En los últimos días hemos conocido dos avisos que, aunque parecen distintos, en realidad tienen mucho en común.
Por un lado, el equipo @ de la Guardia Civil de Cantabria ha alertado de una campaña de correos fraudulentos en los que los ciberdelincuentes se hacen pasar por ellos y por otras entidades.
Y, por otro, coincidiendo con el arranque de la campaña de la Renta 2026, ya están circulando también mensajes y correos que suplantan a la Agencia Tributaria.
Dos disfraces distintos. Pero una misma intención.
Hoy vamos a ver cómo funcionan estas campañas, qué patrones suelen repetir, cómo podemos detectarlas… y qué hacer tanto si las identificamos a tiempo como si ya hemos caído en la trampa.
EL DISFRAZ CAMBIA…PERO EL TIMO ES EL MISMO
Una de las cosas más llamativas de estas campañas es que se adaptan muy bien al momento.
Si la noticia del día tiene que ver con la Guardia Civil, se hacen pasar por la Guardia Civil. Si empieza la declaración de la renta, se hacen pasar por Hacienda…Y si mañana toca otra cosa, cambiarán otra vez de uniforme sin ningún problema.
Porque al final lo importante para ellos no es el nombre que usan, sino lo que ese nombre provoca en nosotros. No reacciona igual una persona ante un correo cualquiera que ante un mensaje que parece venir de la Guardia Civil. Y tampoco reacciona igual si cree que quien le escribe es la Agencia Tributaria.
Ahí está la clave: usan nombres que nos imponen, que nos generan respeto o incluso miedo, para que bajemos la guardia.
LOS PATRONES QUE SE REPITEN
Aunque cambie la excusa, casi siempre seguimos viendo el mismo esquema.
1 – Suplantan una identidad conocida
Ese es el punto de partida. Ya lo comentamos hace algunas semanas con el caso de la suplantación de la alcaldesa de Santander en redes sociales.
El mensaje aparenta venir de un organismo oficial, de una institución conocida o de una entidad en la que mucha gente confía. Puede ser la Guardia Civil. Puede ser Hacienda. Puede ser un ayuntamiento, banco, Correos, la DGT…
Lo importante no es cuál sea. Lo importante es que el nombre inspire confianza o preocupación.
2 – Meten prisa
Aquí no hay tiempo para pensar. El mensaje suele venir con frases como: “último aviso”, “actúe inmediatamente”, “notificación urgente”, “tiene un expediente pendiente”, “debe verificar sus datos”….
Como ejemplo, tenemos un caso real reportado por la propia Agencia Tributaria el pasado mes de marzo:
La prisa es fundamental en este tipo de engaños, porque cuando actuamos rápido pensamos peor.
3 – Juegan con la emoción
Y normalmente lo hacen de dos formas.
👉🏻 O te meten miedo…con una supuesta denuncia, una investigación, una incidencia grave o un problema fiscal.
👉🏻 O te tientan…con una devolución, un reembolso o una gestión favorable.
Es decir: o te asustan, o te ponen un caramelo delante.
4 – Te empujan a hacer clic
Después llega el momento clave.
Te invitan a abrir un archivo, a pulsar un enlace o a descargar un documento.
A veces te llevan a una web falsa que imita muy bien a la original.
Otras veces el verdadero peligro está en el archivo adjunto.
Y en ocasiones intentan sacarte del correo o del SMS para llevarte a otro canal, como WhatsApp o un formulario externo.
5 -El objetivo final
Y ahí ya entramos en lo importante para ellos.
- Robarte contraseñas.
- Quedarse con tus datos personales.
- Obtener información bancaria.
- Instalar malware en tu dispositivo.
Es decir: que el correo o el SMS no es el final del fraude. Es solo la puerta de entrada.
CÓMO ACTÚAN LAS ESTAFAS APROVECHANDO LA CAMPAÑA DE LA RENTA
La campaña de la renta es uno de los momentos favoritos para este tipo de timos. ¿Por qué? Porque en estas fechas muchísima gente está pendiente de Hacienda, de si le sale a devolver, de si tiene que presentar algo, de si le falta algún trámite…
Y claro, ese contexto hace que el engaño resulte mucho más creíble.
Lo más habitual suele ser encontrarnos con:
Correos o SMS sobre una supuesta devolución
Te dicen que tienes derecho a recibir dinero y que, para cobrarlo, debes acceder a un enlace o confirmar ciertos datos.
Son mensajes muy breves, muy directos, tipo “Su devolución está disponible”, “Incidencia en su expediente” o “verifique sus datos”…Y, por supuesto, acompañados de un enlace.
Este es un ejemplo de SMS fraudulento enviado en la campaña de la Renta 2024:
Webs que imitan a la oficial
Cuando pulsas, llegas a una página que visualmente se parece mucho a la de la Agencia Tributaria.
Mismos colores, mismo lenguaje, misma apariencia institucional.
Todo pensado para que no dudes.
Mensajes sobre errores o bloqueos
A veces ni siquiera te prometen una devolución.
Simplemente te dicen que hay un problema con tu declaración, que falta documentación o que debes actuar ya para evitar consecuencias.
Y ese miedo hace que mucha gente entre sin comprobar nada.
