La ciberseguridad institucional vuelve a estar en el centro del debate en España. A la alerta por una posible filtración masiva de datos del Ministerio de Hacienda, difundida en redes sociales por la firma de ciberinteligencia Hackmanac, se suma ahora una campaña activa de phishing que suplanta a la Agencia Tributaria y a la Dirección Electrónica Habilitada Única (DEHú). Dos frentes distintos, pero con un denominador común: la exposición de los ciudadanos a fraudes digitales cada vez más sofisticados.

El Instituto Nacional de Ciberseguridad (INCIBE) ha publicado un aviso de importancia alta en el que detalla una oleada de correos electrónicos fraudulentos diseñados para robar credenciales oficiales. La advertencia llega, además, en un contexto especialmente sensible, marcado por rumores de hackeos, filtraciones en la dark web y una creciente desconfianza hacia la seguridad de los sistemas públicos.

El ruido del “hackeo a Hacienda” como caldo de cultivo

En los últimos días, un actor de amenazas que opera bajo el alias HaciendaSec ha asegurado haber vulnerado los sistemas del Ministerio de Hacienda y extraído datos personales y bancarios de más de 47 millones de ciudadanos. Según Hackmanac, la supuesta base de datos incluiría nombres completos, DNI, direcciones, teléfonos, correos electrónicos e incluso números IBAN.

Por el momento, la Agencia Tributaria ha negado rotundamente que se haya producido un hackeo y sostiene que no existen indicios de una brecha de seguridad de tal magnitud. Aun así, el simple hecho de que estas afirmaciones circulen en redes sociales y foros clandestinos incrementa la ansiedad digital y crea el escenario perfecto para que los ciberdelincuentes lancen campañas de engaño.

No es un fenómeno nuevo. En enero, Endesa confirmó un incidente de seguridad que afectó a su filial Energía XXI y, días después, el propio atacante aseguró haber publicado datos de 300.000 clientes en la dark web. Este historial reciente refuerza la percepción de vulnerabilidad y hace que cualquier comunicación que aparente ser oficial resulte más creíble.

Así funciona la campaña de phishing detectada por INCIBE

La alerta de INCIBE describe una campaña de suplantación dirigida a usuarios de la Agencia Tributaria. El ataque comienza con un correo electrónico que informa de la existencia de una nueva notificación electrónica pendiente, normalmente asociada a una supuesta reclamación administrativa.

El asunto más habitual detectado hasta ahora es “Aviso puesta a disposición de nueva notificación electrónica REF-XXXXXXXX”, aunque no se descartan variantes. El mensaje está bien redactado, utiliza un tono institucional y reproduce elementos visuales propios de comunicaciones oficiales.

El engaño se descubre al analizar con detenimiento el remitente: el dominio no pertenece a agenciatributaria.gob.es. Aun así, muchos usuarios pasan por alto este detalle y hacen clic en el enlace incluido en el correo.

Páginas clonadas de la AEAT y la DEHú

Al pulsar el enlace, la víctima es redirigida a una web fraudulenta que imita servicios legítimos de la administración electrónica. INCIBE ha identificado dos tipos de páginas falsas:

  • Una que suplanta la Dirección Electrónica Habilitada Única (DEHú), solicitando identificador y contraseña.

  • Otra que copia la pantalla de acceso de la Agencia Tributaria, pidiendo directamente las credenciales.

Tras introducir los datos, el usuario es redirigido a la web oficial, lo que reduce las sospechas. Sin embargo, las credenciales ya han sido capturadas, permitiendo a los atacantes acceder a notificaciones oficiales o reutilizar esas claves en otros servicios.

De la ingeniería social al fraude financiero

El riesgo no se limita a la consulta de notificaciones administrativas. Tal y como recuerdan expertos en ciberseguridad, la reutilización de contraseñas sigue siendo una práctica habitual. Esto abre la puerta a accesos no autorizados a correos electrónicos, cuentas bancarias o plataformas privadas.

Además, los datos robados —ya sea mediante phishing o a través de brechas reales— se utilizan para lanzar nuevas campañas de fraude, suplantar identidades o solicitar créditos en nombre de las víctimas. Es un ciclo que se retroalimenta: cada incidente real o supuesto facilita el éxito del siguiente engaño.

MLuz Domínguez
Periodista especializada en ciberseguridad y tecnología. Mi enfoque se centra en analizar mundo de las aplicaciones y la seguridad especialmente en redes sociales. Con un interés constante en informar sobre avances, riesgos y sin olvidar la importancia de la prevención, busco compartir información precisa y comprensible para el usuario.

Artículos relacionadosMás del autor

Deja un comentario

Por favor, introduce tu comentario
Por favor, introduce tu nombre