VishingGuías

Cómo verificar una notificación de Hacienda o la Seguridad Social

Aprende a distinguir una notificación real de Hacienda o la Seguridad Social de un fraude usando solo los canales oficiales y Cl@ve.

N
Por Equipo NoCall
Redacción de NoCall
31 de mayo de 202610 min de lectura
Cómo verificar una notificación de Hacienda o la Seguridad Social
#Hacienda#Seguridad Social#verificación#vishing#Cl@ve#phishing

Te llega un SMS, un correo o una llamada que dice ser de Hacienda o de la Seguridad Social: tienes una notificación pendiente, un pago atrasado o una "devolución" que reclamar. Antes de hacer clic o dar un solo dato, hay una regla que nunca falla: no verifiques nada desde el mensaje que recibiste. Verifícalo tú, por tu cuenta, en el canal oficial. Aquí te explicamos cómo.

Los estafadores saben dos cosas. La primera, que casi todo el mundo tiene algún asunto pendiente con la Administración: una declaración, una cotización, un trámite a medias. La segunda, que las palabras "Hacienda" o "Seguridad Social" generan respeto y prisa a partes iguales. Esa combinación —tienes algo pendiente y hay que resolverlo ya— es exactamente la palanca que usan. Por eso la suplantación de organismos públicos es una de las formas de vishing y smishing más persistentes en España.

La buena noticia es que verificar es más fácil de lo que parece. Las dos administraciones tienen canales oficiales claros, un sistema de identificación común (Cl@ve) y una línea de información pública. Si sabes cómo funcionan, distinguir lo real de lo falso deja de ser una cuestión de intuición y se convierte en un procedimiento de tres pasos.

¿Cómo te avisa de verdad Hacienda o la Seguridad Social?

Lo primero es entender por dónde llegan las comunicaciones reales. Cuando lo tengas claro, cualquier mensaje que se salga de ese guion levanta sospechas por sí solo.

La Agencia Tributaria (AEAT) comunica de forma oficial a través de su Sede Electrónica (sede.agenciatributaria.gob.es). Si tienes una notificación, la encuentras ahí, dentro de tu área personal, una vez te has identificado. La AEAT puede mandarte un aviso de cortesía por correo electrónico o SMS para decirte que tienes algo nuevo, pero ese aviso nunca incluye el contenido confidencial ni un enlace para "pagar" o "introducir tus datos". Es solo un recordatorio para que entres tú mismo en la Sede. La regla que la propia Agencia repite: nunca solicita datos confidenciales, números de cuenta ni claves por correo electrónico o SMS.

La Seguridad Social funciona de forma parecida. Sus trámites y comunicaciones se gestionan desde sus sedes electrónicas y su portal oficial (seg-social.es), donde además mantiene una sección de ciberseguridad con avisos sobre comunicaciones fraudulentas. Igual que Hacienda, no te va a pedir que descargues un archivo adjunto para "ver tu notificación" ni que introduzcas tus credenciales en una web a la que llegas desde un enlace de un SMS.

Aquí está la idea clave: ambos organismos te piden que vayas tú a su sede, no al revés. El fraude invierte ese flujo. Te empuja a hacer clic, a descargar, a llamar a un número que ellos te dan. La comunicación legítima te deja la iniciativa a ti.

¿Qué señales delatan una notificación falsa?

Una vez sabes cómo es lo normal, lo anormal salta a la vista. Estas son las señales que aparecen una y otra vez en las campañas de suplantación de Hacienda y la Seguridad Social.

