El Instituto Nacional de Ciberseguridad (INCIBE) ha alertado de una campaña de correos electrónicos fraudulentos que suplantan a la Agencia Tributaria (AEAT) y a la Dirección Electrónica Habilitada Única (DEHÚ), con el objetivo de robar credenciales de acceso de los ciudadanos.

Según la Oficina de Seguridad del Internauta (OSI), estos mensajes llegan con apariencia legítima y anuncian la puesta a disposición de una supuesta “nueva notificación electrónica”, incluyendo un enlace a una web falsa que imita tanto la identidad visual de la Agencia Tributaria como la de la plataforma DEHÚ.

Cómo identificar los correos fraudulentos

Los correos detectados emplean asuntos como “Aviso puesta a disposición de nueva notificación electrónica REF-XXXXXXXX”, aunque no se descarta la existencia de variantes. Uno de los principales indicios de la estafa es que la dirección del remitente no pertenece al dominio oficial agenciatributaria.gob.es.

Si el usuario accede al enlace fraudulento, la web solicita un identificador y contraseña, permitiendo a los ciberdelincuentes obtener las claves de acceso y utilizarlas en otros servicios o realizar acciones en nombre del afectado.

Qué hacer ante un posible fraude

INCIBE aconseja que quienes hayan recibido uno de estos correos pero no hayan accedido al enlace, lo reenvíen al buzón de incidentes del organismo, bloqueen al remitente y eliminen el mensaje.

En caso de haber introducido datos personales, se recomienda contactar con la Línea de Ayuda en Ciberseguridad, conservar evidencias (capturas de pantalla y enlaces), presentar una denuncia ante las Fuerzas y Cuerpos de Seguridad del Estado, cambiar contraseñas comprometidas, activar doble factor de autenticación y realizar búsquedas periódicas de información personal en internet (egosurfing) para detectar posibles usos indebidos.

El INCIBE recuerda que los trámites administrativos solo se pueden realizar a través de sistemas oficiales de identificación, como Cl@ve permanente, Cl@ve móvil vía SMS, DNI electrónico o certificado digital, e insiste en que ante cualquier duda sobre la legitimidad de un mensaje, los ciudadanos deben comprobar la información en los canales oficiales antes de hacer clic o introducir datos.