La Agencia Tributaria ha lanzado una nueva advertencia de seguridad digital tras detectar dos peligrosas campañas de fraude por correo electrónico (phishing) y SMS (smishing) dirigidas principalmente a autónomos y pequeños negocios. Los mensajes simulan comunicaciones oficiales para obtener números de cuenta, tarjetas bancarias y datos sensibles de los contribuyentes.
Los ciberdelincuentes perfeccionan sus técnicas: correos falsos prometen devoluciones de 263 euros y páginas web imitan la Sede electrónica de Hacienda.
Nueva ola de fraudes digitales: los autónomos, en el punto de mira
La Agencia Tributaria (AEAT) ha confirmado la detección de dos nuevas campañas de suplantación de identidad diseñadas para robar datos personales y bancarios a través de métodos cada vez más sofisticados.
Las dos campañas alertadas son:
- Phishing, mediante correos electrónicos que piden “actualizar información”.
- Smishing, con mensajes SMS que prometen falsos reembolsos de impuestos.
Ambas estafas se publicaron en la web oficial del organismo el 2 de enero de 2026, y se suman a una oleada creciente de intentos de fraude que en los últimos meses han afectado especialmente al colectivo de autónomos.
Caso 1: Correos falsos que piden actualizar los datos bancarios
En la primera modalidad, los estafadores envían emails fraudulentos haciéndose pasar por Hacienda, dirigiendo a los contribuyentes a páginas web falsas que simulan la Sede electrónica. Allí se solicita al usuario introducir información como:
- IBAN de la cuenta
- Datos personales y fiscales
- Número de tarjeta bancaria
La AEAT recuerda firmemente que nunca solicita datos bancarios por correo electrónico, ni envía facturas o enlaces con archivos adjuntos. Cualquier mensaje con estas características debe ser ignorado y denunciado.
Caso 2: Falsos SMS con un “reembolso de 263 euros”
La segunda campaña detectada es un smishing, es decir, un fraude a través de SMS, en el que se promete un supuesto reembolso de 263 euros a los contribuyentes. El mensaje redirige a una web que imita visualmente a la Sede electrónica oficial.
Texto del SMS fraudulento:
“AGENCIA TRIBUTARIA. Reembolso de impuestos de (263€). Encuentre su formulario de reembolso en el enlace: hxxps://hoo.be/tributaria”
Aunque el diseño de la web no es un clon exacto, usa el logotipo y la estructura básica, lo que puede llevar fácilmente a engaño, sobre todo en momentos de prisa o desconcierto.
Hacienda y los gestores: alarma ante el auge de suplantaciones institucionales
Desde la Agencia Tributaria advierten que estos fraudes se están perfeccionando, utilizando técnicas visuales muy logradas y direcciones URL que simulan ser oficiales, lo que dificulta su identificación por parte de los ciudadanos.
Además, gestores y expertos fiscales han alertado del aumento de estafas dirigidas a pymes y autónomos, aprovechando la imagen de organismos oficiales como la Seguridad Social, el SEPE o la propia Hacienda.
Recomendaciones básicas para no caer en la trampa
La AEAT recomienda a los contribuyentes:
- Desconfiar de cualquier mensaje que prometa devoluciones inmediatas.
- No hacer clic en enlaces recibidos por SMS o email no verificado.
- Nunca introducir datos bancarios fuera de la web oficial: www.agenciatributaria.gob.es
- Denunciar ante INCIBE o la Policía cualquier intento de estafa.
¿Estamos ante una crisis de ciberseguridad institucional que el Gobierno no está sabiendo frenar, mientras los autónomos siguen siendo el blanco más desprotegido?
