El Instituto Nacional de Ciberseguridad (INCIBE) ha alertado de una nueva campaña de fraude que suplanta la identidad de la Agencia Estatal de Administración Tributaria (AEAT) mediante mensajes de texto fraudulentos enviados al teléfono móvil de las víctimas.
La alerta, publicada este 26 de mayo y catalogada con un nivel de importancia “alta”, advierte de un caso de ‘smishing’ —fraude a través de SMS— cuyo objetivo es engañar a los usuarios para que faciliten sus datos personales y bancarios accediendo a enlaces maliciosos.
Según explica INCIBE, los ciberdelincuentes envían mensajes haciéndose pasar por la Agencia Tributaria en los que informan al usuario de que existe una supuesta comunicación pendiente o una devolución relacionada con impuestos. El SMS incluye un enlace que redirige a una página web falsa que imita la apariencia de la sede electrónica oficial de la AEAT.
Cómo identificar el fraude
INCIBE señala que existen varios elementos que permiten detectar que el mensaje es falso.
Uno de ellos es el propio enlace web, ya que las páginas oficiales de la Agencia Tributaria siempre terminan en dominios “.gob.es” o “.es”, mientras que en esta campaña se utilizan dominios sospechosos terminados en “.top” o “.click”, habituales en páginas temporales creadas para estafas.
Además, aunque el remitente aparezca como “AEAT”, los expertos advierten de que esto también puede ser manipulado mediante técnicas conocidas como “SMS spoofing”, que permiten a los delincuentes ocultar el número real y hacer que el mensaje parezca auténtico.
Otro aspecto que delata el fraude es la redacción del mensaje, con frases poco naturales, errores de puntuación y ausencia de datos personales. INCIBE recuerda que las comunicaciones reales de la administración suelen incluir el nombre del destinatario o parte del NIF y no utilizan mensajes genéricos.
La AEAT nunca solicita datos bancarios por SMS
El organismo insiste en que la Agencia Tributaria jamás solicita por SMS o correo electrónico información confidencial, números de cuenta, tarjetas bancarias o claves personales, ni envía enlaces directos para cobrar devoluciones de impuestos.
Las devoluciones tributarias únicamente se tramitan a través de la sede electrónica oficial o mediante los procedimientos habituales de la declaración de la renta.
Recomendaciones para los afectados
INCIBE recomienda que, en caso de haber recibido el mensaje pero no haber accedido al enlace, se elimine el SMS, se bloquee al remitente y se reporte el incidente.
Si el usuario sí ha introducido datos personales o bancarios en la página fraudulenta, aconseja contactar inmediatamente con la entidad bancaria para bloquear posibles movimientos no autorizados y recopilar pruebas como capturas de pantalla o enlaces recibidos.
Asimismo, recomienda denunciar los hechos ante las Fuerzas y Cuerpos de Seguridad del Estado y vigilar durante los meses posteriores si la información personal ha podido ser utilizada de forma fraudulenta.
El organismo recuerda también la importancia de verificar siempre cualquier comunicación sospechosa a través de los canales oficiales antes de realizar cualquier acción.
