Compartir
PHISHING BANCARIO

Falsa devolución de la Renta: el SMS de Hacienda que te roba la tarjeta en la campaña 2026

Durante la campaña de la Renta 2026, miles de españoles reciben un SMS o correo que suplanta a la Agencia Tributaria: dice que tienes una devolución pendiente, por ejemplo 287 €, y que "confirmes tus datos" en un enlace. Ese enlace lleva a una sede clonada de la AEAT que se queda con tu número de tarjeta, el CVV y tus claves del banco.

SafeBrowz Threat Research Investigación de seguridad17 de junio de 202610 min de lectura

En pocas palabras

Veredicto: estafa. Si recibes un SMS o un correo que dice que tienes una devolución de la Renta pendiente y te pide pinchar un enlace para "confirmar tus datos" o "introducir la cuenta donde ingresar el dinero", es phishing que suplanta a la Agencia Tributaria. La AEAT nunca abona devoluciones por tarjeta ni por Bizum, y nunca te pide datos bancarios, el número de tarjeta ni el CVV por SMS, correo o WhatsApp. El único sitio real es la sede electrónica en agenciatributaria.gob.es, a la que se entra con Cl@ve, certificado digital o DNIe, nunca a través de un enlace recibido. No pinches el enlace, no introduzcas tu tarjeta y denúncialo al INCIBE en el 017.

Por qué esta estafa arrasa ahora mismo

Cada primavera, durante la campaña de la Renta, los grupos de fraude inundan España con SMS y correos que imitan a la Agencia Tributaria. La campaña 2026 no ha sido una excepción. A lo largo de mayo, medios como Merca2 (5 de mayo), El Independiente (26 de mayo) e Infobae (27 de mayo) documentaron una nueva oleada de falsas devoluciones de la Renta, con avisos oficiales de la propia AEAT y del Instituto Nacional de Ciberseguridad (INCIBE) advirtiendo a la ciudadanía.

El gancho funciona porque encaja con lo que la gente espera en estas fechas. Millones de contribuyentes presentan su declaración entre abril y junio, y una buena parte sale a devolver. Cuando llega un mensaje que dice que Hacienda te va a ingresar 287 €, parece la continuación natural de un trámite que ya estabas esperando. Esa es la trampa: el estafador no inventa una situación rara, sino que se cuela en una que es real y rutinaria para millones de personas.

La estafa tiene varias caras. La más habitual pide "confirmar la cuenta bancaria" donde ingresar la devolución, y termina en un formulario que captura el número de tarjeta y el CVV. Una variante dirigida a autónomos habla de un ajuste en el IVA trimestral o en pagos fraccionados. Y una variante más agresiva, dirigida a personas con cuentas o inversiones en el extranjero, exige el pago en criptomonedas de una supuesta "regularización fiscal internacional" para evitar sanciones. En todas, el patrón es el mismo: urgencia, un enlace y la petición de datos o de un pago que la Agencia Tributaria jamás solicitaría así.

Cómo funciona el engaño, paso a paso

La devolución falsa no es un mensaje suelto, sino una cadena diseñada para que bajes la guardia en cada eslabón. Conviene verla entera.

Primero llega el cebo. Recibes un SMS o un correo con el remitente disfrazado de "AEAT", "Agencia Tributaria" o "Hacienda". El texto anuncia una devolución pendiente con una cifra concreta y creíble, como 287 €, e incluye un enlace para "tramitarla" o "confirmar tus datos". Muchos SMS se cuelan en el mismo hilo de mensajes legítimos del banco o de la administración mediante suplantación del remitente (SMS spoofing), lo que les da una apariencia oficial inmediata.

Después, la urgencia. El mensaje avisa de que tienes un plazo de 24 o 48 horas para "validar" la devolución o la perderás. Esa cuenta atrás está pensada para que actúes antes de pensar, antes de comprobar tu declaración real en la sede o de preguntar a alguien de confianza.

Después, la sede clonada. El enlace abre una página que copia con precisión la sede electrónica de la Agencia Tributaria: el mismo color rojo, el logotipo, la tipografía y hasta avisos de cookies idénticos. Pero la dirección no es la oficial. Vive en un alojamiento gratuito o en un dominio parecido pero distinto, como una página en vercel.app, pages.dev o netlify.app. La fachada es perfecta; la dirección, no.

Después, el robo de datos. La página te pide identificarte y, sobre todo, "introducir la tarjeta donde recibir el ingreso", con número completo, fecha de caducidad y CVV. Algunas piden además tus credenciales de banca electrónica y el código que recibes por SMS, justo lo necesario para vaciar la cuenta o domiciliar cargos. En la variante cripto, te dirigen a transferir USDT o Bitcoin a una cartera para "regularizar tu situación fiscal internacional". Cualquiera de los datos que introduzcas viaja directo al estafador.

