La OCU alerta por una nueva oleada de SMS falsos que suplantan a la Agencia Tributaria durante la Renta 2025

La Organización de Consumidores y Usuarios (OCU) ha emitido una alerta sobre una nueva oleada de mensajes fraudulentos que suplantan la identidad de la Agencia Tributaria. Los ciberdelincuentes aprovechan la actual Campaña de la Renta para enviar SMS engañosos que notifican supuestas incidencias en las declaraciones o posibles devoluciones pendientes, con el objetivo de obtener datos personales y bancarios de los contribuyentes.

Según informa la OCU, esta práctica conocida como "smishing" (phishing a través de SMS) se repite cada año coincidiendo con la temporada de declaraciones fiscales. Los estafadores utilizan la imagen de la Agencia Estatal de Administración Tributaria (AEAT) como cebo para ganarse la confianza de los usuarios y conseguir que estos accedan a enlaces fraudulentos donde se les solicita información sensible.

La Oficina de Seguridad del Internauta (OSI) del Instituto Nacional de Ciberseguridad (INCIBE) viene alertando periódicamente sobre estos intentos de fraude que siguen un patrón muy similar: mensajes de texto que notifican una supuesta devolución del IRPF o advierten sobre incidencias en las declaraciones ya presentadas, siempre incluyendo un enlace que dirige a una página web fraudulenta que imita la apariencia oficial de la página de Hacienda.

¿Cómo funciona este engaño masivo?

El modus operandi de los ciberdelincuentes es bastante sofisticado. El usuario recibe un SMS aparentemente procedente de la Agencia Tributaria informando sobre una supuesta incidencia en su declaración de la Renta. El mensaje suele incluir una amenaza de multa si el problema no se subsana "inmediatamente", generando así una sensación de urgencia que lleva a muchos contribuyentes a actuar sin reflexionar.

Lo más preocupante es que estos mensajes fraudulentos logran "colarse" entre los SMS legítimos que la Agencia Tributaria ha enviado en campañas anteriores, lo que aumenta su credibilidad ante los ojos del usuario desprevenido.

En otras variantes del fraude detectadas en años anteriores, los estafadores informan sobre supuestos reembolsos de impuestos o notifican que se ha ordenado el pago de una devolución del IRPF, pero indican que es necesario proporcionar ciertos datos para recibirla. Aunque los detalles pueden variar cada año (entidades mencionadas, importes, excusas utilizadas), el objetivo siempre es el mismo: dirigir a la víctima hacia una página web falsificada donde se solicitan datos personales y bancarios.

Recomendaciones para protegerse del smishing fiscal

La OCU ofrece una serie de recomendaciones para evitar caer en estas estafas digitales que se intensifican durante la temporada de declaraciones:

- No hacer clic en enlaces recibidos por SMS o correo electrónico, especialmente si solicitan información personal o bancaria.

- Bloquear al remitente y eliminar inmediatamente el mensaje sospechoso.

- Si ya se han introducido datos en la página fraudulenta, contactar urgentemente con la entidad emisora de la tarjeta para bloquearla.

- Conservar todas las pruebas del intento de fraude, incluyendo capturas de los mensajes y enlaces.

- Denunciar el engaño ante las Fuerzas y Cuerpos de Seguridad del Estado y comunicarlo al buzón de reporte de fraude del INCIBE.

Cómo identificar comunicaciones oficiales legítimas

Un aspecto fundamental que los ciudadanos deben tener en cuenta es que la Agencia Tributaria y otros organismos oficiales no utilizan SMS ni correos electrónicos como vías habituales para solicitar información sensible a los contribuyentes.

Si se recibe una comunicación sospechosa, lo más seguro es contactar directamente con el organismo oficial a través de sus canales verificados, como su página web oficial o teléfonos de atención al ciudadano, nunca respondiendo al mensaje recibido.

Además, es recomendable prestar atención a posibles indicios de fraude como erratas, faltas de ortografía o direcciones web que no coinciden con los dominios oficiales. Una buena práctica consiste en situar el cursor sobre cualquier enlace antes de hacer clic para verificar la URL real de destino.

Smishing: una amenaza creciente en el panorama de ciberseguridad

El smishing se ha convertido en una de las técnicas de ingeniería social más utilizadas por los ciberdelincuentes en los últimos años. Esta variante del phishing tradicional aprovecha la inmediatez y la confianza que generan los mensajes de texto, así como el reducido tamaño de pantalla de los dispositivos móviles, que dificulta la identificación de URLs fraudulentas.

Según los expertos en ciberseguridad, estas campañas suelen intensificarse durante periodos específicos del año, como la campaña de la Renta, Black Friday o Navidad, momentos en los que los usuarios están más receptivos a recibir comunicaciones relacionadas con trámites fiscales o compras online.

¿Qué hacer si has sido víctima de una estafa por smishing?

Si a pesar de las precauciones, un usuario cae en la trampa, la OCU ofrece orientación para defender sus intereses. La organización se moviliza activamente contra el phishing en todas sus modalidades y proporciona información detallada sobre cómo detectar estos engaños y reaccionar adecuadamente.

En caso de haber proporcionado datos bancarios, es crucial contactar inmediatamente con la entidad financiera para bloquear posibles transacciones fraudulentas. También se recomienda cambiar todas las contraseñas de los servicios que pudieran verse comprometidos y monitorizar regularmente los movimientos bancarios para detectar cargos no autorizados.

Adicionalmente, es importante presentar una denuncia ante la Policía Nacional o la Guardia Civil, especificando todos los detalles del fraude, ya que esto no solo puede ayudar a las autoridades a perseguir a los estafadores, sino que también sirve como documentación oficial en caso de reclamaciones posteriores.

La OCU recuerda que la prevención y la formación en materia de ciberseguridad siguen siendo las mejores herramientas para combatir este tipo de fraudes que, lamentablemente, siguen causando importantes perjuicios económicos a miles de contribuyentes cada año durante la campaña de la Renta.