Renta 2025: estafas más comunes y claves para evitarlas al hacer la declaración

¿Cuáles son las estafas más habituales? 

Miguel López, director para el Sur de la compañía de ciberseguridad EMEA en Barracuda Networks, advierte de que durante la campaña de la renta se repiten patrones muy claros de fraude. Los más habituales son los correos electrónicos y SMS que suplantan a la Agencia Tributaria (phishing y smishing), avisando de supuestas devoluciones pendientes o incidencias urgentes en la declaración. Suelen contener "enlaces a webs falsas muy bien diseñadas o malware". Además, la inteligencia artificial (IA) permite crear mensajes "mucho más creíbles, sin errores y altamente personalizados, incluso adaptados al contexto fiscal de cada país". López destaca también el "aumento del fraude asistido por IA en llamadas, con voces sintéticas y guiones muy convincentes".  

Josep Albors, director de Investigación y concienciación de la empresa de ciberseguridad ESET España, explica que estas campañas "suplantan a algún organismo oficial" para redirigir a webs fraudulentas o descargar archivos maliciosos destinados al "robo de credenciales e información financiera", y señala que en algunos casos se usan técnicas para "evitar fallos gramaticales". También señala que "las campañas maliciosas que hacen un uso mayor de la IA son aquellas que utilizan la desinformación o las noticias falsas, incluso utilizando la imagen de personalidades sin su permiso para engañar a los usuarios y conseguir que pulsen sobre enlaces maliciosos o descarguen ficheros infectados". 

Fernando Anaya, country manager de la compañía de ciberseguridad Proofpoint para España y Portugal, destaca que la IA impulsa ataques "mucho más sofisticados y a una escala sin precedentes", con mensajes que imitan comunicaciones oficiales para "robar información sensible", y que suelen apoyarse en phishing, smishing o llamadas en las que los ciberdelincuentes "se hacen pasar por la Agencia Tributaria". Otra modalidad es la de "las llamadas telefónicas donde los delincuentes se hacen pasar por empleados de Hacienda, llegando incluso a manipular el identificador de llamada para que parezca un número oficial". Indica que, "durante estas conversaciones, intentan obtener información confidencial o inducir al pago de supuestas deudas que en realidad no existen".

La Policía Nacional ha alertado recientemente de que los ciberdelincuentes envían un mensaje falso por "email o SMS con enlaces en los que te invitan a recibir un "reembolso". Se trata de una estafa habitual durante la campaña de la renta. 

El Instituto Nacional de Ciberseguridad (INCIBE) también ha detectado "campañas de suplantación a la Agencia Estatal de Administración Tributaria (AEAT) a través de notificaciones por correo electrónico y mensajes de texto SMS con el objetivo de engañar a las víctimas para que faciliten sus datos personales y bancarios". En este artículo del INCIBE puedes consultar varios ejemplos reales. La AEAT asegura en su página web que "el objetivo de los delincuentes es robar a la víctima datos personales o bancarios, ya sea remitiéndole a una página web falsa que suplanta a la de la Agencia Tributaria o haciéndole descargar ficheros con virus".  

01.07 min

Declaración de la Renta 2025: Expertos piden extremar la precaución ante la ciberdelincuencia

¿Cómo evitar estos fraudes? 

Miguel López, de Barracuda Networks, insiste en desconfiar de cualquier comunicación no solicitada que pida datos personales, credenciales o pagos", y recomienda "acceder siempre manualmente a la web oficial, usar contraseñas únicas y robustas y contar con soluciones de protección del correo electrónico que detecten suplantaciones y enlaces maliciosos". 

En la misma línea, Josep Albors, de ESET España, recuerda que la Agencia Tributaria suele comunicarse por "cartas certificadas o mensajes a través de su aplicación oficial, por lo que cualquier otra vía de comunicación (emails, SMS) nos debe resultar sospechosa y desconfiar". En caso de duda, recomienda acudir a los canales oficiales de la Agencia Tributaria. 

Por su parte, Fernando Anaya, de Proofpoint, aconseja no compartir información sensible ni abrir enlaces o archivos adjuntos inesperados, desconfiar de mensajes que generen urgencia o amenazas de sanción inmediata". También destaca que "es vital desconfiar de cualquier mensaje que infunda una sensación de urgencia extrema o que amenace con sanciones inmediatas" y mantener los "sistemas operativos, navegadores y software de seguridad siempre actualizados para proteger tus dispositivos". 

La AEAT da estos consejos: 

• No abrir mensajes de usuarios desconocidos o que no hayas solicitado, elimínalos directamente　 
• No contestar en ningún caso a estos mensajes 
• Precaución al seguir enlaces en correos, aunque sean de contactos conocidos 
• Precaución al descargar ficheros adjuntos de correos, aunque sean de contactos conocidos　 

Novedades en la declaración de la renta 2025: desempleados, ayudas por la dana y una deducción por cobrar el SMI

¿Qué hacer si has caído en la trampa? 

Barracuda Networks destaca que lo primero es actuar rápido:  

• Cambiar contraseñas 
• Contactar con el banco si se han facilitado datos financieros y recopilar toda la información posible del fraude 
• Comunicarlo a la AEAT 
• Denunciar ante las Fuerzas y Cuerpos de Seguridad del Estado 

Además, indica que "es clave analizar el dispositivo para descartar infecciones y aprender del incidente para evitar que vuelva a ocurrir". El INCIBE recomienda seguir pasos similares. 

En VerificaRTVE ya te hemos alertado de estafas similares coincidiendo con la campaña de la renta. En la renta de 2023 te explicamos un fraude que consistía en un correo que avisa de que tu borrador de la declaración "no está regularizado". En la renta de 2022 te informamos de los mensajes que suplantan a la AEAT sobre falsos reembolsos de impuestos o notificaciones postales que nunca llegan.