La Agencia Tributaria ha emitido un comunicado de urgencia para advertir a la ciudadanía sobre el aumento de los casos de phishing que utilizan su nombre y su imagen para engañar a los contribuyentes. El objetivo de estos ciberdelincuentes es obtener información personal o bancaria —como números de cuenta o datos de tarjetas— y, en muchos casos, solicitar la realización de transferencias a través de métodos fraudulentos.
De esta manera, fingen ser Hacienda y envían correos electrónicos, mensajes de texto (SMS) o llamadas telefónicas en los que se insta al contribuyente a facilitar sus datos o, incluso, a abrir enlaces que conducen a páginas web falsas.
Los mecanismos detrás de estas estafas son cada vez más sofisticados y buscan despertar la urgencia o la preocupación de las víctimas. Quienes caen en la trampa suelen proporcionar voluntariamente sus credenciales por creer que están atendiendo un requerimiento oficial.
Sin embargo, la Agencia Tributaria subraya que nunca solicita información confidencial, económica o personal a través de mensajes digitales ni requiere la descarga de ficheros adjuntos relativos a facturas u otros datos. Cualquier gestión de este tipo ha de realizarse, según el criterio del organismo, de forma personal y oficial en sus canales reconocidos.
Incremento de las estafas en los últimos meses
En los últimos meses, Hacienda ha observado un incremento de mensajes que se presentan bajo su nombre y que podrían terminar en robo de datos o estafas monetarias. Uno de los casos más llamativos se dirigía específicamente a mutualistas jubilados, a quienes se les pedía el número de sus tarjetas bancarias con el pretexto de obtener una supuesta devolución del IRPF por aportaciones a mutualidades realizadas entre 2020 y 2023.
Los estafadores se ponían en contacto telefónico con las víctimas para que hicieran transferencias en nombre de la Agencia Tributaria, aprovechando la confianza y la falta de verificación por parte de los afectados.
Otro ejemplo frecuente son los correos electrónicos o SMS en los que se comunica una “incidencia grave” en la declaración de la renta. El contribuyente recibe mensajes amenazantes en los que se le insta a enviar documentación de forma inmediata, bajo la advertencia de una posible sanción si no se resuelve el asunto en un plazo muy corto (a veces 24 o 48 horas). Esta táctica pretende generar pánico y precipitación, disminuyendo la capacidad de las víctimas para pensar con claridad y verificar la autenticidad del mensaje.
Importes estafados como pérdida patrimonial
Además de advertir sobre estas campañas, Hacienda recuerda que los contribuyentes que hayan sufrido pérdidas económicas a causa de estafas basadas en phishing pueden imputar esos importes como una pérdida patrimonial en la declaración de la renta. Sin embargo, la Agencia Tributaria subraya que es imprescindible justificar adecuadamente esta situación, para lo cual se recomienda denunciar en cuerpos de seguridad como la Guardia Civil o la Policía Nacional.
El Registro de Economistas Asesores Fiscales (REAF) coincide en esta postura y señala que se debe demostrar que el perjuicio económico se ha producido realmente por la estafa, motivo por el que la denuncia formal es un paso clave para proceder con la declaración.
Según las autoridades fiscales, la imputación de la pérdida patrimonial ha de realizarse en el ejercicio en el que haya ocurrido la estafa. De este modo, si alguien sufre el engaño en 2025, deberá reflejarlo adecuadamente al presentar la declaración correspondiente a ese año. Con ello, Hacienda busca establecer un marco que permita mitigar en la medida de lo posible el perjuicio para las víctimas, al tiempo que promueve la prevención y la concienciación sobre este tipo de fraudes.
Recomendaciones principales para evitar el pishing
Para evitar caer en el phishing, la Agencia Tributaria recomienda tener siempre presentes las siguientes pautas:
En primer lugar. Desconfiar de mensajes de remitentes desconocidos o que no se hayan solicitado previamente. Es preferible eliminarlos directamente sin llegar a abrirlos.
En segundo lugar. No responder bajo ningún concepto a estos mensajes ni acceder a posibles enlaces adjuntos.
En tercer lugar. Verificar la procedencia de correos incluso si parecen provenir de contactos habituales; los estafadores pueden usar direcciones falsificadas o suplantar identidades.
En cuarto lugar. Evitar la descarga de ficheros adjuntos en correos o SMS no confirmados; hacerlo puede instalar malware o virus en el dispositivo.