Los enlaces de sede falsa que SafeBrowz marca (ilustrativos)

La sede falsa es la única pieza del fraude que vive en tu navegador, y por eso es la pieza que un escáner puede atrapar antes de que escribas un solo dígito de tu tarjeta. Estas páginas se concentran en alojamiento gratuito y en dominios desechables. Los ejemplos de abajo son imitaciones ilustrativas, no sitios reales. Pega cualquiera en el verificador para ver cómo lo lee un análisis en vivo:

  • agenciatributaria-devolucion.vercel.app
  • aeat-renta-pago.pages.dev
  • sede-hacienda.netlify.app

Fíjate en la forma. Una palabra reconocible ("agenciatributaria", "aeat", "hacienda") va pegada a un sufijo de alojamiento gratuito que la Administración española jamás usaría. La sede real de la Agencia Tributaria vive única y exclusivamente en agenciatributaria.gob.es (también activa agenciatributaria.es, que redirige a la oficial). El dominio .gob.es está reservado a organismos públicos: nadie más puede registrarlo. Cualquier "sede" en vercel.app, pages.dev, netlify.app o en un dominio que no termine en .gob.es no es la AEAT. Usa el cuadro de abajo para analizar cualquier enlace de "devolución" antes de pincharlo.

🛡 VERIFICACIÓN EN VIVO

Analiza el enlace de la "devolución" antes de tocar tus datos

¿Te llegó un SMS o correo de "Hacienda" con un enlace para confirmar tu devolución? Pégalo abajo. Nuestro motor de 3 capas (Local + APIs + IA) devuelve un veredicto en unos 3 segundos. Gratis, sin registro.

Análisis completo con IA profunda → · Ninguna URL se vincula a tu identidad.

Señales de alarma que delatan el fraude siempre

No necesitas saber de impuestos para detectarlo. La estructura del mensaje es la pista.

  • Te piden datos bancarios, tarjeta o CVV por SMS, correo o WhatsApp. Esta es la concluyente. La Agencia Tributaria nunca solicita el número de tarjeta, el CVV ni tus claves del banco por estos canales. Si te lo piden, es phishing, sin excepción.
  • Hablan de devolver la Renta por tarjeta o por Bizum. La AEAT solo abona las devoluciones por transferencia a la cuenta bancaria que tú indicaste en tu declaración. Nunca por tarjeta ni por Bizum. Si el mensaje menciona esos medios, es falso.
  • Un enlace para "confirmar" o "validar" la devolución. Los avisos reales de Hacienda no llegan con enlaces para introducir datos. Te invitan, como mucho, a entrar por tu cuenta en la sede con Cl@ve o certificado.
  • Urgencia y plazo corto. "Tienes 24 horas o perderás la devolución." La cuenta atrás existe para que actúes sin comprobar. Hacienda no caduca tu devolución por no pinchar un enlace.
  • La dirección no termina en .gob.es. La sede electrónica real es agenciatributaria.gob.es. Una "sede" en vercel.app, pages.dev, netlify.app o en cualquier dominio distinto es una imitación.
  • Errores de redacción o un trato genérico. "Estimado contribuyente" sin tu nombre, tildes mal puestas o frases raras delatan una plantilla traducida o copiada.
  • Te exigen pagar para cobrar. Cualquier "tasa", "comisión" o "regularización" que debas pagar (y mucho menos en criptomonedas) para recibir tu propia devolución es la firma del fraude. Cobrar nunca cuesta dinero.
  • El remitente del SMS parece oficial pero el enlace no. La suplantación del remitente es trivial. Fíjate siempre en a dónde lleva el enlace, no en quién dice enviarlo.

Por qué esto es específico de España y distinto del IRS

Esta estafa es la versión española de un fraude global de "falsa devolución de impuestos". Si has leído sobre la estafa estadounidense del IRS y TurboTax, reconocerás el esqueleto, pero los detalles cambian por completo y conviene no mezclarlos. En España no existe el IRS ni TurboTax: la autoridad es la Agencia Estatal de Administración Tributaria (AEAT), conocida como Hacienda, y el trámite se hace en su sede electrónica con Cl@ve, certificado digital o DNIe. La devolución se ingresa por transferencia a tu cuenta, nunca por tarjeta. Las cifras que usan los estafadores aparecen en euros, no en dólares, y los canales de denuncia son españoles: INCIBE, la Oficina de Seguridad del Internauta y la propia AEAT. Aplicar a este fraude los consejos pensados para el IRS te dejaría buscando organismos que aquí no existen.

La mecánica de fondo, eso sí, es universal: suplantar a la autoridad fiscal, prometer dinero, meter prisa y desviar a una página clonada. Por eso la defensa también es universal, y es la misma que repetimos en cada estafa de suplantación: verificar la dirección antes de tocar tus datos.

