Recibir un mensaje que parece venir de la Agencia Tributaria sigue poniendo nervioso a mucha gente, y no es raro. En plena campaña de la Renta o cuando hay trámites pendientes, cualquier correo o SMS con palabras como “notificación”, “reembolso”, “devolución” o “requerimiento” llama la atención enseguida. El problema es que los ciberdelincuentes lo saben y llevan tiempo aprovechándose de ello. La propia Agencia Tributaria mantiene en 2026 un apartado específico con campañas de phishing y smishing detectadas, y recuerda de forma expresa que nunca solicita por SMS o por correo electrónico información confidencial, económica o personal, ni números de cuenta o tarjeta.
Por eso, cuando alguien se pregunta si un mensaje de Hacienda es verdadero, en realidad debería hacerse dos preguntas distintas. La primera es si la Agencia Tributaria puede avisarte por ese canal. La segunda, mucho más importante, es si ese mensaje encaja con la forma en que la AEAT notifica de verdad y con las señales básicas de autenticidad. Porque sí, la Agencia puede enviar avisos informativos por SMS, correo electrónico o app, pero la notificación real se consulta entrando tú en la Sede electrónica o en la DEHú con identificación segura. Ahí está la diferencia que evita muchos sustos.
2. ¿Cómo te avisa la Agencia Tributaria?
La Agencia Tributaria puede avisarte de varias formas, pero no todas significan lo mismo. Por un lado están las notificaciones y comunicaciones que puedes consultar en la Sede electrónica de la AEAT, dentro de “Mis notificaciones”. Para entrar en ese apartado necesitas identificarte con certificado, DNIe o Cl@ve, y desde ahí puedes ver las pendientes, las ya leídas, las contestadas o las rechazadas. También puedes acceder a través de la Dirección Electrónica Habilitada Única (DEHú), que reúne notificaciones de la AEAT y de otras administraciones públicas integradas.
Por otro lado están los avisos informativos. La AEAT permite recibir avisos por SMS, por correo electrónico y también a través de la APP-AEAT. Esos avisos no son la notificación en sí, sino una especie de toque de atención para decirte que hay algo pendiente. En el caso de la DEHú, los avisos se envían al correo electrónico que hayas indicado en “Mis datos de contacto”, y puedes registrar hasta cinco direcciones de correo.
Además, no todo el mundo se relaciona con la AEAT del mismo modo. Hay colectivos obligados a recibir notificaciones electrónicas, como las sociedades anónimas, las sociedades limitadas, las entidades sin personalidad jurídica, los inscritos en el REDEME o los contribuyentes en el Registro de Grandes Empresas, entre otros. En esos casos, el alta en el sistema electrónico es automática y el acceso se hace por Sede o DEHú. Para esos obligados, las notificaciones pendientes pueden consultarse durante 10 días naturales y, si no se accede dentro de ese plazo, la notificación expira y se considera realizada a efectos del procedimiento.
En personas físicas no obligadas, la situación es algo más flexible. La AEAT explica que el acceso a determinadas notificaciones puede requerir Cl@ve, certificado o DNIe, y añade que, sin perjuicio de ese acceso electrónico, se enviará la notificación por correo postal siempre que no conste acceso electrónico previo a la impresión. Es decir, una carta sigue siendo un canal real y perfectamente válido de notificación para muchos contribuyentes.
3. ¿Qué significa el mensaje «La Agencia Tributaria ha emitido una notificación»?
Es un aviso, no la notificación completa
Ese texto no es inventado ni, por sí mismo, una señal de fraude. La AEAT recoge expresamente que, cuando se remite un aviso informativo sobre la existencia de una notificación, el texto es: “La Agencia Tributaria ha emitido una notificación dirigida al NIF XXX”, mostrando solo algunos dígitos del NIF por motivos de seguridad. O sea, ese mensaje sí existe dentro del sistema real de avisos.
Ahora bien, que el texto sea real no significa que cualquier mensaje que lo copie sea auténtico. Aquí está una de las trampas más habituales. Los ciberdelincuentes usan frases muy parecidas porque saben que suenan oficiales y generan urgencia. INCIBE advirtió en febrero de 2026 de una campaña de phishing que usaba asuntos como “Aviso puesta a disposición de nueva notificación electrónica REF-XXXXXXXX” para engañar a las víctimas y llevarlas a páginas fraudulentas que imitaban a la DEHú o a la propia AEAT.
