La campaña de la Renta ya ha arrancado en España y, con ella, vuelve también uno de los periodos favoritos para el cibercrimen. La Agencia Tributaria inició el 8 de abril la Campaña de Renta 2025 por vía telemática y, casi al mismo tiempo, la firma de ciberseguridad Proofpoint ha alertado de un repunte de los fraudes que aprovechan la presión, la urgencia y la sensibilidad de los datos fiscales para engañar a los contribuyentes.
Según la investigación de Proofpoint, en lo que va de 2026 se han detectado más de un centenar de campañas con temática fiscal que derivan en malware, fraude, robo de credenciales y cargas de monitorización y gestión remota, conocidas como RMM. Los atacantes se hacen pasar por agencias tributarias, organismos públicos o departamentos de recursos humanos y lanzan mensajes que alertan de supuestos documentos caducados, incidencias o infracciones para empujar a la víctima a actuar deprisa.
La compañía subraya que una de las técnicas más utilizadas este año es precisamente el abuso de software legítimo de acceso y administración remota. Entre las herramientas detectadas en estas campañas figuran Datto, N-Able, RemotePC, Zoho Assist y ScreenConnect. El problema, advierte Proofpoint, es que estos programas pueden pasar desapercibidos en entornos corporativos si las organizaciones no aplican listas de herramientas permitidas o controles más estrictos sobre su uso.
El informe también pone nombre a algunos de los grupos que están sacando partido de este contexto. Entre ellos figura TA2730, al que Proofpoint sigue desde junio de 2025 y que se especializa en phishing de credenciales vinculado a entidades financieras, especialmente del ámbito de la inversión. Sus campañas suelen ser oportunistas y emplean dominios maliciosos registrados por los propios atacantes para redirigir a páginas falsas donde se recogen las claves del usuario.
Junto a este actor aparece TA4922, un grupo con fines económicos al que Proofpoint vincula con campañas orientadas a obtener acceso remoto para monetizarlo después mediante fraude, robo de datos, intermediación de accesos o persistencia en los sistemas. Este actor distribuye malware del ecosistema Winos4.0 y tiene una táctica especialmente llamativa: pide al destinatario su número de teléfono para sacar la conversación fuera del correo electrónico y continuar el engaño a través de otros canales, desde los que remite enlaces o archivos maliciosos.
La advertencia de Proofpoint llega, además, en un momento especialmente delicado en España. La propia Agencia Tributaria ha publicado varias alertas de seguridad en 2026 por campañas de fraude que suplantan su identidad. La más reciente, fechada el 7 de abril, avisaba de correos electrónicos con enlaces a páginas que imitaban a la AEAT para solicitar datos identificativos. Antes ya se habían detectado otros intentos de phishing y smishing que pedían información personal, IBAN o datos de tarjeta bancaria bajo pretextos como la actualización de datos o un supuesto reembolso de impuestos.
El escenario dibuja una combinación especialmente peligrosa: por un lado, millones de personas esperan comunicaciones reales sobre su declaración; por otro, los ciberdelincuentes aprovechan esa expectativa para disfrazar mejor sus mensajes. Proofpoint insiste en que los señuelos fiscales funcionan bien no solo durante la campaña, sino en cualquier momento del año, precisamente porque mezclan presión económica, miedo a cometer errores y confianza en organismos conocidos.
Ante esta situación, la recomendación principal es desconfiar de cualquier correo o mensaje inesperado que pida actuar con urgencia. Proofpoint aconseja no abrir enlaces ni archivos adjuntos, no transferir dinero por indicación de un email y comprobar con cuidado la dirección real del remitente. En caso de duda, lo más prudente es acudir directamente a la web oficial de la organización, escribiendo la dirección en el navegador en lugar de seguir un enlace recibido por correo o SMS. La Agencia Tributaria, por su parte, mantiene activos sus avisos de seguridad y sus canales oficiales de acceso y verificación para ayudar a detectar intentos de suplantación.
En plena campaña de la Renta, la conclusión es clara: la declaración anual no solo pone a prueba la paciencia de los contribuyentes, sino también su capacidad para distinguir entre una comunicación legítima y una trampa bien construida. Y este año, según los datos de Proofpoint, los atacantes han elevado claramente su actividad y su sofisticación.
