· Jonathan Izquierdo · Noticias seguridad  ·

20 min de lectura

Phishing AEAT y DEHU febrero 2026: oleada masiva suplantando Hacienda

INCIBE y Guardia Civil alertan de oleada de phishing suplantando Hacienda y DEHU. Analisis tecnico forense, como detectarlo y que hacer si has caido.

INCIBE y Guardia Civil alertan de oleada de phishing suplantando Hacienda y DEHU. Analisis tecnico forense, como detectarlo y que hacer si has caido.

25.133 ataques de phishing gestiono INCIBE solo en 2025, un incremento del 26% respecto al ano anterior. Y febrero de 2026 no ha tardado en superar esas cifras: una oleada masiva de correos fraudulentos esta suplantando a la Agencia Tributaria (AEAT) y a la Direccion Electronica Habilitada Unica (DEHU) para robar credenciales de acceso de miles de contribuyentes espanoles.

La campana es particularmente sofisticada. Los correos imitan con precision el tono institucional, incluyen referencias numericas que parecen legitimas y redirigen a portales falsos casi indistinguibles de los reales. Pero lo mas peligroso es el contexto: esta oleada coincide con el inicio de la campana de la renta y con las noticias sobre un posible ciberataque a Hacienda que habria expuesto datos de 47 millones de ciudadanos. Los atacantes aprovechan el miedo y la confusion para que bajes la guardia.

Como perito informatico forense, analizo en este articulo la anatomia tecnica de esta campana de phishing, como detectarla, que hacer si has caido y como un perito puede certificar el email fraudulento como prueba judicial valida.

Alerta activa - Febrero 2026

Campana de phishing en curso suplantando AEAT y DEHU:

  • Asunto tipico: “Aviso puesta a disposicion de nueva notificacion electronica REF-XXXXXXXX”
  • Objetivo: Robar credenciales de acceso (DNI + contrasena)
  • Alerta emitida por: INCIBE, Guardia Civil, OCU
  • Que hacer: No hacer clic en ningun enlace. Si has introducido datos, cambia contrasenas inmediatamente.

Consulta pericial urgente si has sido victima

Que esta pasando: la campana de phishing AEAT/DEHU

La alerta oficial

En los primeros dias de febrero de 2026, INCIBE publico una alerta formal advirtiendo de una oleada masiva de correos electronicos que suplantan a la Agencia Tributaria y a la plataforma DEHU. La Guardia Civil se sumo a la alerta poco despues, y la OCU emitio su propio aviso dirigido a consumidores.

La campana no se limita a unos pocos correos aislados. Multiples medios han documentado la escala del ataque: Infobae, Bit Life Media, Escudo Digital, Newtral y medios regionales como La Gaceta de Salamanca y Leon Noticias han informado sobre la campana.

Perfil del ataque

AspectoDetalle
Entidades suplantadasAEAT (Agencia Tributaria) y DEHU (Direccion Electronica Habilitada Unica)
VectorCorreo electronico (phishing masivo)
Asunto”Aviso puesta a disposicion de nueva notificacion electronica REF-XXXXXXXX”
ObjetivoRobo de credenciales (DNI/NIF + contrasena)
Nivel de sofisticacionAlto: tono institucional, referencias numericas, diseno visual convincente
Tecnica post-roboRedireccion a web oficial real para reducir sospecha
Periodo activoFebrero 2026 (en curso)
Alerta oficialINCIBE, Guardia Civil, OCU

Como funciona el ataque paso a paso

Esta campana de phishing sigue un patron clasico de credential harvesting (cosecha de credenciales), pero con una ejecucion notablemente cuidada. Asi se desarrolla:

  1. Recepcion del email fraudulento: La victima recibe un correo que aparenta provenir de la AEAT o DEHU. El asunto incluye una referencia numerica con formato institucional (“REF-XXXXXXXX”) que genera apariencia de legitimidad. El cuerpo del email informa de una “nueva notificacion electronica” pendiente de lectura.

  2. Presion para actuar: El mensaje transmite urgencia implicita. Una notificacion electronica de Hacienda puede significar un requerimiento, una sancion o un aviso fiscal. El contribuyente siente la necesidad de comprobar de que se trata, especialmente en periodo cercano a la campana de la renta.

