Los ciberdelincuentes han encontrado en el smishing —estafas mediante SMS— y las páginas web fraudulentas dos de sus armas más efectivas para engañar a los ciudadanos. Durante las últimas semanas, INCIBE y las fuerzas de seguridad han detectado un repunte significativo de estos fraudes, especialmente aquellos que suplantan la identidad de la Agencia Estatal de Administración Tributaria (AEAT) y tiendas online que ofrecen supuestos «chollos» irresistibles.
La sofisticación de estos ataques ha alcanzado niveles preocupantes. Los estafadores aprovechan momentos clave como la campaña de la renta o las rebajas de temporada para maximizar sus posibilidades de éxito. La Policía Nacional en Málaga ha alertado específicamente sobre el incremento de denuncias relacionadas con estas prácticas fraudulentas, que afectan tanto a usuarios experimentados como a aquellos menos familiarizados con las tecnologías digitales.
Cómo operan las estafas de SMS falsos de Hacienda
El modus operandi del smishing de AEAT sigue un patrón bien definido. Los delincuentes envían mensajes de texto que aparentan proceder oficialmente de Hacienda, informando al destinatario sobre supuestas devoluciones pendientes, expedientes sancionadores o requerimientos urgentes de documentación. Estos SMS incluyen enlaces que redirigen a páginas web diseñadas para recopilar datos personales y bancarios.
INCIBE ha identificado varios elementos característicos de estos fraudes:
• Urgencia artificial: Los mensajes crean sensación de premura con frases como «último aviso» o «plazo de 48 horas»
• Enlaces acortados: Utilizan servicios como bit.ly o tinyurl para ocultar la URL real de destino
• Datos genéricos: No incluyen información personal específica del destinatario
• Errores ortográficos: Contienen faltas de ortografía o expresiones poco naturales
• Solicitud de datos: Piden información que Hacienda nunca solicitaría por SMS
La página web falsa reproduce fielmente el diseño oficial de la AEAT, incluyendo logotipos y colores corporativos. Una vez que la víctima introduce sus datos de acceso, número de cuenta bancaria o información de tarjetas de crédito, los estafadores obtienen acceso completo a esta información sensible.
El boom de las tiendas online fraudulentas
Paralelamente, las webs de compras falsas han experimentado un crecimiento exponencial. Estas plataformas simulan ser tiendas legítimas ofreciendo productos de marca a precios significativamente reducidos. Los ciberdelincuentes registran dominios con nombres similares a marcas conocidas, utilizan imágenes robadas de catálogos oficiales y estructuran sus páginas para generar confianza.
Las señales de alarma más frecuentes incluyen precios excesivamente bajos comparados con el mercado, ausencia de información de contacto verificable, métodos de pago limitados únicamente a transferencia bancaria o criptomonedas, y políticas de devolución vagas o inexistentes. Muchas de estas webs desaparecen tras pocas semanas de actividad, una vez han recopilado suficientes datos de víctimas.
Protocolo de detección y verificación
La identificación temprana de estos fraudes resulta crucial para evitar convertirse en víctima. INCIBE recomienda aplicar un protocolo de verificación sistemático ante cualquier comunicación sospechosa. En primer lugar, la AEAT nunca envía SMS solicitando datos personales ni informa sobre devoluciones a través de este canal. Toda comunicación oficial se realiza mediante la sede electrónica, correo postal certificado o el buzón tributario.
Para verificar la autenticidad de una comunicación supuestamente oficial, los ciudadanos deben acceder directamente al portal web de la institución escribiendo manualmente la URL en el navegador. Nunca se debe hacer clic en enlaces recibidos por SMS o correo electrónico no solicitado. Adicionalmente, es recomendable contactar telefónicamente con el organismo en cuestión utilizando números oficiales publicados en sus webs corporativas.
En el caso de tiendas online, resulta fundamental verificar la legitimidad del comercio consultando registros mercantiles, buscando opiniones de otros usuarios en plataformas independientes y comprobando que la web utiliza certificados de seguridad SSL. Los métodos de pago seguros incluyen tarjetas de crédito con protección al consumidor y plataformas como PayPal que ofrecen sistemas de disputa.
Canales oficiales para presentar denuncias
Cuando se detecta una estafa o se ha sido víctima de ella, existen varios canales oficiales para presentar la denuncia correspondiente. INCIBE pone a disposición de los ciudadanos la Línea de Ayuda en Ciberseguridad (017), un servicio gratuito que funciona las 24 horas del día, todos los días del año. Este servicio proporciona asesoramiento técnico inmediato y canaliza las denuncias hacia las autoridades competentes.
La Policía Nacional y la Guardia Civil disponen de unidades especializadas en delitos tecnológicos que tramitan las denuncias relacionadas con estafas online. Es posible presentar denuncia tanto presencialmente en cualquier comisaría como a través de sus webs oficiales. Para casos de especial gravedad o cuando se han producido pérdidas económicas significativas, se recomienda acudir personalmente a las dependencias policiales portando toda la documentación disponible: capturas de pantalla, correos electrónicos, extractos bancarios y cualquier comunicación mantenida con los estafadores.
El Banco de España también juega un papel relevante cuando las estafas involucran servicios financieros. Su Servicio de Reclamaciones puede mediar en disputas relacionadas con operaciones bancarias fraudulentas y proporcionar orientación sobre los derechos del consumidor en estos casos.
Medidas preventivas y herramientas de protección
La prevención constituye la mejor defensa contra estos ataques. Los expertos en ciberseguridad recomiendan mantener actualizado el sistema operativo del móvil y utilizar aplicaciones antimalware que incluyan protección contra phishing. Muchos operadores telefónicos ofrecen servicios de filtrado de SMS que bloquean automáticamente mensajes identificados como fraudulentos.
La configuración de alertas bancarias representa otra capa de seguridad fundamental. La mayoría de entidades financieras permiten recibir notificaciones inmediatas ante cualquier operación realizada con tarjetas o transferencias, lo que facilita la detección temprana de usos no autorizados.
Para las compras online, resulta aconsejable utilizar tarjetas virtuales de un solo uso o métodos de pago que no requieran compartir directamente los datos bancarios. Algunas entidades ofrecen tarjetas prepago específicamente diseñadas para compras por internet, limitando la exposición en caso de compromiso de datos.
La formación y concienciación familiar también desempeña un papel crucial, especialmente con personas mayores o menos familiarizadas con estas amenazas. Compartir información sobre las últimas modalidades de fraude y establecer protocolos de consulta antes de facilitar datos personales puede prevenir muchas situaciones de victimización.
A día de hoy, 6 de septiembre de 2025, las autoridades mantienen una vigilancia constante sobre estas amenazas emergentes, adaptando continuamente sus estrategias de respuesta a las nuevas tácticas empleadas por los ciberdelincuentes. La colaboración entre ciudadanos, fuerzas de seguridad y organismos especializados resulta esencial para construir un entorno digital más seguro y resiliente frente a estos ataques cada vez más sofisticados.