Cómo se consulta de verdad esa notificación
Si recibes ese aviso y quieres comprobar si es auténtico, la forma correcta no es pinchar el enlace del mensaje, sino entrar tú en la Sede electrónica de la Agencia Tributaria o en la DEHú. La AEAT explica que en la DEHú no hace falta crear buzón ni registro previo, y que puedes identificarte con Cl@ve Móvil, Cl@ve PIN, Cl@ve Permanente, certificado, DNIe o identificadores extranjeros basados en eIDAS. Una vez dentro, puedes ver las notificaciones pendientes y acceder al detalle firmando electrónicamente la comparecencia.
También hay un matiz práctico importante: para acceder a la notificación no basta con el número de referencia de Renta. La AEAT indica expresamente que para acceder al contenido de la notificación se requiere Cl@ve, certificado electrónico o DNIe. Eso ya te da una pista muy útil para detectar engaños: si un SMS o un correo te promete ver la notificación directamente con un enlace rápido, sin pasar por una identificación segura o pidiéndote credenciales raras, mala señal.
¿La Agencia Tributaria le envía mensajes de texto?
Sí, la Agencia Tributaria puede enviar SMS, pero hay que entender bien qué tipo de mensajes son. La AEAT explica que, además de avisos por correo electrónico, también se habilita la recepción de avisos mediante teléfono móvil y a través de la APP-AEAT. Es decir, un SMS de la Agencia Tributaria no es imposible ni tiene por qué ser falso solo por llegar como mensaje de texto.
Pero aquí viene el matiz que lo cambia todo: la propia AEAT insiste en que nunca solicita por SMS o correo electrónico información confidencial, económica o personal, ni números de cuenta ni números de tarjeta. Tampoco adjunta anexos con información de facturas u otros datos de ese tipo. Y añade una recomendación muy clara: ante cualquier duda, accede directamente a la Sede electrónica y comprueba allí si tienes comunicaciones o notificaciones pendientes; no uses los enlaces contenidos en SMS o correos.
La razón de esta advertencia no es teórica. En 2026 la Agencia Tributaria ha documentado varias campañas de SMS fraudulentos con mensajes sobre reembolsos de impuestos, formularios de devolución o falsas notificaciones, todos ellos con enlaces que llevaban a webs que suplantaban la imagen de la AEAT y pedían datos personales o bancarios. Es decir, sí puede haber SMS reales de aviso, pero también hay muchas campañas falsas que usan exactamente ese canal para engañar.
¿Cómo saber si un mensaje de la Agencia Tributaria es verdadero?
La primera regla es no dejarte arrastrar por el tono del mensaje. Muchos fraudes funcionan porque meten prisa, miedo o la promesa de una devolución rápida. La comprobación correcta no es emocional, es técnica: salir del mensaje y entrar tú en la Sede electrónica o en la DEHú para ver si realmente existe una notificación. La AEAT lo recomienda expresamente cuando advierte de campañas de phishing y smishing.
Fíjate en el remitente, pero no te quedes solo ahí
Si el aviso es por correo electrónico, la AEAT indica que el remitente del aviso informativo será AgenciaTributaria@correo.aeat.es. Eso ayuda, pero no debe ser la única comprobación, porque los atacantes pueden usar direcciones que se parecen mucho o jugar con nombres visibles que suenan oficiales. INCIBE, por ejemplo, advirtió de campañas donde los correos estaban bien redactados y maquetados, pero el dominio del remitente no tenía relación con el oficial agenciatributaria.gob.es.
Mira qué te pide exactamente el mensaje
Esta es probablemente la señal más útil. La Agencia Tributaria dice de forma tajante que nunca te pedirá por SMS o email datos confidenciales, económicos o personales, números de cuenta o de tarjeta. Así que si un mensaje te pide rellenar un formulario con datos bancarios, introducir contraseñas, facilitar credenciales o descargar un fichero para ver una devolución o una notificación, la señal de alerta es muy seria.