  3. Clic en el enlace: El email contiene un boton o enlace para “acceder a la notificacion”. La URL puede incluir dominios que imitan los oficiales pero con variaciones sutiles (por ejemplo, aeat-notificaciones.es en lugar de agenciatributaria.gob.es).

  4. Pagina de inicio de sesion falsa: El enlace lleva a una replica del portal DEHU o de la Sede Electronica de la AEAT. El diseno, logos, textos y estructura visual son practicamente identicos a los originales.

  5. Introduccion de credenciales: La victima introduce su DNI/NIF y contrasena de acceso. En algunos casos se solicita tambien el numero de telefono o datos adicionales.

  6. Robo de credenciales: Los datos introducidos se envian directamente a los servidores controlados por los atacantes. En cuestion de segundos, las credenciales quedan comprometidas.

  7. Redireccion al sitio oficial real: Tras capturar los datos, la victima es redirigida automaticamente a la pagina oficial autentica de la AEAT o DEHU. Este paso es clave: al ver la web real, la victima asume que el proceso fue legitimo y no sospecha que ha sido enganada.

La redireccion al sitio real: tecnica avanzada

La redireccion final al portal autentico es lo que hace esta campana especialmente efectiva. Muchas victimas nunca sospechan que fueron enganadas porque, tras introducir sus datos, ven la web oficial. Pueden pasar dias o semanas hasta que detectan actividad sospechosa en sus cuentas. Esta tecnica se denomina transparent phishing proxy y dificulta enormemente la deteccion temprana.

Por que esta campana es especialmente peligrosa

Timing perfecto: la campana de la renta

Esta oleada de phishing no es casual en cuanto a su calendario. Febrero marca el inicio de los preparativos para la campana de la renta en Espana. Los contribuyentes estan pendientes de comunicaciones de Hacienda: borradores, datos fiscales, notificaciones pendientes. Un email de la AEAT sobre una “notificacion electronica” encaja perfectamente con lo que muchos ciudadanos esperan recibir.

Los atacantes explotan la ingenieria social en su forma mas efectiva: no necesitan inventar un pretexto, simplemente se insertan en un flujo de comunicacion que ya existe.

La confusion del ciberataque a Hacienda

La campana coincide temporalmente con las noticias sobre el presunto ciberataque a la Agencia Tributaria que, segun la alerta de Hackmanac, habria comprometido datos de 47,3 millones de ciudadanos. Aunque Hacienda desmintio oficialmente la brecha, la noticia genero alarma publica.

Los atacantes pueden explotar esta situacion de varias formas:

  • “Verifica tu cuenta tras la brecha de seguridad”: Emails que instan a “comprobar si tus datos fueron comprometidos” mediante un enlace fraudulento
  • Mayor credibilidad del phishing: Si el ciudadano cree que Hacienda fue hackeada, un email sobre una “notificacion urgente” le resulta mas creible
  • Fatiga de alertas: La avalancha de noticias sobre ciberseguridad de Hacienda hace que algunos bajen la guardia por saturacion informativa

La legitimidad de DEHU como vector

DEHU es la Direccion Electronica Habilitada Unica, la plataforma oficial del Estado para recibir notificaciones electronicas de cualquier administracion publica. Muchos ciudadanos y empresas reciben notificaciones reales a traves de DEHU, lo que convierte a esta plataforma en un vector de suplantacion particularmente creible.

A diferencia de phishing que suplanta bancos o empresas privadas (donde el usuario puede no ser cliente), practicamente todos los contribuyentes espanoles son potenciales receptores de notificaciones de la AEAT via DEHU. El universo de victimas potenciales es de decenas de millones.

Analisis tecnico forense: anatomia de un email de phishing

Desde la perspectiva de un perito informatico, un email de phishing contiene una cantidad enorme de evidencia tecnica que permite rastrear su origen, confirmar su naturaleza fraudulenta y certificarlo como prueba judicial. Este es el tipo de analisis que realizo en informes periciales.

