· Jonathan Izquierdo · Noticias seguridad  ·

21 min de lectura

Phishing AEAT y DEHU febrero 2026: oleada masiva suplantando Hacienda

INCIBE y Guardia Civil alertan de oleada de phishing suplantando Hacienda y DEHU. Análisis técnico forense, cómo detectarlo y qué hacer si has caído.

INCIBE y Guardia Civil alertan de oleada de phishing suplantando Hacienda y DEHU. Análisis técnico forense, cómo detectarlo y qué hacer si has caído.
TL;DR - Resumen ejecutivo

En 60 segundos:

  • Qué: Oleada masiva de correos phishing en febrero de 2026 suplantando a la Agencia Tributaria (AEAT) y a la Dirección Electrónica Habilitada Única (DEHU) para robar credenciales de acceso de contribuyentes españoles.
  • Por qué importa: INCIBE, Guardía Civil y OCU han emitido alertas oficiales. Los correos imitan con precisión el tono institucional y coinciden con el inicio de la campaña de la renta, aumentando su efectividad.
  • Qué hacer: No hacer clic en ningún enlace de correos que mencionen “notificación electrónica” de Hacienda. Si ya has introducido tus datos, cambiar contraseñas inmediatamente y solicitar un análisis forense del email para certificarlo como prueba judicial.
  • Cuándo actuar: De forma inmediata si has recibido un correo sospechoso de AEAT/DEHU o si has introducido tus credenciales en un enlace de estos correos.

25.133 ataques de phishing gestiono INCIBE solo en 2025, un incremento del 26% respecto al año anterior. Y febrero de 2026 no ha tardado en superar esas cifras: una oleada masiva de correos fraudulentos esta suplantando a la Agencia Tributaria (AEAT) y a la Dirección Electrónica Habilitada Única (DEHU) para robar credenciales de acceso de miles de contribuyentes españoles.

La campana es particularmente sofisticada. Los correos imitan con precision el tono institucional, incluyen referencias numericas que parecen legitimás y redirigen a portales falsos casí indistinguibles de los reales. Pero lo más peligroso es el contexto: esta oleada coincide con el inicio de la campana de la renta y con las noticias sobre un posible ciberataque a Hacienda que habría expuesto datos de 47 millones de ciudadanos. Los atacantes aprovechan el miedo y la confusion para que bajes la guardia.

Como perito informático forense, analizo en este artículo la anatomia técnica de esta campana de phishing, como detectarla, que hacer si has caido y como un perito puede certificar el email fraudulento como prueba judicial válida.

Alerta activa - Febrero 2026

Campana de phishing en curso suplantando AEAT y DEHU:

  • Asunto típico: “Aviso puesta a disposicion de nueva notificación electrónica REF-XXXXXXXX”
  • Objetivo: Robar credenciales de acceso (DNI + contraseña)
  • Alerta emitida por: INCIBE, Guardía Civil, OCU
  • Que hacer: No hacer clic en ningun enlace. Si has introducido datos, cambia contraseñas inmediatamente.

Consulta pericial urgente si has sido víctima

Si has recibido uno de estos correos o has caido en la trampa, un análisis forense digital permite certificar el email fraudulento como prueba judicial válida, rastrear su origen técnico y documentar el ataque con garantías para denuncia penal. Solicita una valoración gratuita y te orientamos en menos de 24 horas.

Que esta pasando: la campana de phishing AEAT/DEHU

La alerta oficial

En los primeros días de febrero de 2026, INCIBE público una alerta formal advirtiendo de una oleada masiva de correos electrónicos que suplantan a la Agencia Tributaria y a la plataforma DEHU. La Guardía Civil se sumo a la alerta poco después, y la OCU emitio su propio aviso dirigido a consumidores.

La campana no se limita a unos pocos correos aislados. Multiples medios han documentado la escala del ataque: Infobae, Bit Life Media, Escudo Digital, Newtral y medios regionales como La Gaceta de Salamanca y Leon Noticias han informado sobre la campana.

