Estafas de la Renta 2026: detecta los fraudes de la AEAT
La Campaña de la Renta 2025 (que se presenta en 2026) arranca oficialmente en internet el 8 de abril de 2026, pero los ciberdelincuentes llevan semanas trabajando. Desde mediados de marzo, la Agencia Tributaria (AEAT) y el INCIBE ya han alertado de oleadas masivas de ataques con técnicas que este año son más sofisticadas que nunca.
En GuardianHubX llevamos semanas monitorizando estas campañas y, lamentablemente, 2026 trae “novedades” tecnológicas que hacen que sea más difícil distinguir la realidad de la ficción. Esta guía te explica qué está pasando y cómo protegerte.
¿Por qué el peligro aumenta en abril, mayo y junio?
El éxito del phishing (estafas por email) y el smishing (estafas por SMS) reside en el contexto. Los atacantes aprovechan que millones de españoles están pendientes de su borrador para lanzar cebos que encajan perfectamente con nuestras preocupaciones:
- El deseo de cobrar: “Su devolución de 263,45€ ha sido aprobada”.
- El miedo a la sanción: “Notificación urgente: incidencia detectada en su declaración”.
- La burocracia: “Falta documentación para procesar su expediente”.
En plena campaña, nuestra guardia baja porque esperamos noticias de Hacienda. Y eso es exactamente lo que buscan los atacantes.
Nuevas técnicas detectadas en 2026: más allá del SMS
Ya no solo debemos preocuparnos por los mensajes mal escritos. Los delincuentes han evolucionado de forma notable.
1. Phishing redactado con IA (adiós a las faltas de ortografía)
Antes, una pista clave eran los errores gramaticales. Hoy, los atacantes usan modelos de lenguaje avanzados para redactar correos con un tono institucional impecable: terminología legal correcta y estructuras que imitan perfectamente el BOE o las comunicaciones oficiales de la AEAT. Ya analizamos este fenómeno cuando los ciberdelincuentes empezaron a usar IA para generar anuncios fraudulentos convincentes; la misma tecnología se aplica ahora a las estafas fiscales.
2. Quishing: la trampa del código QR
Es la tendencia al alza este año. Recibes un correo electrónico que parece una notificación oficial, pero en lugar de un enlace incluye un código QR. Te piden que lo escanees con el móvil para “acceder de forma segura”. Al hacerlo, te dirigen a una pasarela de pagos falsa diseñada para capturar tus datos bancarios y biométricos. Los filtros antiphishing de email no detectan la URL maliciosa porque está codificada en la imagen.
3. Vishing con IA (clonación de voz)
Aunque menos frecuente, se han detectado llamadas automáticas que utilizan voces clonadas de asistentes oficiales de la administración, informando de una deuda pendiente que debe ser abonada “mediante una pasarela segura que se enviará por SMS”. Si no conoces bien estos ataques, consulta nuestro diccionario de ciberseguridad donde explicamos vishing, smishing y otros términos clave.
Anatomía de un SMS falso de la AEAT en 2026
Los mensajes de este año son cortos y directos para forzar la impulsividad:
Ejemplo A: “AEAT: Se ha ordenado el pago de su devolucion del ejercicio 2025. Cuantia: 263,45 EUR. Obtenga su reembolso aqui: [Enlace acortado]”
Ejemplo B: “Hacienda: Tiene una notificacion administrativa urgente. Plazo de respuesta: 24h. Acceda a la sede: [Enlace falso]”
Cómo detectar la estafa al instante
| Señal de alerta | Realidad en la AEAT | Riesgo |
|---|---|---|
| Enlace externo en el SMS | La AEAT nunca envía enlaces directos para cobrar dinero | ALTO |
| Solicitud de datos de tarjeta | Hacienda ya tiene tu IBAN; jamás pedirá los 16 dígitos de tu tarjeta | CRÍTICO |
| Dominio sospechoso | El oficial es siempre .gob.es. Desconfía de .com, .net o subdominios raros | ALTO |
| Urgencia extrema | Las administraciones tienen plazos legales; nunca piden actuar en "15 minutos" | MEDIO-ALTO |
| Código QR en vez de enlace | Las comunicaciones oficiales de la AEAT no incluyen QR para pagos | ALTO |
Para ampliar tu capacidad de identificación, te recomendamos nuestra guía sobre cómo identificar un correo sospechoso de phishing: aplica exactamente los mismos criterios a los mensajes de Hacienda.
