Una reciente campaña de phishing ha sido detectada por el Instituto Nacional de Ciberseguridad (INCIBE), en la que los atacantes suplantan a la Agencia Estatal de Administración Tributaria (AEAT) mediante el envío de notificaciones falsas por correo electrónico.
El objetivo es engañar a las víctimas para que faciliten sus credenciales de acceso a la Dirección Electrónica Habilitada Única (DEHÚ), un servicio oficial utilizado para comunicaciones administrativas. Esta práctica supone un serio riesgo para la seguridad digital y la protección de datos personales.
El fraude consiste en el envío de un mensaje informando de la supuesta puesta a disposición de una notificación electrónica relacionada con una reclamación. El correo incluye un enlace que redirige a una página fraudulenta que imita el diseño oficial tanto de la DEHÚ como de la propia AEAT.
A simple vista, el mensaje parece legítimo por su redacción y maquetación; sin embargo, la dirección del remitente no guarda relación con el dominio oficial “agenciatributaria.gob.es”, un primer indicador de fraude.
Entre los asuntos detectados se encuentra: “Aviso puesta a disposición de nueva notificación electrónica REF‑XXXXXXXX”, aunque pueden existir variantes.
Una vez dentro de la web falsa, se solicita un identificador y una contraseña, con los que los ciberdelincuentes buscan obtener acceso a los servicios electrónicos vinculados a trámites fiscales.
Este tipo de ataques compromete la privacidad del usuario y puede derivar en un uso indebido de su información personal.
Recordemos que las gestiones con la Administración Pública solo pueden realizarse a través de sistemas oficiales de identificación como Cl@ve permanente o Cl@ve móvil, certificado digital o DNI electrónico.
En los casos en que la víctima haya accedido al enlace o facilitado datos personales, se aconseja contactar con la Línea de Ayuda en Ciberseguridad (017), cambiar las credenciales del sistema de acceso a Cl@ve, recopilar y conservar todas las evidencias —capturas de pantalla, enlaces o mensajes— y presentar una denuncia ante las Fuerzas y Cuerpos de Seguridad del Estado.