Lo que SafeBrowz ve en la red

El SMS y el correo viajan por canales que un escáner de navegador no controla. Pero el enlace que hace posible todo el robo, la sede clonada de la AEAT, es una página web, y ahí es donde la detección del lado del navegador se gana su lugar. En el motor de SafeBrowz, estas páginas se leen de forma consistente en las tres capas.

Primero, los dominios son jóvenes y desechables. Una sede falsa casi siempre se registra días antes de la oleada de SMS y se abandona en cuanto la denuncian. La sede real de la Agencia Tributaria lleva años en .gob.es, un dominio que ningún particular puede registrar. Solo las señales de antigüedad y de TLD reservado descartan ya buena parte de estas imitaciones antes de cargar contenido.

Segundo, el alojamiento delata. Una proporción enorme de estas "sedes" corre en alojamiento gratuito, una palabra como "aeat", "hacienda" o "agenciatributaria" atornillada a un subdominio de vercel.app, pages.dev o netlify.app, porque los operadores queman cientos de páginas desechables y el alojamiento gratuito no cuesta nada. La Administración pública jamás sirve un trámite desde un subdominio gratuito. La combinación de alojamiento gratuito más palabra institucional es, por sí sola, una señal de alta confianza.

Tercero, el contenido es una copia descarada. El rojo corporativo, el logotipo, los botones de Cl@ve y certificado, un formulario que pide tarjeta y CVV donde la sede real solo ofrece identificación, todo servido desde un host sin ninguna relación con el sector público español, es un perfil de manual de suplantación. El análisis a nivel de contenido atrapa una clonación recién creada que ninguna lista negra ha visto todavía, lo que importa porque estas páginas surgen más rápido de lo que cualquier lista estática puede seguir.

A qué tácticas pasan los estafadores después

Las bandas siguen lo que funciona. Sus siguientes movimientos creíbles son predecibles.

  • Suplantación de la Seguridad Social y la DGT. El mismo molde sirve para una falsa "prestación pendiente" de la Seguridad Social o una "multa de tráfico" de la DGT, con la misma sede clonada y la misma petición de tarjeta.
  • Variante para autónomos y empresas. Mensajes sobre el IVA, pagos fraccionados o un "requerimiento" del modelo 303, dirigidos a quien gestiona impuestos cada trimestre y baja la guardia ante un correo de Hacienda.
  • Llamadas de "verificación" con voz por IA. Una llamada de seguimiento que dice ser de la AEAT para "confirmar tus datos", a veces con voz clonada, refuerza el SMS y empuja a la víctima a completar el formulario.
  • Falsa regularización fiscal en cripto. Para perfiles con dinero fuera de España, la amenaza de sanción por "no declarar cuentas en el extranjero" y la exigencia de pagar en USDT o Bitcoin a una cartera de "regularización internacional".

La excusa concreta es intercambiable. La estructura, un organismo suplantado en un dominio joven o de alojamiento gratuito que te pide datos o un pago, no lo es. Por eso una defensa estructural, del lado del navegador, supera a perseguir una excusa cada vez.

Cómo SafeBrowz bloquea esta amenaza

SafeBrowz ejecuta una arquitectura de detección de 3 capas: Local + APIs + IA.

  • Capa 1 - Detección local: más de 60 patrones de URL + más de 550 firmas específicas de marcas y organismos (incluidas variantes homógrafas en cirílico y Punycode) + lista blanca/negra de la comunidad, todo corriendo directamente en la extensión antes de que la página se renderice. Atrapa al instante palabras institucionales como "aeat" o "hacienda" en subdominios de alojamiento gratuito y el abuso de TLD baratos.
  • Capa 2 - Verificaciones de API: agrega Google Safe Browsing, PhishTank, URLhaus, ScamAdviser, más la consulta de antigüedad del dominio (la mayoría de las sedes falsas tienen días de vida) y más de 30 TLD de estafa.
  • Capa 3 - Análisis profundo con IA: el análisis de suplantación de marca con conciencia de contenido en más de 100 idiomas atrapa una sede de la AEAT recién clonada que ninguna lista negra ha visto todavía, incluidas páginas que copian el rojo corporativo y los botones de Cl@ve.

Las firmas de detección se derivan de la investigación de inteligencia de amenazas y de nuestra base de datos interna de marcas, no de los datos de navegación de los usuarios. SafeBrowz no almacena el historial de navegación de cada usuario.

Para quienes no quieren instalar nada, el mismo motor impulsa el verificador de URL público gratuito. Pega cualquier enlace de "devolución de la Renta" y obtén un veredicto en segundos.

Qué hacer ahora mismo

Si te ha llegado el mensaje, o ya pinchaste el enlace, esta es la respuesta correcta.

