Incibe

Suplantan al LIDL a través de tiendas online fraudulentas Mié, 06/05/2026 - 13:32 Aviso Recursos Afectados

Cualquier usuario que realice una búsqueda o reciba un mensaje con un enlace que redirija a las páginas fraudulentas y realice una compra.

Descripción

Se ha detectado una campaña de anuncios fraudulentos, que suplantan al supermercado, LIDL. Los anuncios se muestras en la zona de productos promocionados de los buscadores o se difunden a través de aplicaciones de mensajería instantánea y redirigen a páginas fraudulentas. El objetivo es robar datos y recibir cuantías económicas de compras falsas.

Identificador INCIBE-2026-329 Solución

Si has accedido a una de estas páginas fraudulentas, pero no has llegado a facilitar tus datos y realizar una compra:

• Recopila evidencias y envíalas a nuestro buzón de incidentes. Esto nos permitirá prevenir que otros usuarios caigan en este tipo de fraudes.
• Elimina o bloquea cualquier anuncio que recibas en tus aplicaciones de mensajería instantánea.

En caso de haber realizado una compra, te recomendamos seguir estas pautas:

• Contacta con la Línea de Ayuda en Ciberseguridad para recibir asesoramiento personalizado.
• Contacta con tu entidad bancaria para informarles de la compra fraudulenta e inicien sus protocolos de actuación ante fraudes.
• Reúne y guarda todas las evidencias disponibles sobre el fraude, como capturas de pantalla de los anuncios y páginas web fraudulentas. Puedes utilizar servicios de testigos online para validar la recopilación de pruebas.
• Presenta una denuncia ante las Fuerzas y Cuerpos de Seguridad del Estado (Policía Nacional o Guardia Civil), aportando todas las pruebas recopiladas.
• Practica egosurfing de manera periódica hasta pasados unos meses para detectar si tu información personal ha sido expuesta o utilizada de forma indebida.
• Cambia tus credenciales de acceso en caso de que las hayas facilitado o las utilices en otras cuentas online. Utiliza siempre contraseñas robustas y únicas, preferiblemente con doble factor de autenticación (2FA).

Detalle

Los ciberdelincuentes han iniciado una campaña que suplanta a la tienda oficial del LIDL. Existen múltiples enlaces fraudulentos que simulan ser la tienda oficial de LIDL. Para llegar a estas tiendas fraudulentas los ciberdelincuentes las anuncian en los buscadores a través de la sección de productos patrocinados, los cuales se muestran en la parte superior de página. Además, estos enlaces se propagan por la aplicación de mensajería instantánea de WhatsApp. Consiguiendo que el alcance de ataque sea mayor.

Para captar a las víctimas, los productos que se ofrecen son excesivamente baratos en comparación a su precio original.

 

 

 

 

Para identificar que estos anuncios son fraudulentos debemos fijarnos en si la URL a la que redirigen es legítima o no. Las empresas grandes siempre usan su dominio oficial (ej. lidl.es). Si la dirección no termina en .es o .com y no contiene el nombre exacto de la marca es posible que la página sea fraudulenta.

Además, debemos observar que el nombre de la tienda que aparece en el anuncio no se corresponde con la del LIDL.

 

 

 

Dentro de estas páginas suelen mostrarse mensajes que apresuran al usuario a realizar la compra lo antes posible, bien sea por que casi no existe stock o porque finaliza una oferta.

 

Al añadir el producto en el carrito se muestra un resumen del éxito que está teniendo el producto entre los compradores, mostrando el número de personas que lo han comprado en los últimos días.
 

 

Si continuamos con la compra, nos pedirán facilitar nuestros datos personales para realizar el supuesto envío y los datos bancarios, para realizar el pago.

Una vez realizada estas acciones, se realizará un cargo en nuestra cuenta y los ciberdelincuentes ya dispondrán de todos nuestros datos.

4 - Alta Etiquetas

• Fraude
• Suplantación
• Web

CVE Identificador CVE Severidad Explotación Fabricante

Desconfía de supuestas notificaciones de la Guardia Civil y Europol sobre la "Operación Endgame" Mié, 18/03/2026 - 09:24 Aviso Recursos Afectados

Cualquier usuario que reciba el correo electrónico con el asunto "CONVOCATORIA", o similar, con el archivo adjunto denominado "NOTIFICACION_EXP_217-124 (1).pdf" y se haya puesto en contacto con el buzón indicado en el PDF.