  • Urgencia y amenaza. "Su cuenta será embargada en 24 horas", "última oportunidad antes de la sanción". La Administración tiene plazos, pero no te mete prisa por SMS ni te amenaza con consecuencias inmediatas en un mensaje.
  • Un enlace para resolverlo todo. Si el mensaje contiene un enlace que promete llevarte directo a "ver la notificación", "pagar la multa" o "reclamar la devolución", desconfía. La verificación real pasa por que entres tú en la sede oficial.
  • Petición de datos sensibles. IBAN, número de tarjeta, claves de Cl@ve, código del SMS de tu banco, DNI completo. Nada de esto se pide por correo, SMS ni en una llamada entrante.
  • Formas de pago raras. Criptomonedas, transferencias urgentes a cuentas de particulares o tarjetas regalo. Hacienda no cobra en bitcoin.
  • Dirección o remitente que casi cuela. Dominios parecidos al oficial pero con una letra cambiada, guiones de más o terminaciones extrañas. Un .gob.es real no se sustituye por un .com o un .info.
  • Una llamada que te pide actuar ya. En vishing, una voz (a veces pregrabada, a veces una persona muy convincente) te dice que hay un problema y que necesita confirmar tus datos. El identificador puede mostrar incluso un número oficial: el spoofing del identificador de llamada hace que falsear ese número sea trivial, así que no te fíes de lo que ves en pantalla.

Ten presente que el atacante puede combinar varias técnicas. Hoy es habitual que un primer SMS o correo recopile datos y que luego llegue una llamada "de confirmación" para rematar el engaño. Si quieres entender mejor cómo se encadenan estas señales, te ayudará nuestra guía sobre cómo leer las señales de riesgo de un número.

¿Cuáles son los canales oficiales para verificar?

Esta es la parte práctica. Memoriza estos tres canales y no necesitarás ninguno de los enlaces o números que te lleguen en un mensaje sospechoso.

CanalPara qué sirveCómo accedes
Sede Electrónica AEAT (sede.agenciatributaria.gob.es)Ver tus notificaciones reales de Hacienda, comprobar deudas, devoluciones y trámitesTú escribes la dirección en el navegador; te identificas con Cl@ve, certificado o DNI electrónico
Portal Seguridad Social (seg-social.es)Consultar trámites, vida laboral, prestaciones y avisos de ciberseguridadIgual: entras tú directamente y te identificas con Cl@ve o certificado
Cl@veSistema de identificación común para acceder a ambas sedes y a la mayoría de servicios públicosCl@ve PIN o Cl@ve Permanente; las claves las introduces solo en la web oficial, nunca por teléfono

La regla de oro de la tabla anterior: la dirección la escribes tú. No la copias de un mensaje, no la abres desde un enlace, no la dictas un "agente" por teléfono. Si la tecleas tú mismo o usas un marcador que ya tienes guardado, eliminas de un plumazo el riesgo de acabar en una web clonada.

¿Y si quieres confirmar algo y no sabes por dónde empezar? Tienes dos apoyos:

  • El 060 es el teléfono de información general de la Administración General del Estado. Sirve para orientarte sobre trámites y para confirmar si una comunicación que has recibido encaja con algo real. Recuerda: tú llamas al 060, el 060 no te llama a ti para pedirte datos.
  • INCIBE 017 (también 900 116 117 y WhatsApp @INCIBE017) es la línea de ayuda en ciberseguridad. Si dudas de si un SMS, correo o llamada es phishing, te ayudan a identificarlo y te indican cómo reportarlo. Es gratuita y atiende todos los días en horario amplio.

Los tres pasos para verificar cualquier aviso

Cuando recibas algo que dice ser de Hacienda o la Seguridad Social, aplica siempre la misma secuencia. No improvises.

  1. Para. No hagas clic, no descargues adjuntos, no devuelvas la llamada al número que te dieron. La prisa es del estafador, no tuya.
  2. Entra por tu cuenta. Abre el navegador y escribe tú la dirección de la Sede Electrónica de la AEAT o del portal de la Seguridad Social. Identifícate con Cl@ve o certificado. Si la notificación es real, estará ahí. Si no aparece nada, el mensaje era falso.
  3. Confirma o reporta. Si tienes dudas tras el paso 2, llama al 060 para asuntos administrativos o al 017 de INCIBE para dudas de ciberseguridad. Y si era un fraude, repórtalo para proteger a los demás.

Este procedimiento funciona igual de bien tanto si el aviso te llegó por SMS, por correo electrónico o por una llamada. La vía de entrada cambia; la verificación es siempre la misma.

¿Y si la "notificación" llega por teléfono?

Las llamadas merecen un apartado propio porque añaden presión emocional en directo. Una persona al otro lado, hablando en nombre de "la Agencia Tributaria" o de "la Seguridad Social", resulta mucho más intimidante que un SMS.

