Con el arranque oficial de la campaña de la Renta 2025, previsto para mañana 8 de abril de 2026, millones de personas en España se disponen a realizar su declaración. No obstante, este periodo también es utilizado por los ciberdelincuentes para poner en marcha fraudes que suplantan a organismos oficiales, como la Agencia Estatal de Administración Tributaria (AEAT), con el fin de obtener credenciales, datos personales o información bancaria.
Tal como advierte ESET, empresa referente en ciberseguridad, durante todo el tiempo en el que los contribuyentes pueden o deben presentar su declaración, los atacantes suelen enviar correos electrónicos o SMS que aparentan proceder de la Agencia Tributaria. En ellos se incluyen asuntos relacionados con falsas devoluciones, supuestas notificaciones urgentes o problemas ficticios en la declaración. Estos mensajes pueden llevar a sitios web falsificados que replican la apariencia del portal oficial, o incluir formularios destinados a recopilar información sensible. La propia Agencia Tributaria recuerda que nunca pide datos personales o bancarios a través de correo electrónico o SMS, ni envía documentos por estos medios.
“El inicio de la campaña de la Renta no solo activa a millones de contribuyentes, sino también a los delincuentes digitales, que intentan aprovechar la prisa o el desconcierto de los usuarios. Durante estas semanas es habitual ver tácticas diseñadas para ejercer presión psicológica y lograr que se faciliten datos sin comprobar el origen del mensaje”, señala Josep Albors, director de Investigación y Concienciación de ESET España.
Señales de alerta que pueden indicar un intento de fraude
ESET advierte de varios indicios que deben hacerte desconfiar y comprobar la autenticidad de cualquier comunicación relacionada con la Renta:
- Solicitudes de datos personales o bancarios a través de enlaces o formularios web que no pertenecen a la sede oficial.
- Mensajes que apelan a la urgencia, como supuestas devoluciones inmediatas o bloqueos de expediente para presionarte a actuar sin verificar.
- Dominios o remitentes sospechosos que no coinciden con “agenciatributaria.gob.es” ni con los canales oficiales de notificaciones electrónicas, con el fin de redirigirte a páginas fraudulentas.
Recomendaciones para proteger tus datos durante la campaña de la Renta
Para evitar caer en este tipo de estafas, ESET recomienda:
- Acceder siempre manualmente a la sede electrónica de la Agencia Tributaria (escribiendo la URL en tu navegador o a través de canales oficiales), evitando hacer clic en enlaces de correos o SMS no solicitados.
- Comprobar con atención remitente y dominio antes de introducir cualquier dato personal o bancario en una página, y desconfiar de cualquier solicitud de contraseñas o códigos por medios no seguros. Si te piden datos bancarios fuera del entorno oficial, es una estafa.
- No facilitar información sensible en respuesta a mensajes que no hayas solicitado o que no provengan de los canales oficiales de la AEAT.
- Mantener sistemas y soluciones de seguridad actualizados, incluidos antivirus y filtros antiphishing, para aumentar tus defensas ante amenazas conocidas.
- Verificar antes de actuar. Ante la duda, se recomienda utilizar los servicios de la AEAT para cotejar documentos y consultar notificaciones de forma segura.
Qué hacer si has interactuado con un mensaje sospechoso
Si ya has pulsado un enlace o facilitado información, desde ESET se recomienda:
- Recopilar pruebas del incidente (capturas de pantalla, enlaces, mensajes).
- Cambiar tus contraseñas comprometidas y vigilar las cuentas bancarias asociadas.
- Denunciar el fraude ante las Fuerzas y Cuerpos de Seguridad del Estado.
- Solicitar orientación especializada en la Línea de Ayuda en Ciberseguridad (017) para recibir asistencia experta.
“La campaña de la Renta es un momento clave para prestar atención no solo a los trámites fiscales, sino también a los riesgos de ciberseguridad que pueden surgir si se baja la guardia ante comunicaciones fraudulentas. En muchos casos, la mejor defensa no es una herramienta compleja, sino simplemente la prudencia: no acceder a través de enlaces recibidos por correo o SMS y realizar cualquier trámite únicamente desde la sede oficial del organismo”, concluye Albors.