Verifica cómo se accede de verdad a la notificación
Otra pista muy potente es recordar cómo funciona el acceso legítimo. Para ver una notificación real necesitas Cl@ve, certificado o DNIe, y el acceso se hace en la Sede o en la DEHú. INCIBE recuerda además que estas plataformas de la administración permiten el acceso por esos medios oficiales, no mediante credenciales improvisadas que te pidan en una web enlazada desde un correo sospechoso.
6. Señales de fraude que suelen repetirse
Una de las señales más repetidas es la promesa de un reembolso o una devolución con enlace directo. La AEAT ha publicado en 2026 varios ejemplos de campañas falsas con textos como “Reembolso de impuestos” o “Reembolso de impuestos aprobado”, todos ellos con enlaces a formularios fraudulentos. Ese patrón es tan frecuente que ya casi funciona como una plantilla del fraude tributario.
Otra señal muy común es que el mensaje use un tono muy oficial, incluso bien redactado, pero intente sacarte de los canales reales. INCIBE advirtió de correos que imitaban con bastante fidelidad la estética de la DEHú o de la AEAT y que, tras pedir usuario y contraseña, redirigían luego a la web legítima de la Agencia. Es decir, a veces el fraude no parece chapucero; precisamente por eso hay que desconfiar también de los mensajes “demasiado bien hechos” cuando empujan a meter credenciales fuera del circuito habitual.
También conviene desconfiar de adjuntos raros, supuestas facturas electrónicas o formularios de devolución que exigen descargar archivos o introducir contraseñas de correo. La AEAT documentó en marzo de 2026 una campaña de falso aviso de notificación de factura electrónica en la que se pedía el correo electrónico y su contraseña tras redirigir a una página que suplantaba la Sede.
7. Qué hacer si has pinchado o has dado datos
Si has recibido el mensaje pero no has pinchado ni facilitado información, lo más sensato es eliminarlo, bloquear al remitente y, si quieres ayudar a prevenir más casos, reenviarlo al canal de incidentes o usar el formulario de problemas de seguridad que mantiene la AEAT para phishing, smishing y fraudes similares. La propia Agencia enlaza ese formulario desde su página de campañas de suplantación de 2026.
Si ya has pinchado o has facilitado credenciales, INCIBE recomienda actuar rápido: guardar evidencias como capturas o enlaces, cambiar las credenciales si las reutilizas en otras cuentas, vigilar durante un tiempo si tus datos se usan de forma indebida y plantearte denunciar ante las Fuerzas y Cuerpos de Seguridad del Estado. También recuerda que su Línea de Ayuda en Ciberseguridad puede orientarte de forma personalizada.
Y si la duda es simplemente si había una notificación real o no, no hace falta adivinar. Entras tú en Área personal > Mis notificaciones de la Sede, o en la DEHú, te identificas por la vía oficial y lo compruebas. Esa es la manera buena de resolver la incertidumbre sin exponerte más.
8. Preguntas frecuentes
¿Puede ser verdadero un SMS de la Agencia Tributaria?
Sí, puede serlo como aviso informativo, pero no debe pedirte datos bancarios, contraseñas ni números de tarjeta. La AEAT admite avisos por SMS, email y app, pero insiste en que la comprobación debe hacerse entrando tú en la Sede o en la DEHú.
¿El mensaje “La Agencia Tributaria ha emitido una notificación…” es real?
Sí, ese texto existe como formato de aviso informativo de la AEAT. Aun así, los fraudes pueden copiarlo, así que no basta con reconocer la frase: hay que verificar la notificación en el canal oficial.
¿La Agencia Tributaria manda enlaces en SMS o correos?
Puede enviarte avisos, pero la recomendación oficial es no usar esos enlaces para comprobar si tienes una notificación. La propia AEAT pide acceder directamente a la Sede electrónica cuando haya dudas.
¿Cómo se ve una notificación real de Hacienda?
La forma segura es entrar en la Sede electrónica o en la DEHú e identificarte con Cl@ve, certificado o DNIe. En el caso de la DEHú, también se admiten identificadores eIDAS para ciudadanos de la UE.
¿Qué hago si no sé si el mensaje era falso?
No respondas, no introduzcas datos y comprueba tus notificaciones entrando tú mismo en la Sede o en la DEHú. Si además sospechas fraude, puedes usar el formulario de seguridad de la AEAT o seguir las recomendaciones de INCIBE.