Descripción

Se ha detectado una campaña de correos electrónicos fraudulentos, phishing, que suplantan a la Dirección General de la Guardia Civil y a Europol. Los mensajes utilizan tácticas de alta presión legal y tecnicismos para asustar al destinatario con una supuesta implicación en ciberdelitos internacionales. El objetivo del fraude es iniciar una conversación con la víctima para conseguir datos personales y bancarios o que realice algún pago utilizando tácticas de extorsión.

Identificador INCIBE-2026-201 Solución

Si has recibido el correo electrónico, supuestamente de la Guardia Civil, pero no has respondido ni interactuado con el archivo adjunto:

• Reenvíalo a nuestro buzón de incidentes. Esto nos permitirá recopilar la información necesaria para prevenir que otros usuarios caigan en este tipo de fraudes.
• Bloquea al remitente y elimina el mensaje de tu bandeja de entrada. 

En caso de haber respondido al correo o facilitada información a través de la dirección de contacto indicada en el PDF, te recomendamos seguir estas pautas:

• Contacta con la Línea de Ayuda en Ciberseguridad para recibir asesoramiento personalizado.
• Reúne y guarda todas las evidencias disponibles sobre el fraude, como capturas de pantalla del correo y del documento PDF adjunto. Puedes utilizar servicios de testigos online para validar la recopilación de pruebas.
• Presenta una denuncia ante las Fuerzas y Cuerpos de Seguridad del Estado (Policía Nacional o Guardia Civil), aportando todas las pruebas recopiladas.
• Practica egosurfing de manera periódica hasta pasados unos meses para detectar si tu información personal ha sido expuesta o utilizada de forma indebida.
• Cambia tus credenciales de acceso en caso de que las hayas facilitado o las utilices en otras cuentas online. Utiliza siempre contraseñas robustas y únicas, preferiblemente con doble factor de autenticación (2FA).
• Si quieres comprobar si algunos de los dispositivos conectados a la red de tu hogar es un “zombie”, utiliza nuestro Servicio Antibotnet.

Si dudas sobre la legitimidad de una comunicación, verifica siempre antes de actuar a través de los canales oficiales, como la web de la Guardia Civil o la Sede Electrónica de la Policía. Recuerda que, para gestiones oficiales, la administración pública utiliza plataformas seguras y nunca solicita responder a correos de dominios gratuitos como el que aparece en este fraude. Las fuerzas de seguridad nunca te notificarán cargos penales graves o una orden de detención de forma exclusiva a través de un correo electrónico genérico. Siempre lo harán de forma certificada o presencial.

Detalle

Se ha identificado una campaña de phishing que intenta suplantar a Dirección General de la Guardia Civil y al Centro Europeo de Cibercriminalidad. El fraude se apoya en un correo con un documento PDF adjunto de gran complejidad visual que mezcla elementos reales y ficticios para engañar al usuario.

Algunas de las características del correo son:

• Asunto del correo. El mensaje se presenta bajo el asunto "CONVOCATORIA", un término genérico diseñado para captar la atención del usuario sin desvelar el contenido alarmista hasta que se abre el cuerpo del mensaje. Es posible que existan correos con asuntos similares para esta campaña.
• Remitente sospechoso. El correo finge ser de "GCivil Infociudadana". El remitente (18602143.edu@juntadeandalucia[.]es) no tiene relación con las fuerzas de seguridad. Aunque utiliza el dominio real de la Junta de Andalucía para hacerlo más creíble, este correo electrónico pertenece a un Colegio Público Rural situado de Granada. En ese caso los ciberdelincuente utilizan la técnica de mail spoofing.
• El destinatario es una cuenta genérica: gr-infociudadan@guardiacivil.org. Es común que los atacantes pongan una dirección oficial en el campo "Para" para confundir al usuario, pero si lo hemos recibido en nuestra bandeja personal sin que la dirección aparezca claramente, es un envío masivo oculto.
• El mensaje del correo utiliza técnicas de ingeniería social para anular nuestra capacidad de análisis: amenazas legales inmediatas, inminencia de la acción física y autoridad ficticia. Firman como "DIRECCIÓN DE INSTRUCCIÓN DIGITAL", un departamento que no existe en el organigrama oficial.

