Panda SecurityCada año, el inicio de la campaña de la Renta marca una cita clave para millones de contribuyentes… Y, no solo de contribuyentes, sino de ciberdelincuentes, que aprovechan la urgencia, el volumen en las comunicaciones y la confianza en los organismos oficiales para multiplicar sus ataques de phishing, smishing y malware. Conocer los riesgos es el primer paso para evitar caer en la trampa.
El origen de los ciberengaños en la declaración de la renta
Todo puede empezar con un email. Un mensaje aparentemente legítimo, con el asunto “Aviso puesta a disposición de nueva notificación electrónica REF-XXX”. Este no levanta sospechas… hasta que es demasiado tarde. Detrás puede esconderse una trampa diseñada para robar credenciales de acceso a servicios oficiales y datos fiscales. Y no es algo puntual. Este tipo de engaños se dispara coincidiendo con el inicio de la Campaña de la Renta en España.
Esta época del año, como otras fechas como Navidad o Hallowen, se ha consolidado como un señuelo recurrente para los ciberdelincuentes. Aprovechan el volumen de comunicaciones y la urgencia de los trámites para aumentar la eficacia de sus ataques. Aunque no existe una cifra oficial que mida exclusivamente el fraude en estas semanas, las cifras en términos globales y la situación en general no dejan lugar a las dudas. Solo en 2024, el INCIBE gestionó más de 97.000 incidentes de ciberseguridad, de los cuales más de 38.000 estaban relacionados con fraude online y phishing. A esto se suma una constante. Tanto INCIBE como la Agencia Tributaria emiten cada año avisos específicos alertando de campañas que suplantan a Hacienda durante este periodo.
El problema es que estos ataques no siguen un único patrón. Evolucionan, se adaptan y combinan distintos canales, correo electrónico, SMS, llamadas o incluso anuncios en buscadores para resultar cada vez más creíbles. Sin embargo, todos comparten un mismo objetivo: hacer que el usuario actúe rápido y sin cuestionar el mensaje.
Los 10 ciberengaños más frecuentes de la renta de 2025
Estos son los 10 ciberengaños más frecuentes durante la Campaña de la Renta en España y las claves para identificarlos a tiempo.
1. El email de “nueva notificación electrónica”
Es uno de los cebos más eficaces. Un correo bien redactado, con apariencia institucional, que invita a consultar una supuesta notificación o reclamación de la Agencia Tributaria. El asunto suele jugar con fórmulas como “Aviso puesta a disposición de nueva notificación electrónica REF-XXXX” o variantes similares que apelan directamente a la urgencia.
“¿Quién no querría revisar cuanto antes una comunicación oficial de Hacienda?”. Explica Hervé Lambert, Global Consumer Operation Manager de Panda Security. Y ahí está precisamente la clave del engaño: provocar una reacción inmediata, sin dar tiempo a cuestionar el mensaje.
Este tipo de campañas han sido documentadas por el INCIBE y suelen seguir un patrón muy claro. El email incluye un enlace que redirige a una página que imita la sede electrónica oficial. Una vez allí, la víctima introduce sus credenciales (Cl@ve, DNI, contraseña o incluso datos bancarios), que pasan directamente a manos de los atacantes.
Correos más sofisticados gracias a la IA
Además, la irrupción de la inteligencia artificial ha elevado el nivel de sofisticación. Los correos ya no contienen errores evidentes. Están bien escritos, utilizan un tono administrativo creíble, incorporan referencias o identificadores plausibles. E incluso pueden incluir datos parcialmente personalizados. Esto hace que sean mucho más difíciles de detectar a simple vista.
“Aun así, hay señales que siguen repitiéndose”, asegura Lambert. “Como remitentes que no corresponden exactamente con el dominio oficial, que el mensaje genera más urgencia de la necesaria, que incluye enlaces directos, que comienza con un saludo genérico y que contiene errores sutiles en la URL”. Y, aunque la recomendación es siempre la misma: no acceder a la Agencia Tributaria a través de enlaces recibidos por correo electrónico, siempre puede pasar que se caiga en la trampa.
Por eso, “si has hecho clic y has introducido tus datos, es fundamental que actúes con rapidez y cambies inmediatamente tus credenciales a través de la página oficial de la Agencia Tributaria. Además de contactar con el banco para solicitar vigilancia de movimientos o bloqueo preventivo. Revisar si se ha producido ya un acceso no autorizado, escanear tu dispositivo con algún antivirus para descartar malware. Y, que reportes el incidente al INCIBE y a la propia Agencia Tributaria”.
2. El SMS de “reembolso aprobado”
Sencillo, pero efectivo. Este tipo de engaños suele basarse en un mensaje breve, directo, con un importe concreto que responde a un supuesto reembolso de impuestos, y un enlace para tramitarlo. Un gancho que no necesita de más adornos para activar un impulso en nuestro cerebro: cobrar cuanto antes.