Y EN EL CASO DE LA GUARDIA CIVIL…
Aquí el enfoque suele ser algo distinto.
En lugar de tirar tanto del reembolso o del trámite económico, suelen jugar más con el impacto que produce recibir un mensaje aparentemente policial.
Por ejemplo: una supuesta denuncia, una notificación por ciberdelito, una citación o un documento que parece oficial.
El objetivo aquí es que el nombre de la Guardia Civil imponga lo suficiente como para que abras el archivo o pulses el enlace sin detenerte a pensar si eso tiene sentido.
Y conviene recordar algo importante: que un correo parezca oficial no significa que lo sea. Hoy en día se puede falsificar el aspecto del mensaje, el nombre del remitente y hasta la apariencia de la dirección. Así que no basta con que ponga “Guardia Civil” o “Agencia Tributaria” para fiarnos.
CÓMO DETECTAR QUE HAY GATO ENCERRADO
Aquí viene la parte realmente útil.
Hay varias señales que deberían hacernos frenar.
1 – El canal no encaja
Si te llega algo serio por un SMS o por un correo raro, ya hay motivo para sospechar. No todo se comunica por esas vías, y desde luego no de cualquier manera.
2 -Te presionan
Cuando el mensaje busca que actúes ya, sin pensar, mala señal. La urgencia casi siempre beneficia al estafador.
3 – Todo gira en torno al clic
Si el mensaje entero está diseñado para llevarte a un enlace, a una descarga o a un archivo, cuidado.
4 -Hay detalles «raros»
A veces aparecen errores, dominios extraños o expresiones poco naturales.
Aunque ojo: cada vez lo hacen mejor.
Ya no siempre vamos a detectar el fraude por una falta de ortografía.
5 -Te piden datos que no deberían pedirte así
Si te solicitan credenciales, datos bancarios, tarjeta, documento identificativo o cualquier información sensible a través de un enlace o de un mensaje directo, hay que sospechar.
LA REGLA DE ORO
Hay una idea muy sencilla que conviene repetir:
NUNCA ENTRES POR LA PUERTA QUE TE OFRECE EL PROPIO MENSAJE.
Si supuestamente te escribe Hacienda, no pulses su enlace. Abre tú el navegador y entra tú mismo en la web oficial.
Si supuestamente te escribe una entidad pública, busca tú el canal oficial por tu cuenta. Es decir: verifica siempre por una vía independiente, No por la que te da el posible estafador.
QUÉ HACER SI LO DETECTAMOS A TIEMPO
Si todavía no has interactuado con el mensaje, lo mejor es actuar de forma simple:
- No pulsar.
- No abrir adjuntos.
- No responder.
- Bloquear al remitente si procede.
- Eliminar el mensaje.
…Y, si te queda la duda, comprobar por la vía oficial si hay realmente alguna notificación o incidencia.
Y SI YA HEMOS CAÍDO…
Aquí lo importante es reaccionar rápido. Sin agobiarse, pero sin dejarlo para más tarde.
Si has dado contraseñas
Cámbialas inmediatamente, y revisa también otros servicios donde hayas usado esa misma clave o una parecida.
Si has dado datos bancarios o de tu tarjeta de crédito/débito
Contacta cuanto antes con tu banco. Cuanto antes, mejor.
Si has descargado un archivo o has instalado algo
Asume que el dispositivo puede haberse visto comprometido. Toca revisarlo bien y actuar con cautela.
Si has facilitado datos personales
Guarda todas las pruebas posibles: capturas, mensajes, enlaces, correos, números de teléfono…
Todo puede ser útil después.
Si ha habido perjuicio o entrega de información sensible, toca acudir a Policía o Guardia Civil.
Y también es buena idea apoyarse en servicios de ayuda como el 017 de INCIBE.
¡OJO….A VECES EL DAÑO NO ES INMEDIATO!
Esto también es importante decirlo. Hay veces en que la persona cae, pero no ve consecuencias en ese momento y piensa que no ha pasado nada. Y no siempre es así.
Puede que le hayan robado las credenciales para usarlas más adelante, le hayan instalado malware silencioso, o hayan guardado sus datos para utilizarlo en otro fraude posterior.
Por eso, aunque no veamos el daño al instante, no conviene quitarle importancia.
CONCLUSIÓN
La idea con la que deberíamos quedarnos hoy es bastante clara: no debemos fijarnos solo en el nombre del organismo que aparece en pantalla, sino en el patrón que hay detrás. Porque hoy puede ser la Guardia Civil. Mañana, Hacienda. Y pasado mañana, cualquier otra entidad. Pero cuando vemos autoridad, urgencia, enlace y petición de datos… el esquema suele ser el mismo.
Así que recuerda:
👉🏻 No hagas clic por impulso.
👉🏻 No abras adjuntos inesperados.
👉🏻 No des datos sensibles por correo o SMS.
👉🏻 Verifica siempre por tu cuenta, desde el canal oficial.
Porque en ciberseguridad, muchas veces la mejor defensa no es saber mucho… sino pararse diez segundos antes de hacer clic.
Extracto del programa Mediodía COPE en Cantabria. Puedes escuchar el programa completo aquí.