Cabeceras del email (headers)

Las cabeceras de un email son metadatos que registran cada paso del mensaje desde su origen hasta la bandeja de entrada. Son la evidencia tecnica mas valiosa. En un email legitimo de la AEAT, las cabeceras mostrarian:

From: [email protected]
Return-Path: <[email protected]>
Received: from smtp.agenciatributaria.gob.es (xxx.xxx.xxx.xxx)
Authentication-Results:
  spf=pass (sender IP is xxx.xxx.xxx.xxx)
  dkim=pass header.d=agenciatributaria.gob.es
  dmarc=pass (policy=reject)

En el email de phishing, las cabeceras revelan la verdad:

From: [email protected]       ← Campo falsificado
Return-Path: <[email protected]>          ← Origen real
Received: from mail.servidor-sospechoso.ru (185.xxx.xxx.xxx)
Authentication-Results:
  spf=fail (sender IP not authorized)                ← FALLO
  dkim=none                                          ← SIN FIRMA
  dmarc=fail (policy=reject, action=none)            ← FALLO

SPF, DKIM y DMARC: la triple autenticacion

Estos tres protocolos funcionan como un sistema de verificacion de identidad del remitente:

ProtocoloFuncionQue revela en phishing
SPF (Sender Policy Framework)Verifica que la IP del servidor esta autorizada para enviar emails del dominiospf=fail: el servidor que envio el email NO esta autorizado por agenciatributaria.gob.es
DKIM (DomainKeys Identified Mail)Firma criptografica que garantiza que el email no fue modificadodkim=none o dkim=fail: el email no tiene firma valida del dominio de Hacienda
DMARC (Domain-based Message Authentication)Politica que indica que hacer con emails que fallan SPF/DKIMdmarc=fail: el email no supera la politica de autenticacion del dominio

Nota tecnica: El dominio agenciatributaria.gob.es tiene politica DMARC configurada como reject, lo que significa que los servidores de correo deberian rechazar automaticamente emails que fallen la verificacion. Sin embargo, no todos los proveedores de email implementan DMARC de forma estricta, y algunos emails fraudulentos consiguen llegar a la bandeja de entrada igualmente.

Analisis de URL y dominio

El enlace del email de phishing es otro elemento critico para el analisis forense:

URL legitima de DEHU:

https://dehu.redsara.es/

Ejemplos de URLs fraudulentas tipicas:

https://dehu-notificaciones.es/acceso
https://notificacion-aeat.com/dehu/login
https://agenciatributaria-sede.net/notificacion
https://dehu.redsara.es.acceso-seguro.com/login   ← Subdominio engañoso

El analisis de la URL revela:

  • Dominio real: acceso-seguro.com (no redsara.es)
  • Registro del dominio: WHOIS muestra registro reciente (dias/horas antes de la campana)
  • Certificado SSL: Certificado gratuito de Let’s Encrypt (no un certificado de organizacion gubernamental)
  • Hosting: Servidor en pais diferente a Espana (frecuentemente Europa del Este o Asia)

Elementos visuales clonados

Los atacantes replican con precision los elementos visuales del portal oficial:

  • Logotipo de la AEAT y del Gobierno de Espana
  • Colores corporativos y tipografia
  • Estructura del formulario de login
  • Texto legal en pie de pagina
  • Iconos de seguridad (candado, escudo)

Sin embargo, un analisis tecnico revela diferencias: codigo fuente diferente, recursos cargados desde dominios externos, ausencia de funcionalidades reales del portal (solo el formulario de login funciona).

Como detectar el phishing AEAT/DEHU: 10 red flags

Antes de hacer clic en cualquier enlace de un email que parezca provenir de Hacienda, verifica estos 10 puntos:

Verificacion del remitente

  1. Dominio del remitente: Los emails oficiales de la AEAT provienen exclusivamente de dominios @agenciatributaria.gob.es o @correo.aeat.es. Cualquier otro dominio es fraudulento. Revisa el campo “De:” completo, no solo el nombre visible.

  2. Direccion de respuesta (Reply-To): Si la direccion de respuesta no coincide con el remitente visible, es un indicador claro de phishing.

Verificacion del contenido

  1. Errores gramaticales o de formato: Aunque esta campana esta bien redactada, busca inconsistencias sutiles: tildes incorrectas, expresiones poco naturales o mezcla de estilos formales e informales.

  2. Urgencia artificial: Frases como “tiene 24 horas para acceder”, “ultima oportunidad” o “su notificacion sera eliminada” son tacticas de presion que las administraciones publicas no utilizan.

  3. Datos personales ausentes: Un email real de la AEAT normalmente incluye tu nombre completo y referencia a datos especificos. Un phishing masivo usa formulas genericas como “Estimado contribuyente”.

Verificacion tecnica

  1. URL del enlace: Antes de hacer clic, pasa el raton sobre el enlace (sin clicar) para ver la URL real. Debe apuntar a agenciatributaria.gob.es o dehu.redsara.es. Cualquier otra direccion es sospechosa.

