La Agencia Estatal de Administración Tributaria (AEAT) ha identificado una nueva campaña de phishing que suplanta su identidad para robar datos personales. El fraude llega mediante mensajes falsos que anuncian un reembolso de 311,29€, exigiendo acción urgente. No hay notificación real. No hay reembolso pendiente. Solo riesgo.
¿Qué es el phishing AEAT y cómo funciona en 2026?
El phishing AEAT es una técnica de suplantación digital que imita canales oficiales de la Agencia Tributaria. En este caso, los atacantes usan el dominio josemariaa.sg-host.com, ajeno a .aeat.es o .gob.es. El enlace malicioso redirige a una página falsa que simula el formulario de solicitud de reembolso.
Los cibercriminales explotan la confianza en Hacienda y el miedo al retraso. El mensaje incluye plazos ajustados (5 días), montos concretos y lenguaje técnico para parecer legítimo. Pero la AEAT nunca envía SMS ni correos con enlaces a formularios externos.
¿Por qué este ataque es más peligroso que otros?
- Usa nombres de dominio que imitan estructuras personales (ej. «josemariaa») para generar falsa familiaridad.
- Se hospeda en plataformas de hosting compartido (sg-host.com), difíciles de bloquear masivamente.
- Coincide con el periodo previo a la Declaración de la Renta 2025, cuando la actividad de consulta fiscal se dispara.
¿Cómo identificar un correo o SMS falso de la AEAT?
La Agencia Tributaria ha reforzado sus alertas ante el aumento de intentos. Los indicadores clave son invariables:
- El remitente no usa dominios oficiales: .aeat.es, .gob.es o @aeat.es.
- El mensaje contiene enlaces externos con extensiones sospechosas (ej. .sg-host.com, .xyz, .top).
- Usa lenguaje de urgencia: «plazo de 5 días», «su cuenta será bloqueada», «reembolso caducará».
- Solicita credenciales, números de cuenta, CVV, o descarga de archivos adjuntos.
¿Qué hacer al recibir un mensaje sospechoso?
No haga clic. No responda. No descargue nada. Acceda directamente a la Sede Electrónica de la AEAT, sin usar enlaces recibidos. Inicie sesión con Cl@ve o certificado digital, y revise la bandeja de notificaciones oficiales. Si hay una comunicación real, aparecerá allí.
¿Qué dice la ley sobre suplantación de la AEAT?
El Código Penal español castiga la suplantación de identidad (art. 401) y el acceso ilegítimo a sistemas informáticos (art. 197). Además, el Reglamento General de Protección de Datos (RGPD) obliga a las entidades públicas a notificar brechas. La AEAT no comparte datos con terceros, ni gestiona reembolsos por vía SMS.
Desde 2024, la Ley de Ciberseguridad exige a proveedores de hosting como sg-host.com colaborar con la Oficina de Seguridad del Internauta (OSI) y la Agencia Española de Protección de Datos (AEPD) ante denuncias verificadas. Ya se han bloqueado más de 120 dominios similares este año.
¿Cuál es el impacto económico real de estas estafas?
Según datos de la OSI, el phishing fiscal causó pérdidas superiores a 4,2 millones de euros en 2025. El 68 % de las víctimas eran particulares mayores de 55 años. Cada caso requiere hasta 12 horas de gestión bancaria y administrativa. Además, el fraude genera costes indirectos: caída de confianza en servicios digitales, retrasos en trámites fiscales y sobrecarga en atención ciudadana.
¿Qué medidas preventivas recomienda la AEAT en 2026?
- Active la autenticación en dos pasos (2FA) en su cuenta Cl@ve.
- Instale solo aplicaciones oficiales: Renta Web, AEAT Móvil, Cl@ve PIN.
- Configure filtros de correo para bloquear dominios no gubernamentales.
- Denuncie inmediatamente en la Oficina de Seguridad del Internauta o a través de [email protected].
Datos Clave
- La AEAT nunca solicita contraseñas, claves o datos bancarios por SMS o email.
- Todos los trámites oficiales se realizan exclusivamente en https://sede.agenciatributaria.gob.es.
- El dominio josemariaa.sg-host.com está incluido en la lista negra de la OSI desde el 18 de abril de 2026.
- El 92 % de los intentos de phishing fiscal en 2026 usan montos entre 299 € y 399 €, para parecer creíbles.
- Las denuncias de este tipo aumentaron un 41 % interanual según el último informe de la AEPD.