Perfil del ataque

AspectoDetalle
Entidades suplantadasAEAT (Agencia Tributaria) y DEHU (Dirección Electrónica Habilitada Única)
VectorCorreo electrónico (phishing masivo)
Asunto”Aviso puesta a disposicion de nueva notificación electrónica REF-XXXXXXXX”
ObjetivoRobo de credenciales (DNI/NIF + contraseña)
Nivel de sofisticacionAlto: tono institucional, referencias numericas, diseño visual convincente
Técnica post-roboRedireccion a web oficial real para reducir sospecha
Periodo activoFebrero 2026 (en curso)
Alerta oficialINCIBE, Guardía Civil, OCU

Como funciona el ataque paso a paso

Esta campana de phishing sigue un patrón clásico de credential harvesting (cosecha de credenciales), pero con una ejecución notablemente cuidada. Asi se desarrolla:

  1. Recepcion del email fraudulento: La víctima recibe un correo que aparenta provenir de la AEAT o DEHU. El asunto incluye una referencia numerica con formato institucional (“REF-XXXXXXXX”) que genera apariencia de legitimidad. El cuerpo del email informa de una “nueva notificación electrónica” pendiente de lectura.

  2. Presion para actuar: El mensaje transmite urgencia implicita. Una notificación electrónica de Hacienda puede significar un requerimiento, una sanción o un aviso fiscal. El contribuyente siente la necesidad de comprobar de que se trata, especialmente en periodo cercaño a la campana de la renta.

  3. Clic en el enlace: El email contiene un boton o enlace para “acceder a la notificación”. La URL puede incluir dominios que imitan los oficiales pero con variaciones sutiles (por ejemplo, aeat-notificaciones.es en lugar de agenciatributaria.gob.es).

  4. Página de inicio de sesion falsa: El enlace lleva a una replica del portal DEHU o de la Sede Electrónica de la AEAT. El diseño, logos, textos y estructura visual son practicamente identicos a los originales.

  5. Introduccion de credenciales: La víctima introduce su DNI/NIF y contraseña de acceso. En algunos casos se solicita también el número de teléfono o datos adicionales.

  6. Robo de credenciales: Los datos introducidos se envian directamente a los servidores controlados por los atacantes. En cuestion de segundos, las credenciales quedan comprometidas.

  7. Redireccion al sitio oficial real: Tras capturar los datos, la víctima es redirigida automáticamente a la página oficial autentica de la AEAT o DEHU. Este paso es clave: al ver la web real, la víctima asume que el proceso fue legítimo y no sospecha que ha sido enganada.

La redireccion al sitio real: técnica avanzada

La redireccion final al portal autentico es lo que hace esta campana especialmente efectiva. Muchas víctimás nunca sospechan que fueron enganadas porque, tras introducir sus datos, ven la web oficial. Pueden pasar días o semanas hasta que detectan actividad sospechosa en sus cuentas. Esta técnica se denomina transparent phishing proxy y dificulta enormemente la detección temprana.

Por que esta campana es especialmente peligrosa

Timing perfecto: la campana de la renta

Esta oleada de phishing no es casual en cuanto a su calendario. Febrero marca el inicio de los preparativos para la campana de la renta en España. Los contribuyentes estan pendientes de comunicaciones de Hacienda: borradores, datos fiscales, notificaciones pendientes. Un email de la AEAT sobre una “notificación electrónica” encaja perfectamente con lo que muchos ciudadanos esperan recibir.

Los atacantes explotan la ingenieria social en su forma más efectiva: no necesitan inventar un pretexto, simplemente se insertan en un flujo de comunicación que ya existe.

La confusion del ciberataque a Hacienda

La campana coincide temporalmente con las noticias sobre el presunto ciberataque a la Agencia Tributaria que, según la alerta de Hackmanac, habría comprometido datos de 47,3 millones de ciudadanos. Aunque Hacienda desmintio oficialmente la brecha, la noticia genero alarma pública.

