Cómo detectar el SMS falso de la Agencia Tributaria
El Instituto Nacional de Ciberseguridad (Incibe) ha lanzado una alerta ante una nueva campaña de smishing —estafa a través de SMS— que está circulando aprovechando el periodo de la declaración de la renta. Los ciberdelincuentes se hacen pasar por la Agencia Tributaria para intentar hacerse con los datos personales y bancarios de los contribuyentes en uno de los momentos del año en que más receptivos están a recibir comunicaciones de Hacienda.
El mecanismo del fraude es sencillo pero efectivo: la víctima recibe un mensaje de texto en el que se le informa de que existe un supuesto comunicado emitido por la AEAT al que debe acceder a través de un enlace. Ese enlace conduce a una web fraudulenta que imita a la oficial, donde se solicitan datos personales y bancarios bajo la promesa de tramitar una devolución de dinero. Una trampa diseñada para explotar la expectativa legítima de muchos ciudadanos que esperan, precisamente en estas fechas, el reintegro de su declaración.
La señal más clara para detectar el engaño está en el dominio del enlace
Uno de los indicadores más fiables para identificar este tipo de estafa es fijarse en la dirección web que aparece en el mensaje. La web oficial de la Agencia Tributaria siempre termina en .gob.es o .es. En los mensajes detectados por el Incibe, los dominios terminan en .top o .click, extensiones baratas y de uso masivo entre los ciberdelincuentes para montar páginas temporales con las que operar durante el tiempo suficiente para cometer el fraude antes de desaparecer.
Pero el dominio no es el único elemento delator. Las comunicaciones reales de la administración pública incluyen siempre el nombre, apellidos y parte del número de DNI del destinatario. Nunca son mensajes genéricos ni impersonales. Algunos de los SMS fraudulentos detectados presentan además una redacción forzada, con redundancias, faltas de ortografía o dobles espacios entre palabras, señales que apuntan a textos generados de forma automatizada o traducidos sin cuidado.
La AEAT no pide datos bancarios por SMS ni por correo electrónico
El Incibe quiere dejar este punto absolutamente claro: la Agencia Tributaria nunca solicitará por mensaje de texto o por correo electrónico información confidencial, números de tarjeta de crédito ni datos de cuentas bancarias. Tampoco enviará un enlace directo para cobrar una devolución de impuestos. Las devoluciones se gestionan exclusivamente a través de la sede electrónica oficial de la AEAT o mediante la declaración de la renta presentada por los cauces formales establecidos.
Si has recibido uno de estos mensajes, la recomendación es no pulsar el enlace bajo ningún concepto, borrar el SMS y, si ya has accedido y facilitado algún dato, contactar cuanto antes con tu entidad bancaria y presentar denuncia ante las autoridades. La campaña de la renta es un anzuelo que los piratas informáticos no desaprovechan, y la mejor defensa sigue siendo la desconfianza ante cualquier comunicación que pida datos o redirija a un enlace externo.
