La digitalización de la Administración ha facilitado miles de trámites a ciudadanos y empresas, pero también ha abierto la puerta a nuevas formas de fraude masivo. El nuevo intento de phishing suplantando a la Agencia Tributaria detectado por el Instituto Nacional de Ciberseguridad (INCIBE) vuelve a poner sobre la mesa una realidad incómoda: las redes permiten a los ciberdelincuentes llegar a millones de usuarios, y basta con que un pequeño porcentaje caiga para que el fraude resulte rentable.

En esta ocasión, los atacantes suplantan a la Agencia Estatal de Administración Tributaria (AEAT) mediante el envío de notificaciones falsas por correo electrónico. El mensaje informa de la supuesta puesta a disposición de una notificación electrónica relacionada con una reclamación e invita al usuario a consultarla a través de un enlace. El objetivo es claro: obtener las credenciales de acceso a la Dirección Electrónica Habilitada Única (DEHÚ), un servicio oficial utilizado para comunicaciones administrativas. El riesgo no es menor, ya que el acceso indebido a estas plataformas puede comprometer datos fiscales, información personal y trámites sensibles.

El correo fraudulento incluye asuntos como “Aviso puesta a disposición de nueva notificación electrónica REF-XXXXXXXX”, aunque pueden existir variantes. A simple vista, el diseño y la redacción parecen oficiales. El logotipo, la estructura del mensaje e incluso el tono institucional están cuidadosamente replicados. Sin embargo, un elemento delata el engaño: la dirección del remitente no guarda relación con el dominio oficial “agenciatributaria.gob.es”. Ese detalle, aparentemente menor, es la primera línea de defensa del consumidor.

Suplantaciones cada vez más perfectas

La preocupación no es solo este caso concreto, sino la tendencia de fondo. Las suplantaciones cada vez más perfectas evidencian un salto cualitativo en la sofisticación del fraude digital. Los delincuentes ya no envían mensajes mal redactados o con errores evidentes; ahora replican con precisión la imagen corporativa de organismos públicos, bancos o empresas energéticas, enmascarándose tras logos y nombres que afectan a toda la ciudadanía. La estrategia es clara: aprovechar la confianza que generan instituciones clave para inducir una reacción rápida, sin reflexión.

Este fenómeno conecta con una realidad más amplia que desde Aquimicasa analizamos con frecuencia: la vulnerabilidad del consumidor en un entorno económico tensionado. En un mercado cada vez más influenciado por el mundi digital,  cualquier comunicación que aluda a deudas, notificaciones administrativas o reclamaciones puede generar alarma inmediata. Esa urgencia emocional es el caldo de cultivo perfecto para el phishing.

Una vez que el usuario hace clic en el enlace, es redirigido a una página fraudulenta que imita el diseño oficial tanto de la DEHÚ como de la propia AEAT. Allí se solicita un identificador y contraseña. Con estas credenciales, los ciberdelincuentes pueden intentar acceder a servicios electrónicos vinculados a trámites fiscales. Conviene recordar que las gestiones con la Administración Pública solo pueden realizarse a través de sistemas oficiales de identificación como Cl@ve permanente, Cl@ve móvil, certificado digital o DNI electrónico, siempre en entornos oficiales.

Mirar siempre el correo desde el que nos llega la falsa notificación

La recomendación básica, aunque reiterada, sigue siendo decisiva: mirar siempre el correo desde el que nos llega la falsa notificación. No basta con fijarse en el nombre visible del remitente; es imprescindible comprobar la dirección completa. Si no corresponde exactamente al dominio oficial, estamos ante un intento de fraude. También es aconsejable desconfiar de enlaces acortados o direcciones web que incluyan ligeras variaciones ortográficas.

INCIBE recomienda que quienes hayan recibido un mensaje de estas características y no hayan accedido al enlace lo reenvíen al buzón de incidentes (incidencias@incibe-cert.es), lo bloqueen y lo eliminen. Esta colaboración ciudadana resulta clave para reforzar la seguridad colectiva y evitar que otros consumidores caigan en la trampa.

Acciones a realizar en el caso de abrir el mensaje

Si el usuario ha accedido al enlace o facilitado datos personales, la respuesta debe ser inmediata. Entre las acciones a realizar en el caso de abrir el mensaje se encuentra contactar con la Línea de Ayuda en Ciberseguridad (017), cambiar las credenciales del sistema Cl@ve, recopilar todas las evidencias —capturas de pantalla, enlaces o mensajes— y presentar denuncia ante las Fuerzas y Cuerpos de Seguridad del Estado. Asimismo, es recomendable realizar egosurfing de forma periódica para comprobar si la información personal ha sido expuesta y modificar contraseñas en otros servicios, utilizando claves únicas y doble factor de autenticación.

La ciberseguridad no es una cuestión técnica reservada a expertos, sino un componente esencial de la protección del consumidor. En un país donde el acceso a la vivienda, la presión fiscal y los trámites digitales forman parte del día a día de millones de ciudadanos, la transparencia y la seguridad digital son tan importantes como la estabilidad del mercado inmobiliario.

Desde una perspectiva estructural, la defensa del consumidor exige no solo información y prevención individual, sino también inversión pública en educación digital, refuerzo de los sistemas de protección y coordinación institucional. Igual que la falta de vivienda requiere políticas de obra pública y ampliación del parque residencial, la proliferación de estafas masivas reclama una respuesta colectiva que combine tecnología, regulación y concienciación. Porque en el entorno digital, como en el mercado de la vivienda, la vulnerabilidad siempre encuentra quien quiera aprovecharla.