¡Alerta! El SMS que simula ser de Hacienda es una trampa: así vacían tu cuenta con la excusa de la Renta

La Agencia Tributaria ha lanzado una advertencia urgente ante una nueva campaña de mensajes de texto fraudulentos. Estos SMS simulan proceder del organismo público y ofrecen un reembolso del Impuesto sobre la Renta de las Personas Físicas (IRPF) que, en realidad, no existe. El objetivo es único y peligroso: sustraer los datos bancarios de la víctima.

¿En qué consiste exactamente esta estafa?

La Agencia Tributaria ha detectado un incremento significativo de comunicaciones engañosas a través de SMS. Estos mensajes suplantan la identidad de Hacienda y anuncian una devolución de la Renta que está pendiente de cobro. El gancho es siempre el mismo: una cantidad concreta de dinero y la promesa de un ingreso inminente. Sin embargo, el verdadero propósito es redirigir al usuario a un sitio web fraudulento donde se le solicitarán datos sensibles.

• El anzuelo económico: El mensaje incluye una cifra específica, como 287 euros, que resulta creíble y atractiva para el receptor.
• La falsa urgencia: Se impone un plazo límite, normalmente de 24 horas, para crear ansiedad y evitar una reflexión crítica.
• El enlace malicioso: Contiene un enlace acortado que conduce a una página web que imita a la perfección la estética de la sede electrónica de la AEAT.

El modus operandi del fraude: del SMS al robo de datos

Esta técnica delictiva se conoce como smishing, una variante del phishing ejecutada a través de mensajes de texto. El proceso es meticuloso y se repite cada año con mínimas variaciones. El usuario recibe un SMS en su móvil que, debido a la suplantación del remitente, aparece en el mismo hilo de conversación que las comunicaciones legítimas de su banco o de la propia Agencia Tributaria. Este detalle baja la guardia de la víctima.

Al hacer clic en el enlace, el usuario es llevado a un portal falso. Este sitio web es una copia casi exacta del oficial, con los logotipos, colores y tipografía de Hacienda. En él, se presenta un formulario que solicita información bancaria completa:

• Número completo de la tarjeta bancaria.
• Fecha de caducidad de la tarjeta.
• Código de seguridad (CVV).
• En algunos casos, claves de acceso a la banca online.

En cuestión de segundos, los ciberdelincuentes disponen de toda la información necesaria para realizar compras no autorizadas o vaciar por completo la cuenta corriente asociada.

La regla de oro que debes grabar a fuego: Hacienda no pide esto

Existe un principio fundamental que te protegerá de este y otros fraudes similares: la Agencia Tributaria jamás solicita datos bancarios, claves de acceso o números de tarjeta a través de SMS, correo electrónico o aplicaciones de mensajería instantánea. Este punto es innegociable.

El proceso legítimo de una devolución de la Renta funciona de otra manera. El dinero se ingresa automáticamente en la cuenta bancaria que el contribuyente declaró en su modelo 100. No se requiere ninguna confirmación adicional ni un clic en un enlace para validar el cobro. Si Hacienda necesita comunicarse con un ciudadano, lo hará mediante:

• Carta certificada enviada por correo postal.
• Notificaciones electrónicas en el buzón personal de la sede electrónica de la AEAT, siempre y cuando el usuario esté dado de alta en el sistema.

¿Quiénes son los blancos más fáciles?

Aunque cualquier persona con un teléfono móvil puede ser objetivo de esta estafa, hay dos colectivos especialmente vulnerables. En primer lugar, los contribuyentes que están esperando una devolución de la Renta, ya que el mensaje juega con su expectativa. En segundo lugar, las personas mayores o jubiladas que no están familiarizadas con el uso diario de la sede electrónica y pueden confiar más fácilmente en un mensaje de texto con apariencia oficial.

Este año, los ciberdelincuentes han ampliado su objetivo. Los SMS fraudulentos también están llegando a los autónomos. En estos casos, el mensaje varía ligeramente el señuelo, utilizando frases como "regularización pendiente" o "incidencia en el modelo 130". El objetivo es el mismo: infundir miedo a un recargo o sanción para que la víctima actúe sin pensar.