  2. Certificado SSL del sitio: Si llegas a hacer clic, verifica que el certificado sea emitido a la entidad gubernamental correspondiente, no un certificado generico de Let’s Encrypt.

  3. Numero de referencia: Si la referencia del email no aparece cuando accedes directamente (escribiendo la URL en el navegador) al portal oficial de DEHU, es falsa.

Verificacion contextual

  1. Canal de comunicacion: La AEAT envia notificaciones a traves de la Sede Electronica y DEHU. Si no tienes activada la notificacion electronica, no deberias recibir este tipo de avisos por email.

  2. Coincidencia temporal sospechosa: Si recibes el email justo despues de noticias sobre brechas de seguridad en Hacienda, extrema la precaucion. Los atacantes explotan deliberadamente estos momentos de incertidumbre.

Regla de oro ante cualquier email de Hacienda

Nunca accedas a traves de un enlace en un email. Si recibes una supuesta notificacion de la AEAT, abre tu navegador y escribe directamente https://www.agenciatributaria.gob.es o https://dehu.redsara.es. Si la notificacion es real, aparecera en tu buzón oficial. Esta sola practica neutraliza el 100% de los ataques de phishing por email.

Que hacer si has caido en el phishing

Si has introducido tus credenciales en una pagina fraudulenta, actua inmediatamente. Cada minuto cuenta.

  1. Cambia tu contrasena de la Sede Electronica AEAT inmediatamente. Accede directamente a https://www.agenciatributaria.gob.es (escribiendo la URL, no desde el email) y cambia tu contrasena. Si usabas la misma contrasena en otros servicios, cambialas tambien.

  2. Revisa los accesos recientes a tu cuenta. En la Sede Electronica de la AEAT, comprueba si hay accesos que no reconozcas, consultas de datos fiscales no realizadas por ti o tramites iniciados sin tu conocimiento.

  3. Activa la verificacion en dos pasos si esta disponible. Anade una capa extra de seguridad a tu cuenta con la AEAT.

  4. Contacta con la AEAT. Llama al 901 200 345 (linea de informacion tributaria) o acude a tu oficina de Hacienda para informar del incidente y solicitar revision de tu cuenta.

  5. Denuncia ante la Policia Nacional o Guardia Civil. Presenta denuncia formal aportando el email fraudulento como prueba. Puedes presentar denuncia online a traves de la web de la Policia Nacional.

  6. Reporta a INCIBE. Reenvia el email de phishing a [email protected] para que puedan analizar la campana y alertar a otros ciudadanos.

  7. Monitoriza tu actividad fiscal y bancaria. Durante los proximos meses, revisa periodicamente tu historial en la AEAT y tus cuentas bancarias asociadas para detectar cualquier actividad no autorizada.

Si proporcionaste datos bancarios

Si ademas de credenciales de acceso proporcionaste datos bancarios (numero de cuenta, tarjeta de credito), contacta con tu banco inmediatamente para bloquear tarjetas y activar alertas de movimientos. El riesgo de cargos fraudulentos es muy alto.

Que hacer si has recibido el email pero NO has caido

Si has recibido el email de phishing pero no has hecho clic ni introducido datos:

  1. No hagas clic en ningun enlace del email, incluidos enlaces de “darse de baja” o “cancelar suscripcion” (tambien pueden ser maliciosos)
  2. No descargues archivos adjuntos si los hubiera
  3. Reenvia el email a INCIBE: [email protected]
  4. Bloquea al remitente en tu gestor de correo
  5. Elimina el email de tu bandeja de entrada y de la papelera
  6. Avisa a tu entorno: Familiares, companeros de trabajo y conocidos que puedan haber recibido el mismo email, especialmente personas mayores o menos familiarizadas con estafas digitales

El papel del perito informatico forense: certificar phishing como prueba judicial

Cuando un caso de phishing deriva en denuncia penal, reclamacion de danos o procedimiento judicial, la evidencia digital debe ser certificada por un perito informatico para que tenga validez probatoria. Un email impreso o una captura de pantalla, por si solos, son facilmente impugnables por la parte contraria.