 

 

Si abrimos el documento adjunto veremos una serie de indicios para identificar que la notificación no es legítima:

• Suplantación de identidad. El PDF utiliza logotipos del Ministerio del Interior, la Brigada de Cibercriminalidad y el Centro Europeo de Cibercriminalidad (EC3-Europol). Además, aparece una marca de agua en cada página con la palabra “CONFIDENCIAL”, lo que nos hace pensar que el contenido es extremadamente sensible y nos incita a actuar para "solucionar" el problema rápido.
• Narrativa de la “Operación Endgame”. El documento afirma que el dispositivo del usuario ha sido infectado y convertido en un "zombie" dentro de una red botnet. Utiliza el nombre real de una operación policial ("Operación Endgame") para ganar credibilidad.
• Falsos Detalles Técnicos. Alegan haber identificado al usuario mediante el software Magnet AXIOM, extrayendo datos como el número IMEI o el UUID del procesador, con el fin de intimidar con una supuesta "Huella Digital Absoluta".
• Gancho de colaboración. El texto intenta parecer benevolente al ofrecer una "medida de salvaguardia" si el usuario colabora en una auditoría técnica, advirtiendo que cualquier contacto con terceros será visto como una obstrucción.
• Firma Falsa. El documento aparece firmado por un supuesto "jefe de la Unidad Central de Ciberdelincuencia", Pascual Grisolia. Este nombre y apellido no tienen ningún tipo de relación con las Fuerzas y Cuerpos de Seguridad del Estado.

 

 

 

 

 

4 - Alta Etiquetas

• Correo electrónico
• Extorsión
• Fraude

CVE Identificador CVE Severidad Explotación Fabricante

Chantajes de sextorsión a través de correos electrónicos Mar, 10/03/2026 - 09:35 Aviso Recursos Afectados

Cualquier usuario que haya recibido un correo electrónico y haya seguido las instrucciones que indica el ciberdelincuente en el correo.

Descripción

Se ha detectado una campaña masiva de correos electrónicos de sextorsión que amenaza con difundir supuestos vídeos íntimos a los contactos del destinatario. Los estafadores exigen pagos en Bitcoin, de entre 750 y 950 dólares, alegando falsamente haber infectado los dispositivos con un software espía indetectable. En realidad, los atacantes no disponen de ningún material gráfico y utilizan guiones genéricos basados en antiguas filtraciones de datos. El objetivo es generar pánico y presión psicológica mediante límites de tiempo urgentes de 48 a 50 horas para forzar un pago impulsivo. Se trata de un fraude automatizado donde la supuesta vigilancia y el acceso a la cámara son totalmente ficticios.

Identificador INCIBE-2026-181 Solución

Si has recibido el correo electrónico fraudulento, pero no has caído en el chantaje, te recomendamos que nos lo reportes a nuestro buzón de incidentes para que podamos alertar y evitar que otros usuarios sean víctimas de esta estafa. Además, bloquea al remitente y elimínalo de tu bandeja de entrada.

Antes de realizar cualquier acción, si te surgen dudas, contacta con la Línea de Ayuda en Ciberseguridad de INCIBE a través del teléfono 017, donde expertos podrán orientarte sobre cómo proceder ante este tipo de extorsión.

No intentes realizar el pago ni responder al email. Si lo haces, confirmarás que tu cuenta está activa, lo que podría derivar en futuros intentos de fraude.

Si has cedido al chantaje y realizado el pago, sigue estas medidas de actuación:

• Recopila y almacena todas las pruebas posibles del chantaje, incluyendo correos electrónicos, capturas de pantalla de los pagos y cualquier otra comunicación con los ciberdelincuentes.
• Recurre a testigos online para verificar las evidencias y obtener algunas adicionales que puedan ayudarte en el caso.
• Utiliza todo este material como evidencias para presentar una denuncia ante las Fuerzas y Cuerpos de Seguridad del Estado.
• Para comprobar si realmente se han publicado imágenes o vídeos tuyos, puedes realizar egosurfing y, en caso de que exista contenido sobre ti en la Red, puedes solicitar su eliminación ejerciendo tu derecho al olvido.  

