El email de Hacienda que parece real y te deja la cuenta a cero

Llega un correo de Hacienda. Te dice que tienes una devolución pendiente o que debes un importe urgente. El logo es el de siempre, el remitente parece oficial y el enlace tiene buena pinta. Y aun así, es una trampa. Los fraudes por email suplantando a la Agencia Tributaria se concentran especialmente en los meses de campaña de la renta y en fechas señaladas como las comuniones de primavera, cuando muchas familias esperan ingresos o están más pendientes de sus cuentas. Si no sabes distinguir lo falso de lo real, puedes caer aunque seas una persona precavida. En nuestras alertas de estafas financieras llevamos meses advirtiendo de esta oleada. Aquí tienes lo que necesitas saber para no picar.

Por qué estos emails engañan hasta a los más listos

Los ciberdelincuentes no son amateurs. Los correos falsos de Hacienda que circulan ahora mismo están diseñados con una precisión que da miedo: usan el logo oficial de la AEAT, imitan a la perfección el formato de sus comunicaciones reales y emplean un lenguaje administrativo que suena completamente creíble. No son los típicos emails con faltas de ortografía de hace diez años. Son mensajes pulidos, en castellano impecable, con un asunto como 'Notificación de devolución pendiente' o 'Requerimiento urgente: regularización de deuda'.

El gancho más habitual es uno de dos: o bien te dicen que tienes dinero esperándote (una devolución que nunca pediste) o bien te amenazan con una deuda que podría bloquearte la cuenta si no actúas en 48 horas. Ambas estrategias juegan con las emociones. La primera activa la codicia, la segunda activa el miedo. Y cuando estás en uno de esos estados, el cerebro baja la guardia.

El problema es que muchas personas están esperando de verdad la devolución de la renta en estas semanas. Eso hace que el mensaje llegue en el momento perfecto y que la desconfianza se desactive sola. Precisamente por eso los delincuentes concentran sus campañas entre abril y junio. No es casualidad: es estrategia.

Las señales concretas que delatan un email falso

Hay varias pistas que, si las conoces, te permiten identificar el fraude en segundos. La primera y más importante: la dirección real del remitente. No el nombre que aparece en pantalla, sino la dirección de correo completa. Los emails legítimos de la AEAT terminan siempre en @agenciatributaria.es o en @correo.aeat.es. Si ves algo como @hacienda-notificaciones.com, @aeat-devolucion.net o cualquier dominio que no sea estrictamente esos dos, es falso. Sin excepción.

La segunda señal: los enlaces. Antes de hacer clic en cualquier botón o enlace del correo, pasa el ratón por encima sin pulsar (en móvil, mantén pulsado el enlace). Verás la URL real a la que te llevaría. Si esa URL no empieza por sede.agenciatributaria.gob.es o agenciatributaria.gob.es, no hagas clic. Los estafadores usan dominios que se parecen mucho al original pero con pequeñas diferencias: una letra cambiada, un guion extra, un .com en lugar de .gob.es.

La tercera señal, y esta es definitiva: Hacienda nunca te pide datos bancarios, contraseñas, números de tarjeta ni códigos SMS a través de un correo electrónico. Jamás. Si el email te pide cualquiera de esas cosas, es una estafa, punto. La AEAT tiene su propia sede electrónica y todas las gestiones reales se hacen entrando directamente tú, no siguiendo un enlace que te mandaron.

💬 ¿Qué opinas tú sobre esta noticia? Comenta más abajo →

Qué hacer si ya has hecho clic (o algo peor)

Si has abierto el correo sin hacer nada más, no pasa nada. El peligro empieza cuando haces clic en un enlace, descargas un archivo adjunto o introduces datos en un formulario. Si has llegado a alguno de esos puntos, actúa rápido: primero, no introduzcas más datos aunque la página pida más. Segundo, cierra el navegador y desconéctate de internet. Tercero, si has dado datos de tu tarjeta o cuenta, llama al banco inmediatamente para bloquear la tarjeta y alertar de una posible estafa. Los bancos tienen líneas de atención al cliente operativas las 24 horas precisamente para esto.