  1. No pinches el enlace y no introduzcas ningún dato. Ni tarjeta, ni CVV, ni claves del banco. Si ya abriste la página, ciérrala sin escribir nada.
  2. Comprueba tu devolución solo en la sede oficial. Entra por tu cuenta a agenciatributaria.gob.es escribiendo tú la dirección, e identifícate con Cl@ve, certificado digital o DNIe. Ahí verás el estado real de tu declaración. Nunca entres a través de un enlace que te enviaron.
  3. Si introdujiste los datos de tu tarjeta, llama ya a tu banco. Usa el número del reverso de tu tarjeta para bloquearla y vigilar cargos. Cambia las claves de banca electrónica si las escribiste.
  4. No pagues ninguna "tasa", "comisión" ni "regularización". Cobrar una devolución nunca cuesta dinero, y la AEAT no exige pagos en criptomonedas. Cualquier petición así es fraude.
  5. Denúncialo. Reenvía el SMS o correo a la dirección de notificación de phishing de la AEAT y comunícalo al INCIBE a través de su línea gratuita 017 o de la Oficina de Seguridad del Internauta en incibe.es. Si has perdido dinero, presenta denuncia ante la Policía Nacional o la Guardia Civil. Incluye el enlace, el remitente y una captura del mensaje.
  6. Avisa a tu entorno. Estas oleadas afectan sobre todo a personas mayores y a quien espera de verdad una devolución. Un mensaje a la familia evita la siguiente víctima.

Si lees esto en nombre de un familiar mayor, haz una cosa más hoy: recuérdale que Hacienda nunca pide la tarjeta por SMS y que ante cualquier "devolución pendiente" la respuesta correcta es no pinchar nada y comprobarlo juntos en la sede oficial. Nuestra guía "Me estafaron, ¿qué hago ahora?" cubre en detalle los pasos de recuperación de la primera hora.

Preguntas frecuentes

¿La Agencia Tributaria envía SMS o correos con enlaces para cobrar la devolución?

No. La AEAT no solicita datos bancarios, el número de tarjeta ni el CVV por SMS, correo electrónico o WhatsApp, ni envía enlaces para "confirmar" o "validar" una devolución. Tanto la propia Agencia Tributaria como el INCIBE lo han recordado durante la campaña de la Renta 2026. Cualquier mensaje de ese tipo es phishing.

¿Cómo paga Hacienda realmente una devolución de la Renta?

Por transferencia bancaria a la cuenta que tú indicaste en tu declaración. La Agencia Tributaria nunca abona devoluciones por tarjeta ni por Bizum, y nunca te pide el número de tarjeta para "recibir el ingreso". Si un mensaje habla de cobrar por tarjeta o Bizum, es falso.

¿Cuál es la sede electrónica real de la AEAT?

La sede oficial vive en agenciatributaria.gob.es (el dominio agenciatributaria.es también es legítimo y redirige a la sede). Se entra con Cl@ve, certificado digital o DNIe, escribiendo tú la dirección en el navegador, nunca a través de un enlace recibido. El dominio .gob.es está reservado a organismos públicos: una "sede" en vercel.app, pages.dev, netlify.app o cualquier otro dominio no es la AEAT.

Soy autónomo y me llegó un aviso sobre el IVA o un requerimiento. ¿Cómo lo verifico?

No uses el enlace del mensaje. Entra por tu cuenta a la sede electrónica en agenciatributaria.gob.es con tu certificado o Cl@ve y revisa tus notificaciones reales y tu buzón de la Dirección Electrónica Habilitada. Los requerimientos legítimos están ahí; los que llegan por SMS con enlace y prisa son phishing dirigido a autónomos.

Ya introduje los datos de mi tarjeta en la página falsa. ¿Qué hago?

Llama de inmediato a tu banco con el número del reverso de la tarjeta para bloquearla y vigilar movimientos. Cambia las claves de banca electrónica si las escribiste. Denúncialo al INCIBE en el 017 y a la AEAT, y presenta denuncia ante la Policía Nacional o la Guardia Civil. Guarda capturas del SMS o correo y del enlace como prueba.

¿Cómo denuncio este phishing de Hacienda?

Reenvía el mensaje a la dirección de notificación de phishing de la Agencia Tributaria y comunícalo al INCIBE por su línea gratuita 017 o en la Oficina de Seguridad del Internauta a través de incibe.es. Si has sufrido un perjuicio económico, presenta denuncia ante la Policía Nacional o la Guardia Civil. Incluye el enlace de la sede falsa, el remitente del SMS o correo y una captura del mensaje.

Instala SafeBrowz gratis

Añade la extensión de navegador que analiza cada enlace, incluida la "sede de Hacienda" que un SMS te envía, antes de que la página se renderice. Gratis para siempre.

Chrome Agregar a Chrome Firefox Agregar a Firefox Edge Agregar a Edge

Lecturas relacionadas