El Instituto Nacional de Ciberseguridad (Incibe) ha advertido sobre la detección de una nueva campaña de smishing que suplanta a la Agencia Tributaria con el objetivo de obtener datos personales y bancarios de los usuarios. Según ha trasladado FACUA, los ciberdelincuentes han puesto en marcha esta nueva estrategia bajo la excusa de una supuesta devolución de dinero.
Este fraude se basa en el envío de mensajes de texto en los que se alerta de la existencia de un supuesto aviso oficial y se insta al destinatario a acceder a un enlace para consultar una comunicación atribuida a la AEAT.
Desde el Incibe recomiendan prestar especial atención al dominio del enlace incluido en el mensaje para identificar posibles estafas. La web oficial de la Agencia Tributaria siempre finaliza en .gob.es o .es, mientras que en esta campaña los enlaces detectados utilizan extensiones como .top o .click, dominios de bajo coste que suelen emplearse para crear páginas fraudulentas de carácter temporal.
Asimismo, el organismo recuerda que las comunicaciones oficiales de la administración pública suelen incluir datos identificativos como el nombre, los apellidos y parte del DNI del destinatario, y no se formulan mediante mensajes genéricos. En muchos casos, estos SMS fraudulentos presentan una redacción poco natural, repetitiva o con errores ortográficos y dobles espacios entre palabras.
En la campaña de smishing, al pulsar sobre el enlace, el usuario es redirigido a una página web falsa que imita la apariencia de la oficial, donde se solicitan datos personales y bancarios con la excusa de gestionar una supuesta devolución de dinero.
Por último, el Incibe subraya que la AEAT nunca solicita por SMS o correo electrónico información confidencial, números de tarjeta o datos bancarios, ni envía enlaces directos para tramitar devoluciones. Estas gestiones solo se realizan a través de la sede electrónica oficial o mediante la presentación formal de la declaración de la renta.
🚨 Detectan una nueva campaña de 'smishing' que suplanta a la Agencia Tributaria para robar datos personales y bancarios https://t.co/Cqhu2mfwDr
— FACUA (@FACUA) May 28, 2026
Recomendaciones de FACUA
Para reclamar un problema de estafa a una entidad bancaria en España, el primer paso es presentar una queja por escrito ante el Servicio de Atención al Cliente o el Departamento de Reclamaciones del propio banco. Si se trata de un servicio de pago y no hay respuesta satisfactoria, el plazo para pasar al siguiente nivel es de 15 días hábiles; en el resto de casos, el plazo es de un mes.
Si la entidad no responde o la contestación no es adecuada, se puede elevar la reclamación ante el Banco de España, de forma telemática, por correo postal o en cualquiera de sus sucursales. Para ello, es necesario aportar datos personales, identificar a la entidad reclamada, acreditar que se ha reclamado previamente al banco y adjuntar la documentación que respalde los hechos.
Es importante tener en cuenta que las reclamaciones no serán admitidas si ha pasado más de un año desde la reclamación inicial ante la entidad o más de cinco años desde que ocurrieron los hechos sin haber reclamado previamente.
En algunos casos, gestionar la reclamación de manera individual puede dificultar la obtención de todos los derechos reconocidos por la ley. Por ello, organizaciones de consumidores como FACUA, ofrecen asesoramiento jurídico y pueden tramitar la reclamación en nombre del afectado.
La organización recomienda que, ante cualquier comunicación sospechosa de fraude, se contacte directamente con la entidad bancaria antes de acceder a enlaces o descargar archivos. Si se ha producido una sustracción de dinero o de claves, es fundamental presentar una denuncia ante las autoridades y trasladarla posteriormente al banco para que adopte las medidas oportunas.
Añadir ElPlural.com como fuente preferida de Google.
Mantente informado con las últimas noticias de actualidad.