Guía de actuación: qué hacer si recibes este SMS

La prevención es la mejor defensa. Si te llega un mensaje de texto sospechoso, sigue estos pasos de manera disciplinada:

1. No hagas clic en el enlace. Esta es la acción más importante. No interactúes con el mensaje de ninguna manera.
2. No respondas al SMS. Ignora cualquier instrucción que contenga.
3. Bórralo de tu bandeja de entrada. Elimínalo de forma definitiva.

Si sientes la necesidad de comprobar si realmente tienes una devolución pendiente, hazlo siempre por la vía oficial. Accede a la sede electrónica de la AEAT escribiendo la dirección manualmente en la barra de tu navegador. Nunca, bajo ninguna circunstancia, uses el enlace proporcionado en el mensaje. Una vez dentro, con tu sistema de identificación (Cl@ve, certificado digital o número de referencia), podrás consultar tu expediente real.

Un error muy común que debes evitar

Una de las equivocaciones más frecuentes entre las víctimas es borrar el SMS inmediatamente después de darse cuenta del engaño. Esto es un error. Antes de eliminar cualquier rastro, es fundamental hacer una captura de pantalla que incluya:

• El número de teléfono del remitente.
• El contenido completo del mensaje.
• La URL del enlace fraudulento (sin pinchar en él, a veces se ve en el texto).

Estas pruebas son oro puro para una investigación. Con ellas, puedes presentar una denuncia formal ante las autoridades. Además, puedes reenviar toda la información al Instituto Nacional de Ciberseguridad (INCIBE), el organismo que centraliza este tipo de alertas. El INCIBE pone a disposición de los ciudadanos la línea telefónica gratuita 017, donde ofrecen asesoramiento especializado en ciberseguridad.

¿Por qué sigue funcionando este timo año tras año?

El smishing con la marca de Hacienda no es un fenómeno nuevo. Aparece cada primavera desde el año 2019, coincidiendo con el inicio de la campaña de la Renta. La AEAT publica el mismo aviso cada ejercicio, con un cartel rojo en su página web, y cada año el número de víctimas aumenta. Las razones son varias y complejas.

La primera razón es técnica. Las operadoras de telefonía móvil permiten que los remitentes de SMS utilicen un nombre alfanumérico personalizable. Esto significa que el estafador puede hacer que su mensaje aparezca en tu teléfono como "AEAT" o "Hacienda", mezclándose con tus comunicaciones reales. Aunque España aprobó medidas en 2024 para limitar esta suplantación, la implantación total es lenta y los vacíos legales y técnicos aún existen.

La segunda razón es humana y psicológica. El mensaje activa dos resortes emocionales infalibles: la codicia (o la necesidad) de recibir dinero y la urgencia de un plazo perentorio. Una cifra como 287 euros suena realista, no es ni una cantidad tan baja que resulte ridícula ni tan alta que levante sospechas. Y un plazo de 24 horas elimina la capacidad de pensar con calma y contrastar la información.

La crítica y la responsabilidad compartida

Es justo señalar que existe una crítica recurrente: que la Agencia Tributaria lleve siete años repitiendo el mismo aviso sin que las compañías telefónicas hayan cerrado definitivamente el agujero de la suplantación del remitente. Esto refleja la lentitud del ritmo regulatorio en comparación con la agilidad de los ciberdelincuentes.

Mientras tanto, la defensa real reside en el sentido crítico del ciudadano. No existe ningún organismo público, ya sea Hacienda, la Seguridad Social o cualquier otro, que vaya a solicitar el código CVV de tu tarjeta bancaria a través de un mensaje de texto. Si alguien te lo pide, es un timo. La campaña de la Renta de este ejercicio finaliza el 30 de junio para los borradores con resultado a ingresar y domiciliado. Este es, precisamente, el periodo de máxima actividad de estos mensajes fraudulentos. La máxima es clara: ante la duda, desconfía.