Los atacantes pueden explotar esta situación de varias formas:

  • “Verifica tu cuenta tras la brecha de seguridad”: Emails que instan a “comprobar si tus datos fueron comprometidos” mediante un enlace fraudulento
  • Mayor credibilidad del phishing: Si el ciudadaño cree que Hacienda fue hackeada, un email sobre una “notificación urgente” le resulta más creible
  • Fatiga de alertas: La avalancha de noticias sobre ciberseguridad de Hacienda hace que algunos bajen la guardía por saturacion informativa

La legitimidad de DEHU como vector

DEHU es la Dirección Electrónica Habilitada Única, la plataforma oficial del Estado para recibir notificaciones electrónicas de cualquier administración pública. Muchos ciudadanos y empresas reciben notificaciones reales a traves de DEHU, lo que convierte a esta plataforma en un vector de suplantacion particularmente creible.

A diferencia de phishing que suplanta bancos o empresas privadas (donde el usuario puede no ser cliente), practicamente todos los contribuyentes españoles son potenciales receptores de notificaciones de la AEAT via DEHU. El universo de víctimás potenciales es de decenas de millones.

Análisis técnico forense: anatomia de un email de phishing

Desde la perspectiva de un perito informático, un email de phishing contiene una cantidad enorme de evidencia técnica que permite rastrear su origen, confirmar su naturaleza fraudulenta y certificarlo como prueba judicial. Este es el tipo de análisis que realizo en informes periciales.

Cabeceras del email (headers)

Las cabeceras de un email son metadatos que registran cada paso del mensaje desde su origen hasta la bandeja de entrada. Son la evidencia técnica más valiosa. En un email legítimo de la AEAT, las cabeceras mostrarian:

From: notificaciones@agenciatributaria.gob.es
Return-Path: <notificaciones@agenciatributaria.gob.es>
Received: from smtp.agenciatributaria.gob.es (xxx.xxx.xxx.xxx)
Authentication-Results:
  spf=pass (sender IP is xxx.xxx.xxx.xxx)
  dkim=pass header.d=agenciatributaria.gob.es
  dmarc=pass (policy=reject)

En el email de phishing, las cabeceras revelan la verdad:

From: notificaciones@agenciatributaria.gob.es       ← Campo falsificado
Return-Path: <xyz@servidor-fraudulento.com>          ← Origen real
Received: from mail.servidor-sospechoso.ru (185.xxx.xxx.xxx)
Authentication-Results:
  spf=fail (sender IP not authorized)                ← FALLO
  dkim=none                                          ← SIN FIRMA
  dmarc=fail (policy=reject, action=none)            ← FALLO

SPF, DKIM y DMARC: la triple autenticación

Estos tres protocolos funcionan como un sistema de verificación de identidad del remitente:

ProtocoloFunciónQue revela en phishing
SPF (Sender Policy Framework)Verifica que la IP del servidor esta autorizada para enviar emails del dominiospf=fail: el servidor que envio el email NO esta autorizado por agenciatributaria.gob.es
DKIM (DomainKeys Identified Mail)Firma criptografica que garantiza que el email no fue modificadodkim=none o dkim=fail: el email no tiene firma válida del dominio de Hacienda
DMARC (Domain-based Message Authentication)Politica que indica que hacer con emails que fallan SPF/DKIMdmarc=fail: el email no supera la politica de autenticación del dominio

Nota técnica: El dominio agenciatributaria.gob.es tiene politica DMARC configurada como reject, lo que significa que los servidores de correo deberían rechazar automáticamente emails que fallen la verificación. Sin embargo, no todos los proveedores de email implementan DMARC de forma estricta, y algunos emails fraudulentos consiguen llegar a la bandeja de entrada igualmente.