“La Agencia Tributaria y el INCIBE llevan años alertando de este tipo de campañas, que se intensifican durante la campaña de la Renta”. Apunta el directivo de Panda Security. Quien asegura, además, que “con la ayuda de la IA, estos SMS son ahora más creíbles, y avisan de importes ajustados con lenguaje natural y múltiples variantes para evitar filtros”.
Para evitar caer en la trampa hay que estar alerta para detectar señales que se repiten. “Mensajes con importe exacto y sensación de urgencia; presencia de enlaces acortados o sospechosos; remitentes desconocidos o números móviles. Ademñas de promesas de devolución inmediata fuera de los canales institucionales”. Hay que saber, que la Agencia Tributaria “no comunica devoluciones mediantes SMS con enlaces”, subraya Lambert.
Sin embargo, quien haya caído en la trampa debe ser rápido y contactar con el banco, cambiar las contraseñas y reportar al INCIBE el suceso.
3. La web clonada de la Agencia Tributaria
Aquí es donde el engaño alcanza su punto más peligroso. El usuario cree haber accedido a un entorno oficial, pero en realidad está interactuando con una réplica diseñada para robar sus datos. Estas páginas imitan con gran precisión la sede electrónica de la Agencia Tributaria o la Dirección Electrónica Habilitada Única. Incluyendo diseño, estructura, textos legales e incluso mensajes de error.
El INCIBE ha documentado múltiples campañas de este tipo. Y, la irrupción de la IA generativa ha elevado aún más su sofisticación con interfaces prácticamente idénticas, lenguaje administrativo impecable y flujos de navegación que simulan la experiencia real. “En algunos casos, incluso reproducen pequeños fallos o tiempos de carga para parecer más auténticas”, apunta Lambert.
Pero, aunque visualmente son convincentes, hay señales que permiten identificar estos engaños. “La URL no es exactamente la oficial, hay presencia de dominios con ligeras variaciones o añadidos, acceso desde enlaces en correos o SMS en lugar de navegación directa, y certificados de seguridad inconsistentes o inexistentes”. Enumera el experto.
4. El formulario que pide credenciales o datos personales
No todos los ataques necesitan una web completa. En muchos casos, basta con un formulario convincente que solicita datos personales bajo el pretexto de “gestionar una notificación” o “validar una devolución”.
La Agencia Tributaria ha alertado de campañas en las que se pide incluso la contraseña del correo electrónico. “Algo que ningún organismo oficial hará”, puntualiza el experto de Panda Security. Con IA, estos formularios son cada vez más sofisticados y simulan procesos reales, validan campos en tiempo real y adaptan los mensajes según la interacción del usuario.
Pero no todo está perdido. “Para detectar este tipo de trampas es necesario ignorar solicitudes de datos sensibles desde enlaces externos. Dudar de formularios excesivamente simples o poco consistentes y de aquellos en los que falte contexto claro sobre el trámite en cuestión. Y, evitar directamente las peticiones de información que no correspondan al proceso”. Señala Lambert. Sin embargo, si ya has caído en la trampa, “deberás cambiar inmediatamente todas las contraseñas afectadas, activar la verificación en dos pasos, y revisar los accesos recientes en tus cuentas”.
5. El fraude del pago pendiente o sanción
En este caso, el gancho no es la oportunidad, sino el miedo. Mensajes que hablan de sanciones, deudas, embargos o bloqueos pueden forzar en el receptor una reacción impulsiva que le ciegue y evite pararse a pensar.
La Agencia Tributaria ha advertido de campañas que incluyen documentos falsos con instrucciones para realizar pagos a cuentas fraudulentas. Gracias a la IA, estos mensajes utilizan terminología fiscal creíble y estructuras muy similares a comunicaciones reales.
Para detectarlo hay que fijarse en el tipo de lenguaje que utiliza. “En este tipo de trampas se suele usar expresiones alarmistas como “último aviso” o “acción inmediata” para despertar el miedo de la víctima. Además, solicitan pagos urgentes fuera de los canales oficiales. Incluyen IBAN y otras instrucciones de pago en documentos adjuntos. Y, presionan para resolver la situación rápidamente”. Cuando, hay que recordar que Hacienda “no solicita pagos urgentes por email ni por SMS”. Si ya has caído, “contacta con tu banco de inmediato para intentar bloquear la operación; guarda toda la documentación del fraude; presenta denuncia; e informa a la Agencia Tributaria”, aconseja Lambert.
6. El adjunto malicioso o PDF señuelo
No todos los ataques buscan directamente tus credenciales. En muchos casos, el objetivo es que abras un archivo. Un PDF o documento que parece una notificación oficial de la Agencia Tributaria puede ser en realidad la puerta de entrada a un malware o una excusa para empujarte a realizar un pago fraudulento. El problema es que estos archivos ya no tienen el aspecto descuidado de antes. Gracias a la inteligencia artificial, son visualmente impecables, con textos bien redactados y un formato prácticamente indistinguible del oficial.
“Antes podías sospechar por un error o un diseño pobre. Hoy, muchos de estos documentos están tan bien construidos que el usuario baja la guardia”, explica Lambert. Por eso, la clave está en el contexto. Si no esperas ese archivo, si llega sin previo aviso o si te empuja a actuar fuera de los canales habituales, es motivo suficiente para desconfiar.
