Incidencias de seguridad 3/02/2026

el

Alerta de seguridad: correos falsos suplantan a la Agencia Tributaria y sistema de notificaciones

Una campaña de phishing muy bien elaborada está intentando engañar a miles de personas en España haciéndose pasar por organismos oficiales. Aquí te contamos cómo detectarla y protegerte.

Tu guía para identificar y bloquear correos fraudulentos

Correos suplantan a la AEAT y a la plataforma oficial de notificaciones para robar credenciales con enlaces falsos. Aprende a reconocerlos, cómo actuar y cómo protegerte tú y tu familia.

¿Qué está pasando y por qué deberías preocuparte?

Según una alerta del Instituto Nacional de Ciberseguridad (INCIBE), se ha detectado una potente campaña de phishing que suplanta a la Agencia Estatal de Administración Tributaria (AEAT) y a la plataforma de notificaciones electrónicas (DEHÚ). Estos correos parecen oficiales y pueden resultar altamente convincentes para personas poco familiarizadas con las señales de alerta. En muchos casos, su objetivo es conseguir que introduzcas tus credenciales o datos personales en una web fraudulenta diseñada para simular ser legítima.

Ver la noticia en La Vanguardia

¿Cómo funcionan estos correos fraudulentos?

Los ciberdelincuentes utilizan técnicas de ingeniería social y diseño visual convincente para simular comunicaciones oficiales. El proceso típico de ataque suele ser:

  • Recibes un correo aparentemente oficial con un asunto alarmista o urgente.
  • El mensaje incluye un enlace que supuestamente permite “consultar una notificación pendiente”.
  • El enlace dirige a una página falsa que imita el aspecto de la AEAT o DEHÚ.
  • Si introduces tu nombre de usuario y contraseña, los atacantes capturan esas credenciales para acceder a tus cuentas reales.

Aunque la técnica no es nueva, la sofisticación de estas campañas hace que incluso usuarios experimentados puedan caer si no conocen las señales de alerta.

Cómo identificar un correo de phishing

Aunque los correos parezcan oficiales, hay varias señales que pueden ayudarte a detectar si se trata de un intento de fraude:

  • Dominio del remitente sospechoso: si el correo no procede de un dominio oficial (por ejemplo, @agenciatributaria.gob.es), es muy probable que no sea legítimo.
  • Enlaces extraños: coloca el cursor sobre el enlace sin hacer clic para ver la URL real; si no coincide con la web oficial, no interactúes con él.
  • Mensajes urgentes o alarmistas: los atacantes suelen usar lenguaje que presiona para que actúes sin pensar.
  • Errores de ortografía o diseño pobre: aunque muchas campañas de phishing son visualmente muy profesionales, aún es común que contengan errores sutiles.

Recuerda: la Agencia Tributaria nunca te pedirá que ingreses tus credenciales a través de un enlace recibido por correo electrónico.

¿Qué hacer si recibes un correo sospechoso?

Si recibes un correo que podría ser fraudulento, sigue estos pasos para protegerte:

  • No hagas clic en ningún enlace. Aunque el mensaje parezca legítimo, los enlaces pueden llevarte a webs maliciosas.
  • No introduzcas ningún dato personal o credencial. Nunca ingreses tus contraseñas desde un correo no verificado.
  • Elimina el mensaje de inmediato y, si es posible, marca el remitente como spam en tu cliente de correo.
  • Si introdujiste tus datos por error, cambia tus contraseñas lo antes posible y activa autenticación de dos pasos (2FA).
  • Reporta el intento de phishing a tu proveedor de correo o a equipos de seguridad (como los de INCIBE) para ayudar a bloquear la campaña.

¿Podría llegar por SMS o WhatsApp?

Sí. Aunque esta alerta se centra en correos electrónicos, campañas similares ya se han detectado por SMS (*smishing*) y mensajería instantánea. Los atacantes usan el mismo truco de urgencia y enlaces falsos para engañar al usuario. Desconfía de mensajes con un lenguaje alarmista y enlaces sospechosos, incluso si parecen proceder de fuentes conocidas.

Consejos para protegerte a largo plazo

  • Usa contraseñas únicas y robustas para cada servicio.
  • Accede siempre a plataformas oficiales escribiendo la URL en tu navegador, nunca desde un enlace de un correo.
  • Mantén tu sistema operativo y aplicaciones actualizados para evitar vulnerabilidades conocidas.
  • Activa mecanismos de doble autenticación (2FA) siempre que sea posible.
  • Educa a tus familiares y compañeros para que también aprendan a detectar este tipo de fraudes.

Resumen Clave

Esta campaña de phishing está intentando suplantar a la AEAT y a la plataforma de notificaciones oficiales con correos falsos diseñados para robar credenciales. No ingreses nunca tus datos desde un enlace en un correo. Aprende a identificar las señales de alerta y sigue las mejores prácticas de seguridad para mantener tus cuentas y tu información segura.

Comentarios

Publicar un comentario