La Campaña de la Renta 2025 arranca este 8 de abril y, con ella, regresa también una amenaza que ya se ha convertido en un clásico de cada primavera fiscal: las estafas que suplantan a la Agencia Tributaria para hacerse con contraseñas, datos bancarios y otra información personal sensible. La propia AEAT mantiene activo un apartado específico de avisos por phishing y recuerda que se están produciendo campañas de correos electrónicos y SMS falsos que utilizan su imagen para engañar a los contribuyentes.
No es una alarma abstracta. La Agencia Tributaria ha documentado en sus avisos de seguridad varios ejemplos recientes de mensajes fraudulentos relacionados con supuestas devoluciones, reembolsos aprobados o incidencias tributarias. INCIBE también ha detectado campañas de phishing y smishing que aprovechan el tirón de la declaración para dirigir a las víctimas a páginas falsas que imitan la sede oficial de la AEAT.
Cómo son los fraudes que circulan durante la Campaña de la Renta 2025
El patrón se repite con pequeñas variaciones. El usuario recibe un SMS o un correo que aparenta proceder de la Agencia Tributaria y que le comunica una devolución pendiente, una notificación importante o un problema con su expediente. El mensaje suele incluir un enlace que lleva a una página fraudulenta diseñada para parecer oficial. Allí se pide introducir datos personales, credenciales o información bancaria con la excusa de tramitar el reembolso o desbloquear la situación fiscal.
La técnica más habitual es el phishing por correo y su versión en SMS, conocida como smishing. INCIBE explica que estos fraudes buscan obtener información confidencial mediante mensajes que aparentan legitimidad y juegan con la urgencia o con la promesa de una devolución económica. En varias campañas detectadas se han utilizado textos que apelan directamente al cobro de un reembolso o a la necesidad de verificar datos cuanto antes.
En algunos casos, el engaño va un paso más allá. La AEAT ha advertido de correos que incorporan enlaces a falsos formularios y también de mensajes que instan a realizar un ingreso mediante documentos fraudulentos. Es decir, no solo se trata de robar credenciales, sino también de mover al contribuyente a entregar dinero o a facilitar acceso suficiente como para vaciar cuentas, contratar servicios o cometer suplantaciones de identidad.
Las señales que delatan una suplantación de la Agencia Tributaria
La primera pista suele estar en el propio canal. La Agencia Tributaria recuerda que estos mensajes son fraudulentos y pide no atenderlos. En sus avisos de seguridad insiste en que los intentos de suplantación llegan por correo electrónico o SMS y remiten a enlaces externos que no deben abrirse. Además, mantiene un repositorio con ejemplos reales de campañas detectadas para que los usuarios puedan reconocerlas.
Otra señal habitual está en el lenguaje del mensaje: tono alarmista, promesas de devoluciones inmediatas, referencias a incidencias urgentes o dominios que no corresponden al entorno oficial de la Agencia Tributaria. La AEAT publica ejemplos concretos de SMS falsos sobre devoluciones de IRPF y correos con asuntos como “reembolso de impuesto aprobado” que redirigen a webs fraudulentas. INCIBE, por su parte, subraya que este tipo de campañas explota la prisa del usuario para que actúe sin comprobar.
También conviene recordar un detalle importante en plena Campaña de la Renta 2025: la Agencia Tributaria solo llama por teléfono en relación con la campaña si el contribuyente ha solicitado cita previamente. Y en ese caso utiliza el número 810 520 052. Ese dato oficial ayuda a filtrar otro tipo de engaños que intentan aprovechar el canal telefónico para dar apariencia de legitimidad.
Qué hacer para no caer en la trampa
La recomendación principal es sencilla: acceder siempre a la Agencia Tributaria por la vía directa, escribiendo manualmente la dirección oficial en el navegador o usando su app oficial, y no a través de enlaces recibidos por correo o SMS. La propia AEAT dirige a los contribuyentes a sus canales oficiales para la Campaña de la Renta 2025, mientras que INCIBE insiste en desconfiar de cualquier mensaje no solicitado que pida actuar con rapidez o introducir datos sensibles.
Antes de facilitar cualquier dato conviene revisar con calma el remitente, el dominio y el contenido del mensaje. Si hay dudas, lo más prudente es no responder, no pulsar enlaces y comprobar la situación entrando por los cauces oficiales. Ese hábito, aparentemente básico, sigue siendo la barrera más eficaz contra campañas que cada año se perfeccionan un poco más.