Que certifica un perito en un caso de phishing

El informe pericial sobre un email de phishing documenta y certifica:

1. Autenticidad del email

  • Extraccion forense del email original con todas sus cabeceras
  • Hash criptografico (SHA-256) del email completo para garantizar integridad
  • Fecha y hora de recepcion verificados mediante cabeceras del servidor

2. Analisis de cabeceras

  • Verificacion de SPF, DKIM y DMARC: confirmacion tecnica de que el email no proviene del dominio que aparenta
  • Trazado completo del recorrido del email (servidores intermedios)
  • Identificacion de la IP de origen real del remitente

3. Analisis del enlace y la pagina fraudulenta

  • Captura certificada de la pagina de phishing (si aun esta activa)
  • Comparativa tecnica con la pagina oficial
  • Registro WHOIS del dominio fraudulento (fecha de creacion, registrante)
  • Certificado SSL del sitio fraudulento (emisor, validez)

4. Contexto tecnico

  • Explicacion pericial del funcionamiento del ataque para el juez o tribunal
  • Vinculacion con alertas oficiales (INCIBE, Guardia Civil, OCU)
  • Valoracion del nivel de sofisticacion y la dificultad de deteccion por un usuario medio

Metodologia forense: cadena de custodia del email

La extraccion forense del email sigue un protocolo riguroso:

  1. Adquisicion forense del email: Extraccion del mensaje en formato EML o MSG directamente del servidor de correo o del cliente de correo, incluyendo todas las cabeceras completas. Se utiliza el protocolo IMAP para extraer el mensaje tal como lo almacena el servidor.

  2. Calculo de hash: Se calcula el hash SHA-256 del archivo extraido. Este hash funciona como una huella digital unica que garantiza que el email no ha sido modificado en ningun momento posterior.

  3. Documentacion de la cadena de custodia: Registro de quien extrae el email, cuando, desde que dispositivo, con que herramienta y en que soporte se almacena. Cada paso queda documentado.

  4. Analisis tecnico de cabeceras: Examen detallado de los campos From, Return-Path, Received, Authentication-Results, X-Mailer y demas cabeceras relevantes.

  5. Captura forense de la pagina de destino: Si la pagina de phishing sigue activa, se realiza una captura certificada con sello de tiempo (timestamp) y hash. Herramientas como HTTrack o wget permiten descargar el sitio completo para analisis offline.

  6. Elaboracion del informe pericial: Documento tecnico-juridico que presenta los hallazgos en lenguaje comprensible para el tribunal, con conclusiones claras sobre la naturaleza fraudulenta del email.

Por que es importante el informe pericial

En el ambito judicial espanol, la prueba digital debe cumplir con requisitos de autenticidad, integridad y licitud. Un email de phishing presentado sin certificacion pericial puede ser:

  • Impugnado por falta de garantias de autenticidad (Art. 382 LEC)
  • Cuestionado alegando posible manipulacion
  • Desestimado si no se demuestra tecnicamente que es fraudulento

El informe pericial blinda la evidencia frente a estas impugnaciones y proporciona al juez una explicacion tecnica clara del ataque.

Contexto: oleada general de phishing en febrero 2026

La campana contra la AEAT no es un caso aislado. Febrero de 2026 esta registrando un incremento notable de ataques de phishing en Espana. Segun Noticias de Navarra, los ciberataques aumentaron un 26% en 2025 respecto al ano anterior, una tendencia que se mantiene en los primeros meses de 2026.

Otras campanas activas en la misma semana

Phishing Netflix: En la misma semana, INCIBE alerto de una campana masiva de phishing suplantando a Netflix, con emails sobre supuestos problemas de pago que solicitan actualizar datos de tarjeta de credito.

Phishing bancario: Las entidades bancarias espanolas siguen siendo el objetivo mas frecuente, con campanas recurrentes que suplantan a CaixaBank, Santander, BBVA y Bankinter.

Smishing (SMS): Paralelamente, se detectan campanas de SMS fraudulentos suplantando a Correos, DGT y la Seguridad Social.

Esta simultaneidad no es coincidencia. Los grupos de cibercriminales lanzan multiples campanas coordinadas para maximizar el volumen de victimas. Mientras la atencion mediatica se centra en el phishing de Hacienda, otras campanas menos conocidas pasan desapercibidas.

El papel de DEHU como vector emergente

Segun reporta Infobae, la suplantacion de DEHU es relativamente nueva como vector de phishing masivo en Espana. Hasta ahora, los atacantes se centraban en suplantar directamente a la AEAT. La inclusion de DEHU indica una evolucion en las tacticas de ingenieria social: los cibercriminales estudian los flujos administrativos reales y los replican con mayor precision.

