← Volver al blog
Administración pública suplantacion hacienda

Hacienda nunca escribe por WhatsApp: suplantación de administración

Tu teléfono vibra un martes por la tarde. Es un WhatsApp de un número desconocido, prefijo +34, foto de perfil con el escudo de España. El mensaje dice que tienes una devolución pendiente de 347 euros de la última declaración de la renta y que debes confirmar tu cuenta bancaria antes de las 72 horas o el importe "quedará bloqueado en el sistema". Suena oficial. Suena urgente. Suena exactamente como debe sonar un timo bien diseñado.

La anatomía del timo: cómo funciona por dentro

La suplantación de Hacienda sigue un guión sencillo porque no necesita ser complicado. La mayoría de la gente tiene alguna relación pendiente con la Agencia Tributaria: una declaración, una notificación, un modelo que presentar. El timador apuesta por esa incertidumbre.

El proceso tiene tres fases. Primero, el gancho: un mensaje por WhatsApp, SMS o correo electrónico que imita la identidad visual de la Agencia Tributaria. Incluye el nombre completo del organismo, a veces un número de expediente inventado y casi siempre una cantidad de dinero concreta (nunca redonda, para que parezca real: 347 euros, no 350).

Segundo, la urgencia artificial: "48 horas", "antes del viernes", "o se procederá a la retención". El límite de tiempo corta el pensamiento crítico. Si tienes prisa, no investigas.

Tercero, la captura: un enlace a una página que imita la sede electrónica de la AEAT. El dominio es parecido pero no idéntico, algo como agencia-tributaria-es.net/verificar o hacienda-devolucion.com/confirmar. Ahí te piden número de cuenta, DNI, fecha de nacimiento y, en las versiones más ambiciosas, una foto del DNI por ambas caras. Con esos datos construyen una identidad falsa o vacían una cuenta.

Hay una variante más reciente que añade una llamada de teléfono. Alguien que dice ser "funcionario del departamento de devoluciones" te llama para "verificar" que has recibido el mensaje. La presión social de hablar con una persona real hace que la guardia baje todavía más.

Las señales que lo delatan

1. El canal es incorrecto

La Agencia Tributaria se comunica por correo postal certificado, por notificación en la sede electrónica (sede.agenciatributaria.gob.es) o por correo electrónico cuando tú has dado esa dirección y has activado el aviso. No usa WhatsApp. No envía SMS con enlaces para que introduzcas datos bancarios. Nunca. Si el mensaje llega por un canal que la administración pública no utiliza para ese tipo de comunicación, ya tienes el veredicto.

2. El dominio no es el oficial

La única sede electrónica de la Agencia Tributaria es sede.agenciatributaria.gob.es. Fíjate en el final: .gob.es. Todo lo que termine en .net, .com, .es sin el subdominio .gob, o que tenga guiones en el nombre (agencia-tributaria.net), es falso. Los organismos públicos españoles usan dominios bajo .gob.es o .es con estructura oficial verificable. Si el enlace no encaja en ese patrón, no lo abras.

3. Te piden datos que ya tienen

Hacienda tiene tu número de cuenta si alguna vez te ha hecho una devolución. No necesita que se lo confirmes por WhatsApp. Ningún organismo público que ya gestiona tu expediente necesita que le reenvíes tu DNI, tu IBAN o tu fecha de nacimiento a través de un formulario web enviado por mensaje. Cuando te piden lo que ya deberían saber, están reconociendo que no son quienes dicen ser.

4. La urgencia es la herramienta, no el contexto

Los plazos reales de la administración aparecen en resoluciones formales, con número de expediente, con nombre del funcionario responsable y con vías de recurso explicadas. Un plazo de 48 horas que llega por WhatsApp sin ninguno de esos elementos no es un plazo: es una palanca de presión. La urgencia fabricada es la señal más fiable de que algo falla.

5. El mensaje tiene errores o una perfección sospechosa

Algunos mensajes de suplantación de Hacienda tienen errores ortográficos evidentes o frases que no suenan a español administrativo. Otros, los más cuidados, son casi perfectos. En ambos casos, la regla es la misma: el canal lo invalida antes de que llegues a leer el texto.