La técnica tiene nombre: vishing, la suplantación de voz para sacarte datos o dinero. Funciona porque combina una historia creíble (tienes una deuda, un error en tu cotización, una devolución que reclamar) con una urgencia artificial y, a veces, con un número en pantalla que parece oficial gracias al spoofing.

Qué hacer si recibes una de estas llamadas:

  • No confirmes ni des ningún dato. Ni el DNI, ni el IBAN, ni códigos que te lleguen por SMS mientras hablas. Un código de un solo uso que te dicta el "agente" es una bandera roja máxima: así interceptan tus accesos.
  • Cuelga y verifica tú. No uses el número desde el que te llamaron ni uno que te faciliten ellos. Entra en la sede oficial o llama al 060.
  • No te dejes apurar. Ninguna deuda real con la Administración se resuelve obligatoriamente en los próximos cinco minutos por teléfono y con un pago inmediato.

Una variante especialmente peligrosa usa voz clonada con IA para imitar a un familiar o a un supuesto funcionario. Si la voz suena rara, si la situación no cuadra o si te piden dinero con urgencia, corta y verifica por un canal que ya conozcas. Lo desarrollamos en nuestra guía sobre voz clonada con IA en estafas telefónicas.

Si quieres profundizar en cómo operan estas llamadas paso a paso, te recomendamos también cómo verificar si una llamada o SMS de tu banco es real: el banco es otro de los objetivos favoritos y el método de verificación es idéntico.

¿Qué hago si ya he picado o tengo dudas serias?

Si has llegado hasta aquí porque ya hiciste clic, diste un dato o pagaste, no te bloquees. Actuar rápido reduce mucho el daño.

  • Si diste datos bancarios o pagaste: contacta de inmediato con tu banco por su canal oficial para bloquear tarjetas o intentar parar la operación.
  • Si introdujiste tus claves de Cl@ve o de algún servicio: cámbialas cuanto antes desde la web oficial y revisa que nadie haya entrado por ti.
  • Reporta el fraude. Llama a INCIBE 017 para que te orienten sobre los siguientes pasos y, si procede, denúncialo ante la Policía Nacional o la Guardia Civil.
  • Guarda las pruebas. Capturas del SMS o correo, el número que llamó, la hora. Todo suma para la denuncia y para alertar a la comunidad.

Y aquí entra en juego algo que está en tu mano: reportar el número. Cuando compartes el teléfono desde el que intentaron engañarte, ayudas a que la siguiente persona que reciba esa llamada vea de inmediato que es sospechosa.

La defensa colectiva: comprobar y reportar

Verificar tu notificación es defensa individual. Reportar el número que la usó es defensa colectiva. Las dos cuentan.

En NoCall mantenemos un directorio público alimentado por la comunidad. Antes de devolver una llamada sospechosa, puedes comprobar el número en nuestro directorio de números spam y ver si otras personas ya lo han marcado como fraude. Si quieres entender mejor cómo se reparten estas amenazas, echa un vistazo a las tendencias del spam telefónico o a nuestra colección de guías prácticas para protegerte en el día a día.

En resumen, quédate con esto: Hacienda y la Seguridad Social te avisan, pero te dejan a ti la iniciativa de entrar en su sede; nunca te piden claves ni IBAN por SMS, correo o llamada; y ante cualquier duda, la verificación pasa por la Sede Electrónica de la AEAT, el portal de la Seguridad Social, el 060 o el 017 de INCIBE. La dirección la escribes tú. Esa simple costumbre desactiva la inmensa mayoría de estos fraudes.

Si has recibido un mensaje o una llamada haciéndose pasar por Hacienda o la Seguridad Social, repórtalo en NoCall. Tu aviso ayuda a que toda la comunidad esté un paso por delante.

¿Has recibido una llamada sospechosa?

Busca el número en NoCall antes de compartir datos, devolver la llamada o abrir cualquier enlace.

Busca un número o el nombre de una empresa (Iberdrola, Movistar y Vodafone...) para comprobar si ha sido reportado como spam.

Cómo verificar una notificación de Hacienda o la Seguridad Social | NoCall