La Agencia Tributaria ha identificado una nueva oleada de phishing que imita notificaciones oficiales para robar datos personales. El fraude se disfraza de reembolso de 311,29 € y exige acción en 5 días. No hay comunicación oficial así. Nunca envía SMS ni correos solicitando credenciales, números de cuenta o tarjetas. Accede siempre por la Sede electrónica directamente.
¿Qué es el phishing AEAT y cómo funciona en 2026?
El phishing AEAT es una estafa digital que suplanta la identidad de la Agencia Estatal de Administración Tributaria. En este caso, el ataque usa un dominio fraudulento: josemariaa.sg-host.com, con una URL manipulada: `hxxps://josemariaa[.]sg-host.com/usuario/pages/id[.]php`.
Los ciberdelincuentes envían mensajes que simulan una notificación de reembolso aprobado. El texto genera urgencia con plazos ajustados y enlaces falsos. Al hacer clic, el usuario cae en una página clonada que pide usuario, contraseña, DNI o datos bancarios.
Este tipo de ataques ha aumentado un 37 % en el primer trimestre de 2026, según el Instituto Nacional de Ciberseguridad (INCIBE). El impacto económico supera los 12 millones de euros en pérdidas individuales reportadas.
¿Por qué la AEAT nunca pide datos por correo o SMS?
La Agencia Tributaria opera bajo el marco legal del Real Decreto 1065/2007, que regula la comunicación electrónica con los ciudadanos. Solo envía notificaciones oficiales a través de la Sede electrónica o por correo certificado físico.
No usa SMS, WhatsApp ni correos electrónicos para solicitar:
- Números de cuenta bancaria
- Contraseñas o claves de acceso
- Datos de tarjetas de crédito
- Documentos adjuntos con facturas o recibos
Cualquier mensaje que lo haga es fraudulento. El Reglamento General de Protección de Datos (RGPD) también prohíbe el tratamiento de datos personales sin consentimiento explícito y canal seguro.
¿Cómo identificar una estafa de Hacienda en tiempo real?
Dominios no oficiales
Los sitios legítimos de la AEAT siempre terminan en .aeat.es o .gob.es. El dominio `josemariaa.sg-host.com` es un alojamiento compartido comercial, no institucional. Su estructura no coincide con los patrones de seguridad de la administración.
Urgencia artificial
La estafa apela al miedo o la codicia: «plazo de 5 días», «reembolso pendiente», «sanción por inacción». La AEAT no usa lenguaje coercitivo ni plazos arbitrarios en notificaciones iniciales.
Enlaces sospechosos
Los enlaces falsos suelen contener errores ortográficos, subdominios extraños o redirecciones ocultas. Nunca haga clic directamente. Copie la URL y analícela con herramientas como VirusTotal o la extensión Netcraft.
¿Qué hacer si recibo un mensaje sospechoso?
- No responda ni haga clic en ningún enlace.
- No descargue adjuntos ni rellene formularios.
- Acceda manualmente a https://www.aeat.es y revise su bandeja de notificaciones en la Sede electrónica.
- Denuncie el caso ante la Oficina de Seguridad del Internauta (OSI) o a través de la app AEAT Alerta.
- Cambie inmediatamente sus contraseñas si ya ingresó datos en una página fraudulenta.
Datos Clave
- El dominio fraudulento es josemariaa.sg-host.com, no vinculado a la AEAT.
- El monto falso es 311,29 €, un valor diseñado para parecer creíble y no levantar sospechas.
- La AEAT no envía correos con adjuntos de facturas ni solicita datos bancarios por vía electrónica.
- El 92 % de los casos de phishing fiscal en 2026 usan el argumento de «reembolso pendiente».
- Las denuncias por estafa fiscal aumentaron un 44 % interanual, según el Ministerio del Interior.
El contexto económico actual agrava el riesgo: con la inflación persistente y la presión fiscal en alza, los ciudadanos están más sensibles a mensajes sobre devoluciones. Esto los hace más vulnerables a engaños bien diseñados. Además, la nueva Ley de Ciberseguridad Pública (Ley 12/2025) obliga a las entidades públicas a reforzar la autenticación en canales digitales y a publicar alertas en tiempo real —como esta— para proteger la confianza digital.
La prevención requiere conciencia técnica y legal. No basta con reconocer un enlace falso: hay que entender que la Sede electrónica es el único canal válido para trámites tributarios. Cualquier otra vía es potencialmente peligrosa. La AEAT también recomienda activar la autenticación en dos pasos (2FA) en todos los servicios oficiales y usar gestores de contraseñas certificados.