Cómo verificar si una comunicación es real
Si recibes algo y tienes dudas, sigue este protocolo:
Ignora el enlace: No hagas clic. Cierra el mensaje.
Entrada manual: Escribe tú mismo en el navegador
agenciatributaria.gob.es.App oficial: Utiliza la aplicación oficial de la Agencia Tributaria descargada de tiendas oficiales (Google Play / App Store). Ahí aparecerán todas tus notificaciones reales.
Cotejo de CSV: Si te llega una carta o email con un Código Seguro de Verificación (CSV), puedes comprobar su autenticidad directamente en la Sede Electrónica de la AEAT.
Qué hacer si ya has caído en la estafa
Si has hecho clic y, peor aún, has introducido tus datos, cada segundo cuenta. No te bloquees por la vergüenza; le ocurre a miles de personas cada campaña.
Acción inmediata (primeros 10 minutos)
Llama a tu banco: Pide el bloqueo de tus tarjetas y de las transferencias salientes. Informa de que has sido víctima de fraude.
Cambia contraseñas: Si usaste la misma clave que en otros servicios (banca, email, empresa), cámbialas todas de inmediato.
Acción de contención (siguientes horas)
Desconexión: Si descargaste un archivo, desconecta el dispositivo de internet para evitar que un posible malware envíe tus datos a un servidor externo.
Recopila evidencias: Capturas de pantalla del SMS, del número de teléfono, del historial del navegador y de la web falsa.
Acción legal
Denuncia: Acude a la Policía Nacional o Guardia Civil. Sin denuncia, será mucho más difícil reclamar cualquier cargo al banco o al seguro.
Reporta al INCIBE: Puedes llamar al 017 para recibir asesoramiento gratuito.
Si eres autónomo o tienes una PYME: el riesgo es doble
Las estafas de la Renta no afectan solo a particulares. Si gestionas un negocio, tus empleados también son objetivos, y un solo clic en un equipo corporativo puede abrir la puerta a un ataque de ransomware que paralice toda tu infraestructura.
Los autónomos son especialmente vulnerables durante esta época porque gestionan tanto su declaración personal como la de su actividad. Si empezaste hace poco, en nuestra guía de ciberseguridad para autónomos desde cero encontrarás los pasos básicos para proteger tu actividad.
Además, durante la campaña de la Renta proliferan también las estafas tipo CEO fraud y BEC donde los atacantes suplantan la identidad de un directivo o de la propia gestoría para solicitar transferencias urgentes o datos fiscales.
Checklist para empresas durante la campaña fiscal
✅ Comunica a tu equipo que la AEAT no solicita datos bancarios por email ni SMS
✅ Activa la verificación en dos pasos en todos los correos corporativos
✅ Configura filtros antiphishing en el gateway de correo
✅ Establece un protocolo claro: cualquier comunicación “urgente” de Hacienda debe verificarse por teléfono antes de actuar
✅ Realiza una simulación de phishing para comprobar el nivel de alerta de tu equipo
Conclusión: la prudencia digital es tu mejor defensa
Las estafas de la Renta en 2026 demuestran que los atacantes no descansan y que usan la tecnología a su favor. La mejor defensa no es un software, sino el hábito de desconfiar por defecto.
Regla de oro de GuardianHubX: Si la administración “te contacta” para darte dinero de forma fácil y rápida a través de un enlace o un QR, el 99,9% de las veces es un fraude.
¿Te preocupa la exposición digital de tu empresa durante esta campaña fiscal? Podemos ayudarte de dos formas:
Con formación y simulaciones de phishing para tu equipo, para que tus empleados sepan detectar estos ataques antes de caer en ellos.
Con GuardianRadar, nuestra solución de monitorización de identidad digital que detecta si los datos de tu empresa aparecen expuestos antes de que sea demasiado tarde.