Detalle

El análisis de varias evidencias revela una campaña de fraude digital que utiliza el engaño y la manipulación para extorsionar a los usuarios con la excusa de una difusión de vídeos íntimos de la víctima. 

A través de correos electrónicos diseñados para parecer alertas de seguridad o intrusiones reales, los atacantes intentan convencer a las víctimas de que su privacidad ha sido totalmente vulnerada. Sin embargo, el examen detallado de estos mensajes demuestra que se trata de una estrategia de sextorsión basada en amenazas vacías y tácticas de presión psicológica, careciendo de cualquier prueba técnica que respalde el supuesto hackeo.

Algunas de las características de estos correos son:

• El lenguaje utilizado se basa en el miedo y la urgencia. Los atacantes emplean amenazas de exposición de vídeos íntimos y límites de tiempo de 48 o 50 horas, para crear una cuenta atrás ficticia que te obligue a actuar bajo presión. Además, buscan tu aislamiento afirmando que denunciar es inútil, intentando así evitar que pidas ayuda externa y pienses con claridad.
• El mensaje es un guion copiado y no un hackeo real. Argumentos como el del "antivirus mágico" que no detecta el software son explicaciones falsas para justificar la falta de alertas en tu sistema. Técnicamente, grabar vídeo y audio en tiempo real sin que se note el tráfico de datos es extremadamente complejo para una campaña masiva. Resulta contradictorio que alguien con "acceso total" pida un rescate de entre 700 y 950 dólares en lugar de vaciar directamente tus cuentas bancarias.
• El método de pago en criptomonedas es la señal de alerta definitiva. Los estafadores exigen Bitcoin porque estas transacciones son irreversibles y muy difíciles de rastrear por las autoridades.
• Respecto al remitente y la personalización, es común encontrar direcciones anónimas, genéricas o incluso técnicas de suplantación para que parezca que el correo proviene de tu propia cuenta. La falta de pruebas reales es clave: ninguno de estos correos adjunta una captura de pantalla o un fotograma del supuesto vídeo. Si realmente tuvieran material comprometedor o acceso a tus contactos, incluirían una prueba fehaciente para validar su amenaza.
• El asunto del correo también es alarmante: “Se han filtrado sus datos personales debido a ciertas actividades en sitios sospechosos.”, “No-reply” o “En espera de su pago”. Esto incita al usuario a abrir el correo lo antes posible y no ignorarlo.

A continuación, se muestran varias imágenes de ejemplo de estos correos:

 

 

 

4 - Alta Etiquetas

• Fraude
• Phishing
• Sextorsión

CVE Identificador CVE Severidad Explotación Fabricante

Mi Carpeta Ciudadana no está enviando notificaciones a los ciudadanos para recibir un ingreso de 552,97€ Mié, 04/03/2026 - 12:24 Aviso Recursos Afectados

Todos aquellos usuarios que hayan recibido la notificación descrita en este aviso y hayan entrado en el enlace facilitando sus datos personales y su cuenta bancaria

Descripción

Se ha identificado una campaña fraudulenta de correos electrónicos que suplanta la identidad de “Mi Carpeta Ciudadana”, un servicio digital del Gobierno de España que te permite ver y gestionar toda tu información y trámites administrativos en un solo lugar, sin tener que ir físicamente a oficinas públicas. El correo simula una notificación oficial para comunicar al usuario que “se ha generado a su favor un ingreso por importe de 552,97€”.

Este fraude lo que busca realmente es recopilar información personal y bancaria de los usuarios que han recibido dicha notificación.
 

Identificador INCIBE-2026-165 Solución

Si has recibido la notificación y no has accedido al enlace, te agradecemos que lo reportes a nuestro buzón de incidentes, tu colaboración puede ayudarnos a identificar nuevas campañas y proteger a otros usuarios. Además, te recomendamos bloquear al remitente y eliminar la notificación.

Recuerda que siempre puedes llamar a nuestro número de Ayuda en Ciberseguridad, 017 si tienes dudas.

