Con el inicio oficial de la campaña de la Renta 2025 mañana, 8 de abril de 2026, millones de contribuyentes en España se preparan para presentar su declaración. Sin embargo, esta época también es aprovechada por los ciberdelincuentes para lanzar campañas de fraude que suplantan la identidad de organismos oficiales, como la Agencia Estatal de Administración Tributaria (AEAT), con el objetivo de robar credenciales, datos personales o información bancaria.

Según alerta ESET, compañía líder en ciberseguridad, durante todo el intervalo en el que los contribuyentes tienen la obligación o posibilidad de presentar su declaración, los delincuentes suelen enviar correos electrónicos o mensajes SMS que simulan provenir de la Agencia Tributaria, incluyendo asuntos sobre supuestas devoluciones de impuestos, notificaciones importantes o incidencias en la declaración. Estos mensajes pueden contener enlaces a páginas web fraudulentas que imitan el portal oficial o incluso formularios en los que se solicita información confidencial. La propia Agencia Tributaria advierte que nunca solicita datos personales o bancarios por correo electrónico o SMS ni adjunta documentos en estos formatos.

“El inicio de la campaña de la Renta no sólo moviliza a millones de contribuyentes, sino también a los ciberdelincuentes que buscan aprovecharse de la urgencia o confusión de los usuarios. Durante este periodo vemos cómo se utilizan tácticas que presionan psicológicamente para conseguir que se entreguen datos sin verificar el origen del mensaje”, afirma Josep Albors, director de Investigación y Concienciación de ESET España.

Señales de alerta que pueden indicar un intento de fraude

ESET advierte de varios indicios que deben hacerte desconfiar y comprobar la autenticidad de cualquier comunicación relacionada con la Renta:

• Solicitudes de datos personales o bancarios a través de enlaces o formularios web que no pertenecen a la sede oficial.
• Mensajes que apelan a la urgencia, como supuestas devoluciones inmediatas o bloqueos de expediente para presionarte a actuar sin verificar.
• Dominios o remitentes sospechosos que no coinciden con “agenciatributaria.gob.es” ni con los canales oficiales de notificaciones electrónicas, con el fin de redirigirte a páginas fraudulentas.

Recomendaciones para proteger tus datos durante la campaña de la Renta

Para evitar caer en este tipo de estafas, ESET recomienda:

• Acceder siempre manualmente a la sede electrónica de la Agencia Tributaria (escribiendo la URL en tu navegador o a través de canales oficiales), evitando hacer clic en enlaces de correos o SMS no solicitados.

• Comprobar con atención remitente y dominio antes de introducir cualquier dato personal o bancario en una página, y desconfiar de cualquier solicitud de contraseñas o códigos por medios no seguros. Si te piden datos bancarios fuera del entorno oficial, es una estafa.
• No facilitar información sensible en respuesta a mensajes que no hayas solicitado o que no provengan de los canales oficiales de la AEAT.
• Mantener sistemas y soluciones de seguridad actualizados, incluidos antivirus y filtros antiphishing, para aumentar tus defensas ante amenazas conocidas.
• Verificar antes de actuar. Ante la duda, se recomienda utilizar los servicios de la AEAT para cotejar documentos y consultar notificaciones de forma segura.

Qué hacer si has interactuado con un mensaje sospechoso

Si ya has pulsado un enlace o facilitado información, desde ESET se recomienda:

• Recopilar pruebas del incidente (capturas de pantalla, enlaces, mensajes).
• Cambiar tus contraseñas comprometidas y vigilar las cuentas bancarias asociadas.
• Denunciar el fraude ante las Fuerzas y Cuerpos de Seguridad del Estado.
• Solicitar orientación especializada en la Línea de Ayuda en Ciberseguridad (017) para recibir asistencia experta.

“La campaña de la Renta es un momento clave para prestar atención no solo a los trámites fiscales, sino también a los riesgos de ciberseguridad que pueden surgir si se baja la guardia ante comunicaciones fraudulentas. En muchos casos, la mejor defensa no es una herramienta compleja, sino simplemente la prudencia: no acceder a través de enlaces recibidos por correo o SMS y realizar cualquier trámite únicamente desde la sede oficial del organismo”, concluye Albors.