Si aún así se ha abierto el archivo o se ha interactuado con él, conviene actuar rápido. Lo primero es no seguir interactuando con ese contenido y ejecutar un análisis completo con una solución de seguridad. Si el dispositivo empieza a comportarse de forma extraña, es recomendable desconectarlo temporalmente de la red. Y, por precaución, cambiar las contraseñas desde otro dispositivo seguro. “Cuando hablamos de malware, el tiempo de reacción es clave para minimizar el impacto”, añade el experto de Panda Security.
7. La llamada falsa de Hacienda
El teléfono sigue siendo uno de los canales más eficaces para el fraude. Durante la campaña de la Renta, aumentan las llamadas de supuestos agentes de la Agencia Tributaria que ofrecen ayuda, alertan de incidencias o solicitan confirmación de datos. La diferencia es que hoy estas llamadas son mucho más creíbles. “El uso de inteligencia artificial permite generar voces más naturales e incluso simular identidades”, recuerda Lambert.
“Cuando alguien te llama y te habla con seguridad, utilizando términos técnicos y un tono profesional, es fácil confiar. Ahí es donde está el peligro”, señala el experto. Sin embargo, hay una regla básica que no cambia. La Agencia Tributaria solo contacta telefónicamente si el contribuyente ha solicitado cita previa.
Las señales de alerta suelen ser claras si se analizan con calma: llamadas inesperadas, peticiones de datos personales o bancarios y cierta presión para actuar en ese mismo momento. Si ya se ha facilitado información, lo más importante es cortar la comunicación cuanto antes, contactar con el banco si hay datos financieros implicados y verificar la situación directamente con la Agencia Tributaria. También es recomendable denunciar el intento de fraude. “Ante la duda, colgar y comprobar por tu cuenta siempre es la mejor decisión”, insiste Lambert.
8. La falsa cita previa o servicio de pago
Otro de los engaños habituales durante estas fechas consiste en ofrecer ayuda para conseguir cita previa. Páginas web o teléfonos que se presentan como intermediarios, pero que en realidad buscan cobrar por un trámite gratuito o recopilar datos personales.
Estos servicios suelen aprovechar la saturación del sistema y la urgencia de los usuarios. “Cuando una persona no consigue cita fácilmente, es más probable que acepte ayuda sin cuestionarla demasiado”, explica Lambert. La sofisticación ha aumentado con la IA, que permite crear páginas más profesionales, asistentes automatizados o respuestas más convincentes.
La mejor forma de evitar este fraude es recordar que la cita previa con la Agencia Tributaria es gratuita y solo debe gestionarse a través de sus canales oficiales. Si se ha realizado un pago o facilitado información, conviene intentar cancelarlo cuanto antes, no seguir interactuando con el servicio y acudir siempre a la vía oficial. “Si alguien te cobra por algo que la Administración ofrece gratis, es una señal clara de alerta”, apunta el directivo de Panda Security.
9. El ataque multicanal
El fraude ya no llega en un único mensaje. Ahora es una historia que se construye en varios pasos. Primero un email, luego un SMS de recordatorio y, finalmente, una llamada para reforzar la credibilidad. Todo encaja, todo parece coherente.
Este enfoque, cada vez más habitual, se ve potenciado por la inteligencia artificial, que permite automatizar y coordinar campañas a gran escala. “El usuario no percibe mensajes aislados, sino una conversación continua, y eso genera una falsa sensación de legitimidad”, explica Lambert.
Detectarlo no siempre es fácil, pero hay patrones que se repiten: urgencia creciente, enlaces externos y presión para actuar rápidamente. Si se ha caído en este tipo de fraude, lo más importante es cortar toda interacción de inmediato, verificar la información por canales oficiales y cambiar las credenciales si se han compartido datos. También es recomendable guardar los mensajes y reportarlos. “Cuando varios canales insisten en lo mismo, no significa que sea más real, sino todo lo contrario”, advierte Lambert.
10. El fraude hiperpersonalizado
El último nivel de sofisticación es el fraude que parece hecho a medida. Mensajes que incluyen tu nombre, un importe concreto, una referencia o incluso datos parcialmente reales. Todo encaja y genera confianza.
La inteligencia artificial ha permitido escalar este tipo de ataques sin perder calidad. “Ya no hablamos de correos masivos genéricos, sino de mensajes que parecen escritos específicamente para ti”, señala Lambert. Y ese es precisamente el problema, porque cuanto más creíble parece el mensaje, más fácil es bajar la guardia.
Aquí la clave está en cambiar el enfoque y no confiar en lo bien que está escrito el mensaje, sino en el canal por el que llega. Si aún así se han facilitado datos, la reacción debe ser inmediata: cambiar credenciales, revisar la actividad de las cuentas, activar medidas de seguridad adicionales y denunciar el incidente.
“La gran lección es que la credibilidad del mensaje ya no es un indicador fiable. Hoy, cualquier fraude puede parecer legítimo”, concluye Lambert.