Si descargaste algún archivo, tu dispositivo puede estar comprometido. En ese caso, no accedas a ninguna app bancaria ni introduzcas contraseñas hasta que hayas pasado un antivirus o hayas consultado con un técnico. Puede sonar exagerado, pero los troyanos bancarios que se distribuyen por este método están diseñados específicamente para capturar credenciales financieras.

Denuncia siempre. Aunque no hayas perdido dinero, poner una denuncia en la Policía Nacional o en la Guardia Civil ayuda a rastrear estas campañas y a proteger a otras personas. También puedes reportar el correo directamente a la AEAT enviándolo a [email protected], que es la dirección oficial que mantienen para recibir este tipo de avisos. Además, si necesitas apoyo económico urgente mientras resuelves el problema, existen opciones como préstamos para emergencias que pueden ayudarte a cubrir un imprevisto mientras recuperas el acceso a tus cuentas.

Cómo protegerte de forma permanente, no solo hoy

La protección real no es reaccionar cuando ya llegó el email. Es tener un sistema que lo haga casi imposible. Lo más sencillo y eficaz: activa las notificaciones de la sede electrónica de la AEAT directamente desde su web oficial. Cuando Hacienda necesite comunicarse contigo, recibirás un aviso de que tienes una notificación esperándote en tu buzón electrónico oficial. Entras tú directamente, no sigues ningún enlace de ningún correo. Así de simple.

También conviene tener configurada la verificación en dos pasos en tu correo electrónico y en tu banca online. Si un delincuente consigue tu contraseña, el segundo factor lo detiene. Es una capa de seguridad pequeña pero que ha salvado a muchísimas personas. Y si alguna vez recibes un email que te genera dudas, la respuesta correcta nunca es seguir el enlace del propio correo: ve siempre directamente a la web oficial escribiendo la dirección en el navegador tú mismo. Para más contexto sobre el panorama actual de fraudes, vale la pena leer cómo los estafadores combinan ahora varios anzuelos a la vez para hacerlos más creíbles.

Por último, habla de esto con las personas de tu entorno, especialmente con quienes son menos familiarizados con el mundo digital. Los jubilados y personas mayores son el blanco más frecuente de estas campañas, no porque sean menos inteligentes, sino porque tienen menos exposición a este tipo de fraudes y a veces más ahorros que proteger. Si quieres profundizar en cómo proteger a tus mayores, tenemos una guía específica sobre cómo evitar estafas financieras dirigidas a jubilados que merece la pena compartir. Y si tras resolver el susto necesitas reorganizar tus finanzas, puedes usar nuestra calculadora de cuotas para planificar sin sorpresas.

Preguntas frecuentes

No. La AEAT nunca solicita datos bancarios, contraseñas ni pagos a través de correo electrónico. Si recibes algo así, es una estafa. Todas las comunicaciones oficiales se gestionan desde la sede electrónica de la Agencia Tributaria, a la que debes acceder tú directamente escribiendo la dirección en el navegador.

Mira la dirección completa del remitente: solo son válidos los dominios @agenciatributaria.es y @correo.aeat.es. Pasa el cursor por los enlaces sin hacer clic para ver la URL real: solo es seguro si apunta a sede.agenciatributaria.gob.es. Si tienes dudas, entra directamente en la web oficial de la AEAT y comprueba tu buzón de notificaciones desde allí.

Llama a tu banco de inmediato para bloquear la tarjeta o cuenta afectada, explica que has sido víctima de phishing. Después denuncia en la Policía Nacional o Guardia Civil. Por último, reporta el correo a [email protected]. Cuanto más rápido actúes, más posibilidades hay de limitar el daño.