En el caso de que hayas accedido al enlace y proporcionado tus datos personales y/o bancarios, sigue estos pasos cuanto antes:

• Contacta lo antes posible con tu entidad bancaria para informar de lo sucedido.
• Guarda todas las capturas y evidencias posibles. Para darles mayor validez, puedes utilizar el servicio de testigos online.
• Presenta una denuncia ante las Fuerzas y Cuerpos de Seguridad del Estado, apoyándote para ello en las evidencias que has recopilado del fraude.
• Realiza egosurfing periódicamente para comprobar si tus datos personales se han visto filtrados en la Red y están siendo utilizados sin tu consentimiento.

Recuerda que para cualquier gestión en un organismo público necesitarás identificarte con el DNI electrónico, el certificado digital o el sistema Cl@ve. En caso de que accedas a una supuesta web oficial de la administración pública y no te soliciten dicha identificación para la realización de gestiones, es posible que estés accediendo a un sitio fraudulento.

Adicionalmente, al acceder a la aplicación de "Mi Carpeta Ciudadana" se puede observar un mensaje informativo, alertando a los ciudadanos de esta campaña.

 

Detalle

No hay nada que atraiga más que un ingreso inesperado de 552,97€, y los estafadores lo saben. Este correo que suplanta a la Administración General del Estado a través de “Mi Carpeta ciudadana” es un claro ejemplo:

• Para identificar que esta notificación es falsa debemos fijarnos en el dominio del remitente. El correo viene de carpetaciudadana@info.com.es. La administración pública en España siempre utiliza dominios que terminan en .gob.es. Cualquier otro como .com o .info es una señal de alerta de que podría ser un fraude.
• Incluye el logo oficial de “Mi Carpeta Ciudadana” para que el usuario, de un solo vistazo, identifique que es una notificación legitima e importante.
• El "gancho" emocional utilizado es claro. Te notifican un ingreso disponible por una cantidad específica para generar curiosidad y urgencia con el asunto “Notificación de ingreso disponible – Importe 552,97€”. Quieren que puses en el enlace "Acceder ahora" antes de que te pares a pensar si realmente esperas ese dinero.
• Utilizan un lenguaje técnico para dar confianza. Mencionan la Ley 39/2015, referencias de expediente como CC/2026/04837219 y organismos oficiales. Usan esta jerga legal para intimidar y parecer legítimos ante ojos inexpertos.
• Sugieren una petición de respuesta directa. El texto te invita a "responda a este correo" si tienes dudas. Los sistemas de notificaciones electrónicas oficiales son unidireccionales, nunca te pedirán que respondas a un email para gestionar un trámite.
• Además facilitan instrucciones de identificación sospechosas. Aunque mencionan Cl@ve o DNI electrónico, el objetivo final es que pinches en sus enlaces fraudulentos para que introduzcas tus credenciales en una web que ellos controlan.

 

 

En caso de pulsar en el enlace este nos redireccionará una web que imita a la de “Mi carpeta Ciudadana”, donde se requiere iniciar un supuesto procedimiento de verificación y completar la reidentificación.

 

 

Tras pulsar en “Solicitar formulario”, nos mostrará una serie de campos para introducir nuestros datos personales: nombre, apellido, fecha de nacimiento y posteriormente, el número de teléfono, el correo electrónico y el DNI.

 

 

 

 

Tras esto, la página simulará que está realizando unos trámites para verificar la legitimidad del usuario.

 

 

A continuación, nos solicitará introducir nuestro número de cuenta bancaria.

 

 

Posteriormente, aparecerá una supuesta pasarela de pago que solicita la contraseña de acceso a nuestra cuenta bancaria.

 

 

Tras esto, la siguiente pantalla mostrará un proceso de que se está estableciendo una supuesta conexión segura con el banco.

 

 

Al llegar a este último paso, ya les hemos facilitado suficientes datos a los ciberdelincuentes para poder realizar otros fraudes en nuestro nombre.

4 - Alta Etiquetas

• Administración pública
• Fraude
• Phishing
• Robo de datos

CVE Identificador CVE Severidad Explotación Fabricante

Netflix no está enviando correos electrónicos que solicitan ingresar un nuevo método de pago Lun, 09/02/2026 - 11:46 Aviso Recursos Afectados

Todos aquellos usuarios que hayan accedido a la página web fraudulenta descrita en este aviso y facilitado sus datos de acceso y posteriormente, de pago.

