales cada vez más sofisticados, según informó en su Sede Electrónica.
Los ataques más habituales incluyen correos electrónicos que anuncian devoluciones pendientes, SMS que prometen ingresos inmediatos o notificaciones urgentes sobre supuestos pagos pendientes. El objetivo es obtener datos personales, bancarios o confidenciales, o realizar pagos que no se recuperan.
La AEAT señaló que en 2026 ya se detectaron al menos seis modalidades de fraude activas, según el registro público disponible en su página de casos de suplantación. Entre ellas, una campaña que usa terminología fiscal real y apariencia institucional para solicitar transferencias a carteras de criptomonedas. La agencia aclaró que no utiliza ‘wallets blockchain’ ni solicita pagos mediante criptomonedas bajo ningún concepto.
Tres señales que delatan un fraude
La Agencia Tributaria estableció tres límites que nunca traspasa en sus comunicaciones oficiales:
- Nunca pide datos personales, bancarios ni números de tarjeta por correo electrónico o SMS.
- Nunca realiza devoluciones a tarjetas de crédito, débito ni por Bizum.
- Nunca cobra por los servicios que presta.
Si un mensaje incumple alguno de estos puntos, la AEAT lo considera una estafa.
Qué hacer al recibir un mensaje sospechoso
La AEAT recomendó no actuar por impulso y seguir estos pasos:
- No abrir mensajes de remitentes desconocidos. Si no se solicitó, eliminarlo directamente.
- No responder ni hacer clic en ningún enlace, aunque el remitente parezca conocido o tenga el logo oficial de la agencia.
- No descargar archivos adjuntos de correos no solicitados.
- Teclear directamente la dirección sede.agenciatributaria.gob.es en el navegador para acceder a la Sede Electrónica, sin usar enlaces recibidos por correo o SMS.
- Verificar el certificado de seguridad del sitio web antes de introducir cualquier dato.
- Contactar con la Agencia Tributaria para confirmar la autenticidad de cualquier comunicación que genere dudas.
Cómo reportar un intento de fraude
Quien reciba un mensaje sospechoso puede reportarlo a través de la sección Soporte a cuestiones informáticas de la Sede Electrónica o desde la app oficial de la Agencia Tributaria, en el apartado Asistencia y Cita. La AEAT actualiza de forma continua la lista de casos detectados en su página de suplantación.