Renta 2026: cómo protegerte ante el aumento de ciberataques en la campaña fiscal

Entre septiembre de 2025 y febrero de 2026, según datos recabados por Check Point Research que recogen varios medios especializados, se registraron cientos de nuevos dominios cada mes que incluían palabras clave relacionadas con impuestos o nombres de autoridades fiscales. Y uno de cada 15 dominios recién registrados relacionados con impuestos ya ha sido clasificado como malicioso o sospechoso. Una tendencia que ha ido in crescendo con la campaña fiscal y que puede seguir con esta tendencia en la Declaración de la Renta 2026.

Con la Campaña de la Renta recién comenzada, es importante tomar medidas de protección ante ciberdelincuentes. Los expertos de ESET dan una serie de recomendaciones al respecto. En primer lugar, indican cuáles son las señales de alerta que pueden indicar un intento de fraude.

• Solicitudes de datos personales o bancarios a través de enlaces o formularios web que no pertenecen a la sede oficial.
• Mensajes que apelan a la urgencia, como supuestas devoluciones inmediatas o bloqueos de expediente para presionarte a actuar sin verificar.
• Dominios o remitentes sospechosos que no coinciden con “agenciatributaria.gob.es” ni con los canales oficiales de notificaciones electrónicas, con el fin de redirigirte a páginas fraudulentas.

¿Cómo protegerte?

Estas las recomendaciones de ESET para estar protegido:

• Acceder siempre manualmente a la sede electrónica de la Agencia Tributaria (escribiendo la URL en tu navegador o a través de canales oficiales), evitando hacer clic en enlaces de correos o SMS no solicitados.
• Comprobar con atención remitente y dominio antes de introducir cualquier dato personal o bancario en una página, y desconfiar de cualquier solicitud de contraseñas o códigos por medios no seguros. Si te piden datos bancarios fuera del entorno oficial, es una estafa.
• No facilitar información sensible en respuesta a mensajes que no hayas solicitado o que no provengan de los canales oficiales de la AEAT.
• Mantener sistemas y soluciones de seguridad actualizados, incluidos antivirus y filtros antiphishing, para aumentar tus defensas ante amenazas conocidas.
• Verificar antes de actuar. Ante la duda, se recomienda utilizar los servicios de la AEAT para cotejar documentos y consultar notificaciones de forma segura.

¿Qué hacer si has pinchado en un enlace fraudulento?

• Recopilar pruebas del incidente (capturas de pantalla, enlaces, mensajes).
• Cambiar tus contraseñas comprometidas y vigilar las cuentas bancarias asociadas.
• Denunciar el fraude ante las Fuerzas y Cuerpos de Seguridad del Estado.
• Solicitar orientación especializada en la Línea de Ayuda en Ciberseguridad (017) para recibir asistencia experta.

El Gobierno reactiva el Protocolo de Actuación para Contribuyentes Suplantados

Con el inicio de la Campaña de la Renta 2026, el Ministerio de Consumo ha puesto en marcha por tercer año consecutivo el Protocolo de Actuación para Contribuyentes Suplantados (PACS). La iniciativa se impulsa a través de la Dirección General de Ordenación del Juego (DGOJ) y se coordina con las Fuerzas y Cuerpos de Seguridad del Estado y la Agencia Tributaria (AEAT).

El protocolo está dirigido a personas cuya identidad ha sido utilizada por terceros en plataformas de juego online, generando ganancias que no reconocen como propias. Para facilitar la gestión de estos casos, se ha habilitado una página web específica con una guía práctica que explica los pasos a seguir, cómo denunciar la suplantación y cómo regularizar la situación ante Hacienda.

Según los datos recogidos, 8.675 personas presentaron denuncias por suplantación de identidad en 2025, lo que supone un incremento del 12% respecto a 2024. Estas denuncias están relacionadas con 15.871 cuentas de juego, una cifra equivalente al 4% de los contribuyentes que recibieron información fiscal vinculada al juego online.