Análisis de URL y dominio

El enlace del email de phishing es otro elemento crítico para el análisis forense:

URL legítima de DEHU:

https://dehu.redsara.es/

Ejemplos de URLs fraudulentas típicas:

https://dehu-notificaciones.es/acceso
https://notificación-aeat.com/dehu/login
https://agenciatributaria-sede.net/notificación
https://dehu.redsara.es.acceso-seguro.com/login   ← Subdominio engañoso

El análisis de la URL revela:

  • Dominio real: acceso-seguro.com (no redsara.es)
  • Registro del dominio: WHOIS muestra registro reciente (días/horas antes de la campana)
  • Certificado SSL: Certificado gratuito de Let’s Encrypt (no un certificado de organización gubernamental)
  • Hosting: Servidor en pais diferente a España (frecuentemente Europa del Este o Asia)

Elementos visuales clonados

Los atacantes replican con precision los elementos visuales del portal oficial:

  • Logotipo de la AEAT y del Gobierno de España
  • Colores corporativos y tipografia
  • Estructura del formulario de login
  • Texto legal en pie de página
  • Iconos de seguridad (candado, escudo)

Sin embargo, un análisis técnico revela diferencias: código fuente diferente, recursos cargados desde dominios externos, ausencia de funcionalidades reales del portal (solo el formulario de login funciona).

Como detectar el phishing AEAT/DEHU: 10 red flags

Antes de hacer clic en cualquier enlace de un email que parezca provenir de Hacienda, verifica estos 10 puntos:

Verificación del remitente

  1. Dominio del remitente: Los emails oficiales de la AEAT provienen exclusivamente de dominios @agenciatributaria.gob.es o @correo.aeat.es. Cualquier otro dominio es fraudulento. Revisa el campo “De:” completo, no solo el nombre visible.

  2. Dirección de respuesta (Reply-To): Si la dirección de respuesta no coincide con el remitente visible, es un indicador claro de phishing.

Verificación del contenido

  1. Errores gramaticales o de formato: Aunque esta campana esta bien redactada, busca inconsistencias sutiles: tildes incorrectas, expresiones poco naturales o mezcla de estilos formales e informales.

  2. Urgencia artificial: Frases como “tiene 24 horas para acceder”, “última oportunidad” o “su notificación será eliminada” son tacticas de presion que las administraciones públicas no utilizan.

  3. Datos personales ausentes: Un email real de la AEAT normalmente incluye tu nombre completo y referencia a datos específicos. Un phishing masivo usa formulas genericas como “Estimado contribuyente”.

Verificación técnica

  1. URL del enlace: Antes de hacer clic, pasa el raton sobre el enlace (sin clicar) para ver la URL real. Debe apuntar a agenciatributaria.gob.es o dehu.redsara.es. Cualquier otra dirección es sospechosa.

  2. Certificado SSL del sitio: Si llegas a hacer clic, verifica que el certificado sea emitido a la entidad gubernamental correspondiente, no un certificado generico de Let’s Encrypt.

  3. Número de referencia: Si la referencia del email no aparece cuando accedes directamente (escribiendo la URL en el navegador) al portal oficial de DEHU, es falsa.

Verificación contextual

  1. Canal de comunicación: La AEAT envia notificaciones a traves de la Sede Electrónica y DEHU. Si no tienes activada la notificación electrónica, no deberias recibir este tipo de avisos por email.

  2. Coincidencia temporal sospechosa: Si recibes el email justo después de noticias sobre brechas de seguridad en Hacienda, extrema la precaución. Los atacantes explotan deliberadamente estos momentos de incertidumbre.

Regla de oro ante cualquier email de Hacienda

Nunca accedas a traves de un enlace en un email. Si recibes una supuesta notificación de la AEAT, abre tu navegador y escribe directamente https://www.agenciatributaria.gob.es o https://dehu.redsara.es. Si la notificación es real, aparecera en tu buzón oficial. Esta sola práctica neutraliza el 100% de los ataques de phishing por email.

Que hacer si has caido en el phishing

Si has introducido tus credenciales en una página fraudulenta, actua inmediatamente. Cada minuto cuenta.