Descripción

Desde INCIBE se ha identificado una campaña que suplanta a la plataforma de streaming, Netflix. El fraude consiste en el envío de notificaciones mediante correo electrónico con el propósito de engañar a los usuarios y que así, ingresen un nuevo método de pago para poder volver a acceder a la plataforma.

Identificador INCIBE-2026-098 Solución

Si has recibido un correo electrónico que supuestamente es de Netflix, pero no has abierto el enlace fraudulento, has actuado bien. Te agradeceríamos que lo reenviases a nuestro buzón de incidentes. De este modo, podremos recopilar la información necesaria para evitar que otros usuarios sean víctimas de este tipo de fraudes. Una vez reenviado, elimina el mensaje de la bandeja de entrada para evitar acceder a él posteriormente y, además, bloquear al emisor.

Si has accedido al enlace y has proporcionado tus datos personales o los de tu tarjeta, te sugerimos que sigas las siguientes recomendaciones. Si necesitas un asesoramiento más personalizado, siempre puedes ponerte en contacto con la Línea de Ayuda en Ciberseguridad.

• Si has facilitado lo datos de tu tarjeta, ponte en contacto con el banco para informarles de la situación. Ellos de darán indicaciones de cómo proceder para bloquear tu tarjeta o incluso generar una nueva y así los ciberdelincuentes no la puedas utilizar para realizar cargos en la misma.
• Revisa los últimos movimientos en tu cuenta bancaria. Si detectas alguno sospechoso, repórtalo a tu entidad bancaria.
• Reúne y guarda todas las pruebas disponibles sobre el fraude, tales como enlaces maliciosos o capturas de pantalla. Puedes hacer uso de los servicios de testigos online para corroborar la recopilación de las pruebas enviadas. Asimismo, puedes interponer una denuncia ante las Fuerzas y Cuerpos de Seguridad del Estado, aportando todas las pruebas recopiladas a lo largo del proceso.
• Practica egosurfing de forma regular durante varios meses para determinar si tu información personal ha sido expuesta o utilizada de forma inapropiada.
• Cambia tus credenciales de acceso tanto en Netflix, como en todas aquellas cuentas en las que las utilices. Ten presente que lo más seguro es emplear una contraseña para cada sitio y, si es posible, activar la autenticación en dos pasos.

Antes de pulsar en un enlace sospechoso es recomendable acudir a la página oficial de la entidad, por ejemplo, en el caso de Netflix, recomendamos acudir a su espacio de Centro de ayuda vía web. Desde ahí, podrás acceder a cuestiones planteadas por distintos usuarios que puedan servirte de ayuda, o relacionado con este caso, poder seguir el procedimiento oficial de la plataforma para saber cómo actualizar tu método de pago o el procedimiento de la empresa ante cobros no reconocidos o no autorizados de Netflix.

Detalle

Se ha detectado una campaña de phishing que pretende suplantar a Netflix. El fraude consiste en el envío de correos electrónicos en los que se indica que no ha sido posible finalizar el método de pago y que, para volver a utilizar la plataforma, es necesario actualizarlo. Una vez accedido al enlace fraudulento, se redirige a una página falsa con el objetivo de robar los datos de acceso a la plataforma de Netflix, los datos de facturación y los datos de la tarjeta.

Aparentemente, el texto del correo electrónico está bien redactado y maquetado, pero si nos fijamos en el remitente veremos que este no corresponde al dominio oficial de Netflix.

El asunto con el que se identifican estos correos es: “NETFLIX – Actualiza tu cuenta para volver a ver”, aunque no se descarta que existan otros correos con asuntos similares.
 

 

Si accedes al botón “Introducir un nuevo método de pago” se te redirigirá, a una página te pedirá realizar una operación matemática sencilla. Esto se emplea frecuentemente para hacerte creer que estás en un lugar seguro y legítimo, ya que reproduce una verificación de seguridad utilizada comúnmente en las páginas oficiales. 

 

 

A continuación, se muestra una página que suplanta la apariencia de login de Netflix. Tras introducir los datos, los ciberdelincuentes ya habrán obtenido nuestras credenciales.