Esto tambien sugiere un nivel de sofisticacion asociado a spear phishing, donde los atacantes segmentan sus victimas y personalizan los mensajes en funcion del perfil del destinatario.

El phishing no es solo una amenaza tecnica; es un delito tipificado en el Codigo Penal espanol a traves de varios articulos.

Articulo 248 CP: estafa

El phishing encaja en el tipo penal de estafa del Art. 248 CP:

“Cometen estafa los que, con animo de lucro, utilizaren engano bastante para producir error en otro, induciendole a realizar un acto de disposicion en perjuicio propio o ajeno.”

El phishing cumple todos los elementos del tipo:

  • Engano bastante: Suplantacion de identidad de Hacienda
  • Error en la victima: Creencia de que el email es legitimo
  • Acto de disposicion: Entrega de credenciales de acceso
  • Perjuicio: Acceso no autorizado a datos fiscales, potenciales perdidas economicas

Las penas por estafa informatica (Art. 248.2 CP) oscilan entre 6 meses y 3 anos de prision, pudiendo agravarse a 1 a 6 anos si el perjuicio supera los 50.000 euros o afecta a un gran numero de personas (Art. 250 CP).

Articulo 197 CP: descubrimiento y revelacion de secretos

La obtencion de credenciales de acceso mediante phishing tambien puede constituir un delito de descubrimiento y revelacion de secretos:

“El que, para descubrir los secretos o vulnerar la intimidad de otro, sin su consentimiento, se apodere de sus papeles, cartas, mensajes de correo electronico o cualesquiera otros documentos o efectos personales…”

Las penas previstas son de 1 a 4 anos de prision y multa de 12 a 24 meses.

Articulo 264 CP: danos informaticos

Si los atacantes acceden a los sistemas de la victima y causan danos (borrado de datos, modificacion de informacion fiscal), se aplica el Art. 264 CP sobre danos informaticos, con penas de 6 meses a 3 anos de prision.

Agravante: suplantacion de organismo publico

La suplantacion especifica de la AEAT (un organismo publico) puede constituir un agravante adicional, ya que el engano se sirve de la confianza institucional del ciudadano en la Administracion publica.

Importancia de la denuncia

Aunque muchas victimas de phishing no denuncian porque “solo” les robaron una contrasena, la denuncia es fundamental por tres razones: activa la investigacion policial que puede desmantelar la red, genera estadisticas oficiales que justifican mas recursos contra el cibercrimen, y protege juridicamente a la victima ante posibles usos fraudulentos futuros de sus credenciales.

Recomendaciones de proteccion a largo plazo

Mas alla de esta campana concreta, estas practicas reducen significativamente el riesgo de caer en phishing:

Para ciudadanos

  • Activa la verificacion en dos pasos en todos los servicios que lo permitan (AEAT, bancos, correo electronico)
  • Nunca accedas a servicios sensibles desde enlaces en emails: escribe siempre la URL directamente en el navegador
  • Configura alertas bancarias para cualquier movimiento, por pequeno que sea
  • Mantén actualizado tu sistema operativo, navegador y antivirus
  • Usa un gestor de contrasenas: si la URL no coincide con la almacenada, el gestor no autocompletara las credenciales (indicador de phishing)

Para empresas y autonomos

  • Configura correctamente SPF, DKIM y DMARC en tu propio dominio para evitar que suplanten tu identidad
  • Forma a tus empleados en deteccion de phishing con simulaciones periodicas
  • Implementa filtros de correo avanzados que verifiquen autenticacion de remitentes
  • Establece un protocolo claro de actuacion ante emails sospechosos: a quien reportar, que hacer, que no hacer
  • Consulta con un perito informatico si detectas que tu empresa esta siendo suplantada en campanas de phishing

Para abogados que gestionan casos de phishing

  • Solicita el email original completo (con cabeceras) a tu cliente lo antes posible
  • No reenvies el email entre cuentas, ya que puede alterar cabeceras: solicita exportacion en formato EML
  • Contacta con un perito informatico forense para certificar la evidencia antes de presentarla en sede judicial
  • Documenta la cronologia detalladamente: cuando se recibio el email, cuando se hizo clic, que datos se proporcionaron, que perjuicio se ha producido

