INCIBE ha detectado esta semana, y como es habitual en esta época del año, una campaña de smishing que suplanta a la Agencia Estatal de Administración Tributaria (AEAT) mediante mensajes SMS fraudulentos.
La campaña utiliza como gancho un supuesto comunicado de la Agencia Tributaria. El mensaje indica que la AEAT habría emitido una comunicación dirigida al usuario y le invita a acceder a un enlace para consultarla. Sin embargo, el enlace redirige a una web fraudulenta que imita la apariencia de la sede oficial y solicita información personal y bancaria bajo el pretexto de tramitar una supuesta devolución.
Un SMS falso con apariencia institucional
El fraude se apoya en varios elementos habituales en campañas de suplantación. El SMS aparece bajo el remitente “AEAT”, pero este dato no garantiza su legitimidad. Los atacantes pueden utilizar técnicas de SMS spoofing para ocultar el número real y mostrar en pantalla el nombre de una institución legítima, incluso dentro de hilos donde ya existían mensajes auténticos.
INCIBE señala también que el enlace incluido en el mensaje es sospechoso. La sede oficial de la Agencia Tributaria utiliza dominios oficiales terminados en .gob.es o .es, como sede.agenciatributaria.gob.es. En esta campaña se han observado dominios terminados en extensiones como .top o .click, utilizadas con frecuencia para crear páginas temporales vinculadas a fraudes.
Otro indicio es la redacción del mensaje. La comunicación utiliza fórmulas genéricas, errores de puntuación y expresiones poco naturales, como “dirigida a usted , que usted recibe en calidad de titular”. Las notificaciones reales de la administración suelen incorporar datos identificativos o remitir a canales oficiales, no a enlaces externos de apariencia sospechosa.
Qué hacer si se ha recibido el mensaje
Si el usuario ha recibido el SMS, pero no ha accedido al enlace, la recomendación es no pulsar, bloquear al remitente y eliminar el mensaje. También puede reportarlo al buzón de incidentes de INCIBE para facilitar la detección y prevención de nuevas campañas.
En caso de haber accedido al enlace y haber facilitado información personal o bancaria, INCIBE recomienda contactar con la Línea de Ayuda en Ciberseguridad 017, avisar a la entidad bancaria para bloquear posibles movimientos no autorizados y conservar todas las evidencias disponibles, como capturas de pantalla, enlaces maliciosos o mensajes recibidos.
También se aconseja presentar denuncia ante las Fuerzas y Cuerpos de Seguridad del Estado y realizar búsquedas periódicas sobre los propios datos personales en Internet para detectar un posible uso indebido de la información.
La AEAT no solicita datos bancarios por SMS
La Agencia Tributaria no solicita por SMS ni por correo electrónico información confidencial, números de tarjeta, cuentas bancarias ni datos personales para tramitar devoluciones. Tampoco envía enlaces directos para cobrar una devolución de impuestos.
Ante cualquier duda, la verificación debe hacerse siempre desde los canales oficiales de la Agencia Tributaria, especialmente su sede electrónica y el apartado de avisos de seguridad.
