Correo Falso de la Agencia Tributaria (Hacienda): Cómo Detectarlo y Qué Hacer

Los correos que suplantan a la Agencia Tributaria (Hacienda) se disparan cada año, especialmente en campaña de la renta. Suelen prometer devoluciones, avisar de supuestas sanciones o pedir una verificación urgente para robar tus datos bancarios y credenciales. En esta guía verás cómo detectar un correo falso de Hacienda, qué hacer si ya hiciste clic y cómo protegerte para no caer en futuras campañas de phishing.

Señales de Advertencia

Promesa de Devolución Urgente o Amenaza de Sanción

El mensaje busca activarte emocionalmente con frases como recibirás una devolución inmediata o tienes una multa pendiente.

Qué hacer:No actúes desde el correo. Verifica siempre tu situación fiscal entrando manualmente en la sede oficial: https://sede.agenciatributaria.gob.es.

Remitente y Dominio que Imitan a Hacienda

Los atacantes usan direcciones parecidas a las oficiales, con cambios mínimos en letras o extensiones del dominio.

Qué hacer:Revisa el correo completo del remitente y desconfía si no es un dominio oficial de la Administración.

Enlaces que No Apuntan a la Sede Oficial

Aunque el texto del enlace parezca legítimo, al pasar el ratón se ve una URL diferente.

Qué hacer:No pulses enlaces del email; escribe tú mismo la URL oficial en el navegador.

Solicitud de Datos Bancarios o Cl@ve por Correo

Hacienda no te pide credenciales completas, PIN ni datos de tarjeta por email para tramitar devoluciones.

Qué hacer:Nunca compartas credenciales ni códigos. Si los diste, cambia claves y avisa al banco de inmediato.

Adjuntos Inesperados (PDF, ZIP, Facturas, Requerimientos)

Pueden contener malware o redirigirte a formularios falsos de captura de datos.

Qué hacer:No abras adjuntos no esperados. Analiza el archivo y confirma la notificación en canales oficiales.

Qué Hacer

  • Si recibes el correo, no hagas clic en enlaces ni abras adjuntos.
  • Comprueba tu estado real solo desde la sede oficial: https://sede.agenciatributaria.gob.es.
  • Si hiciste clic pero no enviaste datos, cierra la web, borra caché del navegador y cambia contraseña del correo por precaución.
  • Si introdujiste datos fiscales o bancarios, contacta de inmediato con tu banco para bloquear operaciones y reforzar autenticación.
  • Cambia contraseñas de correo, banca y cuentas sensibles si reutilizas claves.
  • Activa verificación en dos pasos en correo y servicios críticos para reducir impacto posterior.
  • Revisa movimientos bancarios y actividad de cuentas durante al menos 72 horas.
  • Reporta el incidente a INCIBE en https://www.incibe.es/linea-de-ayuda-en-ciberseguridad o al 017.
  • Guarda capturas del correo, cabeceras y URLs para posible denuncia.
  • Avisa a familiares y compañeros para evitar nuevas víctimas de la misma campaña.

Consejos de Prevención

  • En campaña de la renta, desconfía de cualquier mensaje con urgencia extrema o promesas de devolución inmediata.
  • Accede siempre por URL escrita manualmente y guardada en favoritos, nunca desde enlaces de correo.
  • Comprueba remitente, dominio y ortografía; los pequeños errores suelen delatar el fraude.
  • No compartas nunca claves, códigos OTP o datos completos de tarjeta por email.
  • Mantén actualizado navegador, sistema operativo y antivirus para reducir riesgo ante enlaces maliciosos.
  • Activa alertas bancarias de operaciones para detectar movimientos sospechosos al instante.
  • Usa contraseñas únicas y un gestor para no comprometer múltiples cuentas con una sola filtración.
  • Forma a tu entorno: una campaña de phishing se frena más rápido cuando todos saben identificarla.
  • Verifica notificaciones fiscales directamente en canales oficiales, no por presión del mensaje recibido.
  • Ante duda, pausa y valida: el mejor antídoto contra el phishing es no reaccionar con prisa.

Ruta temática

Phishing e Ingeniería SocialFraudes por MensajeríaCuentas y Credenciales

Siguiente paso recomendado

Cómo Detectar Correos de Phishing que Imitan Empresas Conocidas

El phishing es una de las técnicas más utilizadas por ciberdelincuentes para robar información personal y credenciales de acceso. A menudo, estos ataques se disfrazan de correos electrónicos que imitan a empresas legítimas, engañando a los usuarios para que hagan clic en enlaces fraudulentos. En este artículo, aprenderás a identificar correos de phishing y evitar caer en estas trampas digitales.

Leer artículo completo →

Módulo relacionado

Ciberseguridad en videojuegos y plataformas de entretenimiento

Aprende cómo proteger tu información personal y financiera en juegos en línea, reconocer intentos de phishing y configurar tus cuentas de manera segura.

Ir al módulo completo →Ver categoría: Seguridad en Aplicaciones y Servicios

Entradas Relacionadas