Fuentes y referencias

Este articulo se basa en las siguientes fuentes verificadas:

  1. INCIBE. “Notificaciones falsas que suplantan a la Agencia Tributaria (AEAT) y la Direccion Electronica Habilitada Unica (DEHU).” Febrero 2026.
  2. MuySeguridad. “Guardia Civil alerta sobre phishing suplantando AEAT.” 5 febrero 2026.
  3. Infobae. “Alerta de la Guardia Civil por una estafa en la que se hacen pasar por Hacienda.” 4 febrero 2026.
  4. Infobae. “Detectan una oleada de notificaciones falsas de la Agencia Tributaria y la plataforma DEHU.” 3 febrero 2026.
  5. OCU. “Notificaciones falsas AEAT DEHU.” Febrero 2026.
  6. OCU. “Nota de prensa: phishing AEAT febrero 2026.” 9 febrero 2026.
  7. Bit Life Media. “Una oleada de correos falsos suplanta a Hacienda para robar credenciales.” Febrero 2026.
  8. Escudo Digital. “Nueva oleada de correos falsos suplantan Hacienda y DEHU para robar credenciales.” Febrero 2026.
  9. Newtral. “Agencia Tributaria: estafa aviso phishing.” 5 febrero 2026.
  10. La Gaceta de Salamanca. “Guardia Civil alerta de campana de phishing que suplanta a la Agencia Tributaria.” 4 febrero 2026.
  11. Noticias de Navarra. “Los ciberataques aumentaron un 26% en 2025.” 9 febrero 2026.
  12. Leon Noticias. “INCIBE avisa de nueva estafa con notificaciones suplantando Hacienda.” 4 febrero 2026.
  13. El Digital de Cuenca. “Alertan de una campana para robarte tus datos bancarios.” 9 febrero 2026.
  14. Ciberseguridad PYME. “Notificaciones falsas que suplantan a la AEAT y DEHU.” Febrero 2026.
  15. Diario de Avisos. “Estafa Netflix: correo falso de pago, INCIBE alerta.” Febrero 2026.

Conclusion

La oleada de phishing suplantando a la AEAT y DEHU en febrero de 2026 representa una de las campanas mas sofisticadas dirigidas contra contribuyentes espanoles en los ultimos anos. La combinacion de timing perfecto (campaña de la renta), contexto mediatico favorable para los atacantes (noticias del presunto hackeo a Hacienda) y la legitimidad inherente de DEHU como plataforma de notificaciones oficiales la convierten en una amenaza particularmente efectiva.

La defensa mas eficaz sigue siendo la mas sencilla: nunca acceder a servicios de la Administracion publica a traves de enlaces en emails. Pero cuando el dano ya esta hecho, la actuacion inmediata (cambio de contrasenas, denuncia, monitorizacion) y la certificacion pericial de la evidencia son fundamentales para proteger los derechos de la victima.

Si has sido victima de esta campana de phishing o necesitas certificar un email fraudulento como prueba judicial, ofrezco analisis forense especializado con metodologia rigurosa y experiencia en procedimientos judiciales espanoles.

¿Has sido victima de phishing suplantando Hacienda?

Analisis forense del email fraudulento, certificacion pericial para denuncia y procedimiento judicial, y asesoramiento tecnico completo. Consulta inicial sin compromiso.

Solicitar analisis forense

Enlaces relacionados:

Disclaimer: Este articulo tiene caracter informativo y educativo. La informacion sobre la campana de phishing se basa en alertas oficiales publicadas por INCIBE, Guardia Civil y OCU. Los ejemplos tecnicos de cabeceras y URLs son ilustrativos y no corresponden a emails o dominios reales utilizados en esta campana concreta. Para asesoramiento juridico especifico, consulta con un abogado especializado.

Ultima actualizacion: 9 Febrero 2026

Sobre el autor

Jonathan Izquierdo es perito informático forense especializado en Noticias seguridad con conocimientos en blockchain, criptomonedas, AWS Cloud, desarrollo de software y seguridad. Experiencia tecnológica de más de 20 años al servicio de la justicia digital, liderando equipos de desarrollo de software en ámbitos internacionales.

Ver más sobre mí

Volver al Blog

Posts Relacionados

Ver Todos los Posts »
Jonathan Izquierdo

Jonathan Izquierdo · Perito Forense

+15 años experiencia · AWS Certified

WhatsApp