  1. Cambia tu contraseña de la Sede Electrónica AEAT inmediatamente. Accede directamente a https://www.agenciatributaria.gob.es (escribiendo la URL, no desde el email) y cambia tu contraseña. Si usabas la misma contraseña en otros servicios, cambialas también.

  2. Revisa los accesos recientes a tu cuenta. En la Sede Electrónica de la AEAT, comprueba si hay accesos que no reconozcas, consultas de datos fiscales no realizadas por ti o trámites iniciados sin tu conocimiento.

  3. Activa la verificación en dos pasos si esta disponible. Anade una capa extra de seguridad a tu cuenta con la AEAT.

  4. Contacta con la AEAT. Llama al 901 200 345 (linea de información tributaria) o acude a tu oficina de Hacienda para informar del incidente y solicitar revision de tu cuenta.

  5. Denuncia ante la Policia Nacional o Guardía Civil. Presenta denuncia formal aportando el email fraudulento como prueba. Puedes presentar denuncia online a traves de la web de la Policia Nacional.

  6. Reporta a INCIBE. Reenvia el email de phishing a incidencias@incibe-cert.es para que puedan analizar la campana y alertar a otros ciudadanos.

  7. Monitoriza tu actividad fiscal y bancaria. Durante los próximos meses, revisa periódicamente tu historial en la AEAT y tus cuentas bancarias asociadas para detectar cualquier actividad no autorizada.

Si proporcionaste datos bancarios

Si además de credenciales de acceso proporcionaste datos bancarios (número de cuenta, tarjeta de credito), contacta con tu banco inmediatamente para bloquear tarjetas y activar alertas de movimientos. El riesgo de cargos fraudulentos es muy alto.

Que hacer si has recibido el email pero NO has caido

Si has recibido el email de phishing pero no has hecho clic ni introducido datos:

  1. No hagas clic en ningun enlace del email, incluidos enlaces de “darse de baja” o “cancelar suscripción” (también pueden ser maliciosos)
  2. No descargues archivos adjuntos si los hubiera
  3. Reenvia el email a INCIBE: incidencias@incibe-cert.es
  4. Bloquea al remitente en tu gestor de correo
  5. Elimina el email de tu bandeja de entrada y de la papelera
  6. Avisa a tu entorno: Familiares, companeros de trabajo y conocidos que puedan haber recibido el mismo email, especialmente personas mayores o menos familiarizadas con estafas digitales

El papel del perito informático forense: certificar phishing como prueba judicial

Cuando un caso de phishing deriva en denuncia penal, reclamación de danos o procedimiento judicial, la evidencia digital debe ser certificada por un perito informático para que tenga validez probatoria. Un email impreso o una captura de pantalla, por si solos, son facilmente impugnables por la parte contraria.

Que certifica un perito en un caso de phishing

El informe pericial sobre un email de phishing documenta y certifica:

1. Autenticidad del email

  • Extracción forense del email original con todas sus cabeceras
  • Hash criptográfico (SHA-256) del email completo para garantizar integridad
  • Fecha y hora de recepcion verificados mediante cabeceras del servidor

2. Análisis de cabeceras

  • Verificación de SPF, DKIM y DMARC: confirmacion técnica de que el email no proviene del dominio que aparenta
  • Trazado completo del recorrido del email (servidores intermedios)
  • Identificación de la IP de origen real del remitente

3. Análisis del enlace y la página fraudulenta

  • Captura certificada de la página de phishing (si aun esta activa)
  • Comparativa técnica con la página oficial
  • Registro WHOIS del dominio fraudulento (fecha de creacion, registrante)
  • Certificado SSL del sitio fraudulento (emisor, validez)

4. Contexto técnico

  • Explicacion pericial del funcionamiento del ataque para el juez o tribunal
  • Vinculacion con alertas oficiales (INCIBE, Guardía Civil, OCU)
  • Valoración del nivel de sofisticacion y la dificultad de detección por un usuario medio

Metodología forense: cadena de custodía del email

La extracción forense del email sigue un protocolo riguroso:

  1. Adquisición forense del email: Extracción del mensaje en formato EML o MSG directamente del servidor de correo o del cliente de correo, incluyendo todas las cabeceras completas. Se utiliza el protocolo IMAP para extraer el mensaje tal como lo almacena el servidor.

