La declaración de la Renta se ha convertido en uno de los momentos álgidos de la ingeniería social, ya que se juntan las preocupaciones económicas de los contribuyentes con distintos avisos con información sobre esta temporada fiscal, dando lugar a la receta perfecta para el cibercrimen. En España, esta semana se abría el plazo oficial para la liquidación del IRPF por vía telemática dentro de una campaña de la renta que durará casi cuatro meses, hasta el 30 de junio.
En lo que va de 2026, Proofpoint ha observado más de un centenar de campañas con señuelos fiscales que conducen a malware, cargas de monitorización y gestión remota (RMM), fraude y phishing de credenciales. Los ciberdelincuentes se hacen pasar por agencias tributarias, entidades gubernamentales o departamentos de recursos humanos, alegando que el destinatario tiene documentos caducados o ha cometido alguna infracción. Los volúmenes de correo electrónico varían desde un puñado de mensajes hasta decenas de miles, dependiendo de la campaña y los objetivos.
La carga útil más común entre los ciberdelincuentes para temas fiscales es el software legítimo de monitorización y gestión remota (RMM), porque pasa desapercibido en entornos empresariales. Si las organizaciones no implementan listas de herramientas permitidas para RMM de confianza, el software con fines maliciosos podría no ser detectado por las soluciones de seguridad. Proofpoint ha observado campañas que entregan herramientas RMM como Datto, N-Able, RemotePC, Zoho Assist y ScreenConnect, entre otras.
En la investigación se ha rastreado a TA2730, un grupo especializado en phishing de credenciales mediante campañas oportunistas en las que España forma parte de sus países objetivo. Los mensajes se envían desde dominios maliciosos registrados por los propios ciberdelincuentes. Normalmente, se hacen pasar por una empresa de inversión, diciéndole al destinatario que necesita actualizar o proporcionar datos. Los correos electrónicos contienen URLs que conducen a páginas de autenticación de cuentas de inversión falsificadas diseñadas para recolectar credenciales de usuario. En algunos casos, los atacantes incluyen el número de teléfono legítimo de la entidad suplantada para aumentar la credibilidad del señuelo.
Por su parte, el grupo de amenazas TA4922, probablemente con sede en Asia, suele perseguir la obtención de acceso remoto para fines de monetización, a través de fraudes, robos de datos, intermediaciones de acceso o persistencia. Sus ciberdelincuentes entregan malware del ecosistema Winos4.0, además de utilizar distintos cargadores y ladrones de información. Una de sus técnicas más notables es enviar mensajes de suplantación que solicitan el número de teléfono del destinatario para establecer comunicaciones fuera del correo electrónico y entregar enlaces o archivos maliciosos a través de otros canales.
Los ciberdelincuentes especializados en compromiso de correo electrónico empresarial (BEC), según el análisis de Proofpoint, aprovechan señuelos con formularios fiscales en los que aparezca información sensible, como nombres, direcciones y números de la Seguridad Social, con la idea de poder utilizarlos para fraudes bancarios o robos de identidad posteriores
“Aunque la temporada fiscal es un momento popular para los ciberdelincuentes, los impuestos y la información financiera pueden ser un señuelo eficaz en cualquier época del año”, explican los investigadores de amenazas de Proofpoint. “Al hacer la declaración de impuestos, las personas emplean diversas aplicaciones y servicios para recopilar y presentar información financiera y personal importante. Los señuelos con esta temática pueden llegar a ser muy convincentes, puesto que los destinatarios esperan comunicaciones de organizaciones y se sentirían alarmados al recibir algún aviso, o incluso multa, por enviar datos incorrectamente”.
Consejo clave para evitar estafas durante la Declaración de la renta
El principal consejo para que los contribuyentes no caigan en las tácticas de los ciberdelincuentes es desconfiar de cualquier correo electrónico inesperado o que presione para tomar medidas inmediatas. Los atacantes suelen aprovecharse del sentido de urgencia y de la sensación de angustia para motivar a sus posibles víctimas a realizar acciones inseguras. Si un mensaje de este estilo viene de una entidad u organismo conocido, conviene revisar la dirección del remitente, pasar el cursor sobre el campo de la dirección y, si parece incorrecta, no hacer clic en ella. Tampoco deben abrirse enlaces dentro de estos correos electrónicos, ni archivos, ni transferir fondos, aunque lo indique el correo electrónico. Lo más recomendable es visitar la web de la organización remitente, escribiendo directamente la dirección en el navegador, para verificar la información que ha llegado como aviso.
Te puede interesar
- Aumento significativo de ciberataques durante la campaña fiscal 2026
- Alerta si recibes un mensaje de Hacienda: los ciberfraudes de suplantación podrían volver en esta campaña de renta
- Nueva oleada de SMS fraudulentos suplanta a bancos españoles para robar dinero
