Alertan acerca de una estafa que suplanta a Hacienda a través de la remisión de correos electrónicos engañosos: “Obtienen las claves de acceso del afectado para realizar acciones en su nombre”
Nueva estafa
El Instituto Nacional de Ciberseguridad advierte que tales comunicaciones parecen legítimas e informan sobre una posible “nueva notificación electrónica”
María Aperador, especialista en seguridad informática, comenta el fraude vigente que suplanta la identidad de la DGT: "Ya no nos envían SMS, ahora te contactan a través de correos electrónicos"
Las estafas digitales continúan en aumento en España
Los fraudes cibernéticos siguen creciendo en España, posicionándose como uno de los mayores peligros para los usuarios de la red. De acuerdo con datos de las Fuerzas y Cuerpos de Seguridad del Estado,, los ilícitos por engaños en línea se han incrementado durante 2025 casi un 40% en comparación con el mismo lapso del ejercicio previo, lo que supone el 18% de la totalidad de las infracciones penales en nuestra nación.
Bajo este escenario, el Instituto Nacional de Ciberseguridad (INCIBE) ha advertido hace poco sobre una reciente oleada de emails engañosos que fingen ser la Agencia Estatal de Administración Tributaria (AEAT). Según lo comunicado por EFE, la finalidad de tales comunicaciones consiste en sustraer los datos de entrada de los internautas a través de la estafa y el robo de identidad.
Conforme a la Oficina de Seguridad del Internauta (OSI), los correos electrónicos se presentan con un aspecto verídico y alertan sobre la presunta disponibilidad de una “nueva notificación electrónica”. El texto contiene un vínculo que encamina a un portal fraudulento que suplanta la identidad visual de la Agencia Tributaria y de la Dirección Electrónica Habilitada Única (DEHÚ).
Un aspecto fundamental para reconocer el engaño es el emisor del mensaje. Si bien el texto pretende ser de una institución pública, la cuenta de correo no corresponde al dominio auténtico agenciatributaria.gob.es. De igual modo, los títulos suelen presentar alusiones generales y claves, tales como “Aviso puesta a disposición de nueva notificación electrónica REF-XXXXX”, buscando provocar una sensación de rapidez y confianza.
Al entrar en el enlace, se dirige al internauta a un sitio web engañoso en el que se le pide un nombre de usuario y una clave. De esta forma, “los ciberdelincuentes pueden obtener las claves de acceso del afectado y utilizarlas para acceder a otros servicios o realizar acciones en su nombre”, asegura EFE.
¿Qué pasos seguir tras recibir un correo electrónico de naturaleza engañosa?
INCIBE sugiere remitir los mensajes de carácter fraudulento a su buzón de incidentes.
INCIBE sugiere que los destinatarios de estos mensajes eviten pulsar en el vínculo y lo remitan a la dirección de incidentes de la entidad. Asimismo, insta a restringir al emisor y borrar la comunicación para prevenir amenazas ulteriores.
Si se han suministrado datos privados, el organismo sugiere comunicarse rápidamente con la Línea de Ayuda en Ciberseguridad para obtener orientación, guardar cada evidencia del engaño e interponer una denuncia ante las Fuerzas y Cuerpos de Seguridad del Estado.
Asimismo, se aconseja modificar las claves vulneradas, sobre todo si se emplean en distintas plataformas, habilitar la verificación en dos pasos y supervisar eventuales utilizaciones inapropiadas de los datos privados en la red.
Desde INCIBE señalan que las gestiones con el sector público deben efectuarse únicamente mediante vías formales y métodos de acreditación validados, tales como Cl@ve, DNI electrónico o certificado digital, y sugieren recelar siempre de comunicaciones que pidan información privada por correo electrónico.