  2. Calculo de hash: Se calcula el hash SHA-256 del archivo extraido. Este hash funciona como una huella digital única que garantiza que el email no ha sido modificado en ningun momento posterior.

  3. Documentación de la cadena de custodia: Registro de quien extrae el email, cuando, desde que dispositivo, con que herramienta y en que soporte se almacena. Cada paso queda documentado.

  4. Análisis técnico de cabeceras: Examen detallado de los campos From, Return-Path, Received, Authentication-Results, X-Mailer y demás cabeceras relevantes.

  5. Captura forense de la página de destino: Si la página de phishing sigue activa, se realiza una captura certificada con sello de tiempo (timestamp) y hash. Herramientas como HTTrack o wget permiten descargar el sitio completo para análisis offline.

  6. Elaboración del informe pericial: Documento técnico-jurídico que presenta los hallazgos en lenguaje comprensible para el tribunal, con conclusiones claras sobre la naturaleza fraudulenta del email.

Por que es importante el informe pericial

En el ámbito judicial español, la prueba digital debe cumplir con requisitos de autenticidad, integridad y licitud. Un email de phishing presentado sin certificación pericial puede ser:

  • Impugnado por falta de garantías de autenticidad (Art. 382 LEC)
  • Cuestionado alegando posible manipulación
  • Desestimado si no se demuestra tecnicamente que es fraudulento

El informe pericial blinda la evidencia frente a estas impugnaciones y proporciona al juez una explicación técnica clara del ataque.

Contexto: oleada general de phishing en febrero 2026

La campana contra la AEAT no es un caso aislado. Febrero de 2026 esta registrando un incremento notable de ataques de phishing en España. Según Noticias de Navarra, los ciberataques aumentaron un 26% en 2025 respecto al año anterior, una tendencia que se mantiene en los primeros meses de 2026.

Otras campanas activas en la misma semana

Phishing Netflix: En la misma semana, INCIBE alerto de una campana masiva de phishing suplantando a Netflix, con emails sobre supuestos problemás de pago que solicitan actualizar datos de tarjeta de credito.

Phishing bancario: Las entidades bancarias espanolas siguen siendo el objetivo más frecuente, con campanas recurrentes que suplantan a CaixaBank, Santander, BBVA y Bankinter.

Smishing (SMS): Paralelamente, se detectan campanas de SMS fraudulentos suplantando a Correos, DGT y la Seguridad Social.

Esta simultaneidad no es coincidencia. Los grupos de cibercriminales lanzan multiples campanas coordinadas para maximizar el volumen de víctimas. Mientras la atencion mediatica se centra en el phishing de Hacienda, otras campanas menos conocidas pasan desapercibidas.

El papel de DEHU como vector emergente

Según reporta Infobae, la suplantacion de DEHU es relativamente nueva como vector de phishing masivo en España. Hasta ahora, los atacantes se centraban en suplantar directamente a la AEAT. La inclusion de DEHU indica una evolucion en las tacticas de ingenieria social: los cibercriminales estudian los flujos administrativos reales y los replican con mayor precision.

Esto también sugiere un nivel de sofisticacion asociado a spear phishing, donde los atacantes segmentan sus víctimás y personalizan los mensajes en función del perfil del destinatario.

El phishing no es solo una amenaza técnica; es un delito tipificado en el Código Penal español a traves de varios artículos.

Artículo 248 CP: estafa

El phishing encaja en el tipo penal de estafa del Art. 248 CP:

“Cometen estafa los que, con animo de lucro, utilizaren engaño bastante para producir error en otro, induciendole a realizar un acto de disposicion en perjuicio propio o ajeno.”

