Cómo saber si un SMS de la AEAT es falso.
Los SMS falsos de la Agencia Tributaria suelen usar urgencia, supuestos reembolsos y enlaces a formularios que roban datos personales y bancarios.
Los SMS falsos que dicen venir de la Agencia Tributaria (AEAT) son una forma de smishing: phishing enviado por mensaje de texto. Su objetivo es que pulses un enlace, entres en una web que imita a la sede electrónica de la AEAT y facilites datos personales, datos bancarios o credenciales de acceso. La propia Agencia Tributaria mantiene avisos oficiales sobre campañas de phishing que suplantan su identidad, precisamente porque este tipo de fraude se repite de forma constante.
Señales de que un SMS de la AEAT puede ser falso
La mayoría de estos mensajes comparten un mismo patrón, diseñado para que actúes rápido y sin pensar:
- Urgencia artificial: frases como "último aviso", "reembolso pendiente" o "regularización urgente", que buscan que respondas antes de comprobar nada.
- Enlaces a dominios raros: enlaces acortados o direcciones extrañas que incluyen palabras como "tributaria", "aeat", "sede" o "reembolso", pero que no pertenecen a la sede electrónica oficial.
- Solicitud de datos que no deberían pedirte por SMS: número de tarjeta, CVV, PIN, códigos recibidos por SMS o credenciales de acceso. INCIBE recuerda que el phishing suele pedir información que una entidad legítima no solicitaría por ese canal.
Revisa el dominio antes de entrar
No basta con que el enlace contenga la palabra "aeat" o "agenciatributaria" para que sea de fiar. Lo que importa es el dominio real al que apunta el enlace, no el texto que lo acompaña en el mensaje. Antes de pulsar cualquier enlace, fíjate en detalles como estos:
- Dominios con guiones excesivos o palabras añadidas que no forman parte de la sede oficial.
- Enlaces acortados que ocultan el destino real.
- URLs anormalmente largas, con parámetros extraños al final.
- Páginas que piden directamente los datos de una tarjeta para tramitar un "reembolso".
Qué hacer si recibes un SMS sospechoso
Lo más seguro es no interactuar en absoluto con el mensaje: no pulsar el enlace, no responder, no descargar ningún archivo adjunto y no introducir ningún dato. Si quieres comprobar si tienes de verdad alguna notificación pendiente, escribe manualmente en el navegador la dirección oficial de la Agencia Tributaria o utiliza la app o los canales oficiales de la AEAT, nunca el enlace del SMS. También puedes consultar los avisos de phishing que la propia Agencia Tributaria publica sobre campañas activas de suplantación.
Qué hacer si ya has pulsado el enlace
Lo que hagas a partir de aquí depende de hasta dónde hayas llegado:
- Si solo se abrió la web: cierra la página sin introducir ningún dato y no vuelvas a acceder desde ese mismo enlace.
- Si se descargó algún archivo: no lo abras bajo ningún concepto y analiza el dispositivo con un antivirus actualizado.
- Si llegaste a introducir datos personales: guarda pruebas (capturas, la URL completa, el SMS original) y valora reportarlo a INCIBE.
- Si introdujiste datos de tarjeta o de tu banca online: contacta con tu banco de inmediato. Si esto es lo que te ha pasado, consulta también nuestra guía He metido mi tarjeta en una web falsa, con los pasos exactos a seguir en los primeros minutos.
Cómo reportar el SMS falso
Antes de que el número o la web caigan, conserva la información que permite investigar el fraude: una captura del mensaje completo, el número de remitente, la URL completa del enlace y la fecha en la que lo recibiste. Con esos datos, puedes reportar el fraude directamente a INCIBE, el organismo público de referencia en España para este tipo de incidentes. Si la entidad suplantada dispone de un canal oficial para reportar phishing, remite también la información allí.