6. No existe ese expediente cuando lo compruebas

Si el mensaje menciona un número de expediente, búscalo en la sede electrónica oficial. Entra directamente en el navegador, no desde el enlace del mensaje. Si ese número no aparece asociado a tu perfil, el expediente no existe.

Un ejemplo del timo tal como llega

WhatsApp, número +34 611 XXXXXX, 14:32

"AGENCIA TRIBUTARIA ESPAÑA — Estimado contribuyente, tras la revisión de su declaración del IRPF correspondiente al ejercicio 2023 se ha detectado un importe a devolver de 312,40 EUR. Para proceder a la transferencia debe verificar su cuenta bancaria antes de las 48h en el siguiente enlace: hacienda-devolucion-es.net/verificar?ref=AEAT2024. Transcurrido ese plazo el importe quedará retenido y deberá solicitarse de nuevo presencialmente. Atentamente, Departamento de Devoluciones AEAT."

Analiza ese mensaje con lo que ya sabes: canal incorrecto (WhatsApp), dominio inventado (hacienda-devolucion-es.net), urgencia artificial (48 horas), petición de datos bancarios. Cuatro señales en seis líneas. El timo no se esconde: confía en que no mires con atención.

Qué hacer ahora mismo si recibes uno

No pulses el enlace. Ni para ver adónde lleva, ni para comprobar si es real. El enlace puede instalar código malicioso con solo abrirlo en algunos navegadores.

No respondas al mensaje. Responder confirma que el número está activo y puede aumentar el volumen de intentos que recibes.

Entra directamente en la sede electrónica de la AEAT. Escribe sede.agenciatributaria.gob.es en el navegador tú mismo. Comprueba si tienes notificaciones pendientes. Si no hay nada, no hay nada.

Denuncia el número. La Policía Nacional tiene el formulario policia.es/colabora.php para denuncias telemáticas. El INCIBE mantiene la línea de ayuda en ciberseguridad 017, gratuita, disponible de lunes a domingo. La Oficina de Seguridad del Internauta (OSI) también recibe reportes en osi.es.

Bloquea y elimina. Una vez denunciado, bloquea el número y borra el mensaje. No lo guardes "por si acaso": no necesitas la evidencia tú, ya la tienen los organismos a los que has reportado.

Si has pulsado el enlace e introducido datos, contacta de inmediato con tu banco para bloquear la cuenta o la tarjeta asociada. El tiempo entre la captura de datos y el primer movimiento fraudulento puede ser de minutos.

Diez reglas para no caer en una suplantación de la administración pública

  1. La administración pública española no usa WhatsApp. Ningún organismo oficial te contacta por esa vía para pedirte datos o pagos.
  2. Los SMS con enlaces de Hacienda son siempre sospechosos. El SMS puede servir para avisar de que tienes una notificación, nunca para que introduzcas datos en un formulario.
  3. Entra siempre por la puerta principal. Escribe el dominio oficial en el navegador. Nunca accedas a través de un enlace recibido por mensaje.
  4. El dominio oficial termina en .gob.es. Todo lo demás es una imitación.
  5. La urgencia es la señal, no el plazo. Si sientes prisa, para. Eso es exactamente lo que quieren provocar.
  6. Ningún organismo público te pide datos que ya tiene. Si tienes expediente abierto, tienen tu información. No la necesitan de nuevo por formulario.
  7. Un número de expediente sin rastro en la sede electrónica no existe. Compruébalo antes de actuar.
  8. Denuncia aunque no hayas caído. Cada reporte ayuda a rastrear las redes detrás del timo.
  9. Llama al 017 si tienes dudas. El INCIBE resuelve dudas sobre mensajes sospechosos de forma gratuita.
  10. Si ya diste tus datos, actúa en minutos, no en horas. Llama al banco, cambia contraseñas, bloquea lo que puedas. La velocidad importa más que la vergüenza.

Entrena tu instinto.

La app es gratis. El juego físico, bajo pedido. En ambos, 54 casos reales para entrenar el ojo.

Ver el manual