El phishing cumple todos los elementos del tipo:

  • Engaño bastante: Suplantacion de identidad de Hacienda
  • Error en la víctima: Creencia de que el email es legítimo
  • Acto de disposicion: Entrega de credenciales de acceso
  • Perjuicio: Acceso no autorizado a datos fiscales, potenciales pérdidas económicas

Las penas por estafa informática (Art. 248.2 CP) oscilan entre 6 meses y 3 años de prision, pudiendo agravarse a 1 a 6 años si el perjuicio supera los 50.000 euros o afecta a un gran número de personas (Art. 250 CP).

Artículo 197 CP: descubrimiento y revelacion de secretos

La obtención de credenciales de acceso mediante phishing también puede constituir un delito de descubrimiento y revelacion de secretos:

“El que, para descubrir los secretos o vulnerar la intimidad de otro, sin su consentimiento, se apodere de sus papeles, cartas, mensajes de correo electrónico o cualesquiera otros documentos o efectos personales…”

Las penas previstas son de 1 a 4 años de prision y multa de 12 a 24 meses.

Artículo 264 CP: danos informáticos

Si los atacantes acceden a los sistemás de la víctima y causan danos (borrado de datos, modificación de información fiscal), se aplica el Art. 264 CP sobre danos informáticos, con penas de 6 meses a 3 años de prision.

Agravante: suplantacion de organismo público

La suplantacion específica de la AEAT (un organismo público) puede constituir un agravante adicional, ya que el engaño se sirve de la confianza institucional del ciudadaño en la Administración pública.

Importancia de la denuncia

Aunque muchas víctimás de phishing no denuncian porque “solo” les robaron una contraseña, la denuncia es fundamental por tres razones: activa la investigación policial que puede desmantelar la red, genera estadisticas oficiales que justifican más recursos contra el cibercrimen, y protege juridicamente a la víctima ante posibles usos fraudulentos futuros de sus credenciales.

Recomendaciones de protección a largo plazo

Mas alla de esta campana concreta, estas prácticas reducen significativamente el riesgo de caer en phishing:

Para ciudadanos

  • Activa la verificación en dos pasos en todos los servicios que lo permitan (AEAT, bancos, correo electrónico)
  • Nunca accedas a servicios sensibles desde enlaces en emails: escribe siempre la URL directamente en el navegador
  • Configura alertas bancarias para cualquier movimiento, por pequeno que sea
  • Mantén actualizado tu sistema operativo, navegador y antivirus
  • Usa un gestor de contraseñas: si la URL no coincide con la almacenada, el gestor no autocompletara las credenciales (indicador de phishing)

Para empresas y autonomos

  • Configura correctamente SPF, DKIM y DMARC en tu propio dominio para evitar que suplanten tu identidad
  • Forma a tus empleados en detección de phishing con simulaciones periodicas
  • Implementa filtros de correo avanzados que verifiquen autenticación de remitentes
  • Establece un protocolo claro de actuación ante emails sospechosos: a quien reportar, que hacer, que no hacer
  • Consulta con un perito informático si detectas que tu empresa esta siendo suplantada en campanas de phishing

Para abogados que gestionan casos de phishing

  • Solicita el email original completo (con cabeceras) a tu cliente lo antes posible
  • No reenvies el email entre cuentas, ya que puede alterar cabeceras: solicita exportacion en formato EML
  • Contacta con un perito informático forense para certificar la evidencia antes de presentarla en sede judicial
  • Documenta la cronologia detalladamente: cuando se recibio el email, cuando se hizo clic, que datos se proporcionaron, que perjuicio se ha producido

Fuentes y referencias

Este artículo se basa en las siguientes fuentes verificadas:

