La escena podría confundirse con un guion de ciencia ficción, pero el debate nace de documentación y contratos públicos: la Agencia Estatal de Administración Tributaria (AEAT) ha impulsado la contratación de herramientas para obtener y estructurar información de redes sociales con fines de análisis tributario, incluyendo —según se ha difundido en varios análisis y noticias— la necesidad de crear y mantener perfiles instrumentales (“avatares”) para poder ejecutar parte del trabajo en determinadas plataformas.
En un ecosistema donde las redes sociales están librando una guerra abierta contra bots, cuentas falsas y granjas de spam, el hecho de que un organismo público utilice identidades operativas para recopilar señales OSINT (Open Source Intelligence) abre una discusión que va mucho más allá de lo fiscal. En clave de ciberseguridad, se plantean preguntas incómodas: ¿qué implica normalizar el uso de “sockpuppets” institucionales?, ¿cómo afecta a la confianza digital?, ¿qué superficie de ataque se crea alrededor de esas cuentas?, ¿y cómo se evita que actores criminales exploten esa ambigüedad para suplantar a la Administración?
Del fraude fiscal al “perfilado”: lo que dicen los contratos
El punto de partida verificable es un contrato formalizado en 2023 para el “Arrendamiento de una Herramienta de Software para Obtención de Información en Redes Sociales con destino a la AEAT” (expediente 23840010600), publicado en el BOE. Ese contrato figura adjudicado a OESIA NETWORKS, S.L. por 146.668,00 euros (importe de oferta seleccionada), y se ha difundido ampliamente su equivalencia con impuestos (177.468,28 euros). A partir de ahí, análisis posteriores han señalado una continuidad del proyecto vía contratación centralizada, con un segundo suministro adjudicado en 2024 a Cipherbit (grupo Oesía) dentro del sistema dinámico de adquisición, asociado a un alcance orientado a “usuarios destacados” y con volúmenes mínimos como 20.000 nicks.
Aquí hay un matiz esencial para un medio de ciberseguridad: en la discusión pública se ha popularizado la cifra “100.000 usuarios”, pero lo que aparece en algunos análisis es que los pliegos o memorias premiaban capacidades de proceso a gran escala (por ejemplo, umbrales de decenas de miles de perfiles). Eso describe capacidad técnica o criterio de puntuación, no necesariamente el número real de cuentas monitorizadas en producción.
“Avatares”: técnica habitual en threat intel, polémica en el BOE
En inteligencia de amenazas, el uso de identidades instrumentales no es nuevo. Investigadores lo emplean para observar foros, mercados, canales cerrados o comunidades donde sin registro no hay visibilidad. El salto cualitativo llega cuando esa práctica se traslada al sector público para tareas de selección y análisis de riesgo sobre contribuyentes.
Varios textos han subrayado que la herramienta permitiría obtener datos cuantitativos (seguidores, likes, visualizaciones, comentarios, etc.) y que, en determinadas licitaciones, se contemplaría expresamente la creación y mantenimiento de avatares para ejecutar el análisis. También se ha señalado que el alcance incluye redes generalistas (TikTok, Instagram, YouTube, Facebook, Twitch) y plataformas con modelos de suscripción como Patreon u OnlyFans, lo que dispara la sensibilidad: en ciber, “tener que entrar” casi siempre significa autenticación, trazas, riesgo de abuso y, sobre todo, riesgo de confusión con el crimen organizado digital.
La AEAT, según se ha publicado, sostiene que estas herramientas solo evalúan información pública, un punto clave que busca acotar el debate. Sin embargo, incluso cuando el objetivo sea “lo público”, la realidad técnica de muchas plataformas es que lo público no siempre es accesible sin cuenta (o sin estar logueado), y ahí es donde el concepto de avatar se convierte en combustible para la polémica.
El riesgo colateral: suplantación y “zona gris” de confianza
Desde el prisma de ciberseguridad, el mayor peligro no es solo lo que se recopila, sino el efecto secundario: cuando se normaliza la idea de “cuentas oficiales” o “cuentas operativas” que observan, se crea una ventana para que terceros la exploten.