 

 

Una vez dentro, se solicitarán a través de un formulario una serie de datos personales y los datos de la tarjeta de crédito.

4 - Alta Etiquetas

• Datos personales
• Fraude
• Phishing
• Streaming

CVE Identificador CVE Severidad Explotación Fabricante

Notificaciones falsas que suplantan a la Agencia Tributaria (AEAT) y a la Dirección Electrónica Habilitada Única (DEHú) Mar, 03/02/2026 - 12:47 Aviso Recursos Afectados

Aquellos usuarios que hayan accedido a la página web fraudulenta descrita en este aviso y facilitado sus datos de acceso.

Descripción

Desde INICBE se ha detectado una campaña de suplantación a la Agencia Estatal de Administración Tributaria (AEAT) a través de notificaciones por correo electrónico, con el objetivo de engañar a las víctimas para que faciliten sus credenciales de acceso a la Dirección Electrónica Habilitada Única (DEHÚ).

Identificador INCIBE-2026-077 Solución

Si has recibido un correo electrónico, supuestamente de la AEAT, pero no has accedido al enlace fraudulento que acompaña al mensaje, te recomendamos que lo reenvíes a nuestro buzón de incidentes. Esto nos permitirá recopilar la información para prevenir que otros usuarios caigan en este tipo de fraudes. Además, bloquea al remitente y elimina el mensaje de tu bandeja de entrada.

En caso de haber accedido al enlace y haber facilitado información, te recomendamos que realices las siguientes recomendaciones:

• Puedes ponerte en contacto con la Línea de Ayuda en Ciberseguridad para que te asesoremos de forma personalizada.
• Reúne y guarda todas las evidencias disponibles sobre el fraude, como capturas de pantalla o enlaces maliciosos. Puedes utilizar servicios de testigos online para validar la recopilación de pruebas, especialmente en este caso de smishing o phishing. Presenta una denuncia ante las Fuerzas y Cuerpos de Seguridad del Estado, aportando todas las pruebas recopiladas durante el proceso.
• Practica egosurfing de manera periódica hasta pasados unos meses para detectar si tu información personal ha sido expuesta o utilizada de forma indebida.
• Cambia tus credenciales de acceso en caso de que las utilices en otras cuentas online. Recuerda que lo más seguro es utilizar una para cada sitio y si es posible, siempre con un doble factor de autenticación.

Si dudas sobre la legitimidad de una comunicación, verifica siempre antes de actuar por los canales oficiales, como la web de la Agencia Tributaria.

Recuerda que para acceder a las gestiones de la administración pública estas plataformas solo permiten acceso a través de Cl@ve permanente o móvil, vía SMS, DNIe o certificado.

Detalle

Se ha detectado una campaña de phishing que intenta suplantar a la AEAT. El fraude consiste en el envío de notificaciones a través de correo electrónico en el que informan sobre una nueva notificación electrónica sobre una supuesta reclamación. Esta va acompañada de un enlace para acceder a la plataforma y descargar la notificación, pero dicho enlace redirecciona una web fraudulenta.

Aparentemente, las notificaciones están bien redactadas y maquetadas, aunque si nos fijamos en la dirección de correo del remitente, este no tiene relación con el dominio oficial de la agencia tributaria “agenciatributaria.gob.es”. 

El asunto con el que se identifican estos correos es: “Aviso puesta a disposición de nueva notificación electrónica REF-XXXXXXXX”. No se descarta que existan otros correos con asuntos diferentes.
 

 

Al pulsar en el enlace para acceder a la notificación, se redirige al usuario a una página fraudulenta donde se solicita un identificador y una contraseña.

Se han detectado dos páginas suplantadas:

Una en la que la web fraudulenta imita a la web legítima de la plataforma de notificaciones, Dirección Electrónica Habilitada Única (DEHÚ).
 

 

 

Y otra en la que se suplanta la página legítima de la AEAT:

 

 

Tras introducir los datos solicitados, la web redirige a la página legítima de la Agencia Tributaria, pero los ciberdelincuentes ya estarán en posesión de las credenciales de la víctima.

4 - Alta Etiquetas

• Fraude
• Phishing
• Smishing
• SMS

CVE Identificador CVE Severidad Explotación Fabricante CVE Explotación No