  1. INCIBE. “Notificaciones falsas que suplantan a la Agencia Tributaria (AEAT) y la Dirección Electrónica Habilitada Única (DEHU).” Febrero 2026.
  2. MuySeguridad. “Guardía Civil alerta sobre phishing suplantando AEAT.” 5 febrero 2026.
  3. Infobae. “Alerta de la Guardía Civil por una estafa en la que se hacen pasar por Hacienda.” 4 febrero 2026.
  4. Infobae. “Detectan una oleada de notificaciones falsas de la Agencia Tributaria y la plataforma DEHU.” 3 febrero 2026.
  5. OCU. “Notificaciones falsas AEAT DEHU.” Febrero 2026.
  6. OCU. “Nota de prensa: phishing AEAT febrero 2026.” 9 febrero 2026.
  7. Bit Life Media. “Una oleada de correos falsos suplanta a Hacienda para robar credenciales.” Febrero 2026.
  8. Escudo Digital. “Nueva oleada de correos falsos suplantan Hacienda y DEHU para robar credenciales.” Febrero 2026.
  9. Newtral. “Agencia Tributaria: estafa aviso phishing.” 5 febrero 2026.
  10. La Gaceta de Salamanca. “Guardía Civil alerta de campana de phishing que suplanta a la Agencia Tributaria.” 4 febrero 2026.
  11. Noticias de Navarra. “Los ciberataques aumentaron un 26% en 2025.” 9 febrero 2026.
  12. Leon Noticias. “INCIBE avisa de nueva estafa con notificaciones suplantando Hacienda.” 4 febrero 2026.
  13. El Digital de Cuenca. “Alertan de una campana para robarte tus datos bancarios.” 9 febrero 2026.
  14. Ciberseguridad PYME. “Notificaciones falsas que suplantan a la AEAT y DEHU.” Febrero 2026.
  15. Diario de Avisos. “Estafa Netflix: correo falso de pago, INCIBE alerta.” Febrero 2026.

Conclusión

La oleada de phishing suplantando a la AEAT y DEHU en febrero de 2026 representa una de las campanas más sofisticadas dirigidas contra contribuyentes españoles en los últimos años. La combinacion de timing perfecto (campaña de la renta), contexto mediatico favorable para los atacantes (noticias del presunto hackeo a Hacienda) y la legitimidad inherente de DEHU como plataforma de notificaciones oficiales la convierten en una amenaza particularmente efectiva.

La defensa más eficaz sigue siendo la más sencilla: nunca acceder a servicios de la Administración pública a traves de enlaces en emails. Pero cuando el daño ya esta hecho, la actuación inmediata (cambio de contraseñas, denuncia, monitorizacion) y la certificación pericial de la evidencia son fundamentales para proteger los derechos de la víctima.

Si has sido víctima de esta campana de phishing o necesitas certificar un email fraudulento como prueba judicial, ofrezco análisis forense especializado con metodología rigurosa y experiencia en procedimientos judiciales españoles.

¿Has sido víctima de phishing suplantando Hacienda?

Análisis forense del email fraudulento, certificación pericial para denuncia y procedimiento judicial, y asesoramiento técnico completo. Consulta inicial sin compromiso.

Solicitar análisis forense

Servicios relacionados:

Enlaces relacionados:

Disclaimer: Este artículo tiene caracter informativo y educativo. La información sobre la campana de phishing se basa en alertas oficiales publicadas por INCIBE, Guardía Civil y OCU. Los ejemplos técnicos de cabeceras y URLs son ilustrativos y no corresponden a emails o dominios reales utilizados en esta campana concreta. Para asesoramiento jurídico específico, consulta con un abogado especializado.

Última actualizacion: 9 Febrero 2026

Sobre el autor

Jonathan Izquierdo es perito informático forense especializado en Noticias seguridad con conocimientos en blockchain, criptomonedas, AWS Cloud, desarrollo de software y seguridad. Experiencia tecnológica de más de 20 años al servicio de la justicia digital, liderando equipos de desarrollo de software en ámbitos internacionales.

Ver más sobre mí

Volver al Blog

Posts Relacionados

Ver Todos los Posts »
Jonathan Izquierdo

Jonathan Izquierdo · Perito Forense

+15 años experiencia · AWS Certified

WhatsApp