Él Instituto Nacional de Ciberseguridad (Incibe) ha alertado en el último mes sobre una campaña de fraude a través de mensajes de texto que suplantan la identidad de la Agencia Estatal de Administración Tributaria (AEAT). El objetivo de los ciberdelincuentes es engañar a los usuarios para que accedan a enlaces fraudulentos y que proporcionen información personal y bancaria.

Según el organismo, la campaña se realiza a través de mensajes SMS que informan a las víctimas de la existencia de una supuesta comunicación oficial pendiente de consulta. «La Agencia Tributaria ha emitido una comunicación dirigida a usted que recibes como titular», se lee en el mensaje. Para acceder a ella, se invita al usuario a pinchar en un enlace incluido en el mensaje. Una vez accede a la página, que imita el aspecto de la Sede Electrónica de la Agencia Tributaria, se le solicita información sensible con el pretexto de gestionar una devolución económica o un trámite tributario.

Incibe señala que existen varios indicios que permiten identificar el fraude. Uno de ellos es la dirección web utilizada en los mensajes. Mientras que las páginas oficiales de la Agencia Tributaria utilizan dominios terminados en ‘.gob.es’ o ‘.es’, los ciberdelincuentes utilizan extensiones como ‘.top’ o ‘.click’, habituales en campañas de estafa por su bajo coste y facilidad de registro.

Otro elemento destacable es el utilización del nombre de la AEAT como remitente del SMS. La agencia explica que los atacantes utilizan técnicas conocidas como Suplantación de SMSque permiten falsificar la identidad del remitente y mostrar el nombre de una entidad legítima en el teléfono de la víctima. Incluso pueden hacer que el mensaje parezca incrustado en conversaciones auténticas anteriores, aumentando así su apariencia de legitimidad.

La redacción del mensaje constituye una tercera señal de alerta. Incibe destaca que los textos utilizados presentan expresiones genéricas, construcciones antinaturales y errores de formato. Además, carecen de elementos de identificación personal, como el nombre del destinatario o parte de su número de identificación fiscal, información que suele aparecer en las comunicaciones oficiales de las Administraciones Públicas.

El cuerpo recuerda que La Agencia Tributaria nunca solicita datos confidenciales por SMS o correo electróniconúmeros de tarjetas de crédito o información bancaria. Tampoco envía enlaces directos para gestionar devoluciones de impuestos. Estos trámites se realizan exclusivamente a través de los canales oficiales habilitados por la Administración y mediante procedimientos formales.

Al recibir uno de estos mensajes, Incibe recomienda no acceder al enlace, bloquear al remitente y borrar el SMS. Asimismo, es recomendable denunciar la incidencia para contribuir a la detección de nuevas campañas fraudulentas.

Si ha pulsado el enlace y ha facilitado datos personales o bancarios, el organismo recomienda ponerse en contacto inmediatamente con la entidad financiera correspondiente para evitar movimientos no autorizados, recoger todas las pruebas disponibles, denunciar los hechos a las Fuerzas y Cuerpos de Seguridad del Estado y solicitar asesoramiento especializado a través de los servicios de ayuda en ciberseguridad. También aconseja monitorear periódicamente el posible uso indebido de datos personales comprometidos.

La alerta, publicada por Incibe el 26 de mayo de 2026 y catalogada como de alta importancia, afecta potencialmente a todos los usuarios que hayan accedido a la web fraudulenta y hayan facilitado información personal o financiera.