La propia Agencia Tributaria lleva años alertando sobre campañas de phishing, smishing y spoofing que suplantan su identidad. En sus avisos, la AEAT insiste en que no solicita por email o SMS información confidencial ni datos bancarios, y documenta campañas donde los atacantes se cuelan incluso en hilos de SMS legítimos mediante técnicas de spoofing. Para un medio de ciberseguridad, esta coexistencia es crítica: por un lado, la institución combate la suplantación; por otro, circula el relato de que utiliza avatares para “entrar” en plataformas. El resultado puede ser una erosión de la claridad para el usuario medio: si el ciudadano ya duda de si un SMS es real, ¿qué pasa cuando también duda de si una cuenta que le sigue o le escribe “puede ser Hacienda”?
Y aquí aparece un segundo vector: el de las plataformas. Mientras redes como X endurecen políticas de autenticidad y automatización —con casos de falsos positivos que algunos usuarios denuncian como bloqueos difíciles de revertir—, la idea de “cuentas instrumentales” (aunque sean para observación pasiva) choca con la cultura de verificación y con las reglas anti-abuso. El debate, en términos de ciber, es de gobernanza: ¿cómo se concilia el cumplimiento institucional con ToS privados diseñados para expulsar bots?
Superficie de ataque: si existen avatares, hay que securizarlos
Si una organización crea identidades operativas, esas cuentas pasan a ser activos. Y un activo digital atrae ataques. Para un actor criminal, comprometer un avatar institucional (o una cuenta que parezca institucional) es oro: sirve para ingeniería social, para extraer información, para sembrar miedo (“Hemos detectado irregularidades…”) o para redirigir a víctimas a páginas de pago y robo de credenciales.
En ese contexto, el mínimo exigible en un programa así —desde una óptica ciber— sería:
- Gestión robusta de identidades (MFA fuerte, llaves FIDO2, políticas de acceso condicional).
- Segregación de roles y registro de auditoría (quién accede, cuándo, desde dónde).
- Operativa “no interactiva” por defecto (seguir no es lo mismo que contactar).
- Hardening del entorno de captura y custodia de evidencias (para evitar contaminación y fugas).
- Reglas explícitas de minimización de datos y retención (solo lo necesario, el tiempo imprescindible).
Nada de esto elimina el debate jurídico o ético, pero reduce el riesgo de que el proyecto se convierta, además, en un problema de seguridad nacional a pequeña escala: cuentas comprometidas, campañas de suplantación más creíbles y ciudadanos más confundidos.
Qué debería vigilar un usuario ante el “ruido” de la suplantación
En paralelo al debate, la amenaza inmediata sigue siendo la de siempre: la suplantación. La AEAT ya advierte de SMS y correos falsos que piden datos, tarjetas o pagos. En un momento en el que el “tema Hacienda” vuelve a ser tendencia, el riesgo de campañas oportunistas se dispara: los atacantes se alimentan del titular.
Checklist rápido, en clave SOC doméstico:
- Desconfiar de enlaces en SMS/correos que prometen devoluciones o exigen pagos.
- Acceder siempre por la sede y canales oficiales, nunca por enlaces.
- Activar alertas y bloquear dominios lookalike en pasarelas corporativas.
- Si un mensaje “parece de Hacienda” y pide datos bancarios: casi seguro es fraude.
Preguntas frecuentes
¿Que un pliego hable de 100.000 nicks significa que Hacienda ya está vigilando 100.000 cuentas?
No necesariamente. Puede describir capacidad técnica o criterios de puntuación. El volumen real operativo es otra cuestión.
¿Por qué el uso de “avatares” preocupa a la ciberseguridad?
Porque introduce una zona gris de confianza y abre vectores de suplantación: si se normaliza que existan cuentas instrumentales, los atacantes pueden imitarlas o intentar comprometerlas.
¿Qué relación tiene esto con el phishing que suplanta a la AEAT?
Es el gran riesgo colateral: campañas de smishing/spoofing ya activas pueden volverse más creíbles si el ciudadano percibe que “Hacienda está en redes”.
¿Cómo puede protegerse una empresa ante campañas que usen este tema como señuelo?
Reforzando filtros anti-phishing, bloqueando dominios lookalike, formando a empleados y estableciendo un protocolo: cualquier notificación tributaria se verifica por canales oficiales, sin excepciones.
Fuente: Libertad Digital y Redes Sociales
