La Agencia Tributaria te ha enviado una notificación. O eso dice el correo que acaba de llegar. El asunto, el logo, el tono administrativo: todo encaja. Pero algo te chirría. Y tienes razón en dudar.
El problema explotó el 12 de febrero de 2026 cuando el INCIBE alertó de una campaña masiva que suplanta las notificaciones oficiales de Hacienda imitando la DEHú con precisión inédita. Justo cuando arranca la temporada de la Renta 2025, los estafadores disparan millones de mensajes para robarte las credenciales. Distinguir la notificación real del fraude es, ahora mismo, lo más urgente que puedes hacer.
Qué es realmente la DEHú y por qué importa
La Dirección Electrónica Habilitada Única es el buzón oficial donde Hacienda deposita sus notificaciones. Sin papel, sin sorpresas postales, sin intermediarios. Autónomos y empresas están obligados a usarla; los particulares pueden recibirlas ahí también.
El sistema funciona así: Hacienda sube la notificación y tú recibes un aviso por correo diciéndote que tienes algo pendiente. Ese correo no contiene la notificación, solo te avisa. Para leerla, entras directamente en la web oficial, nunca desde un enlace del email.
El plazo crítico son 10 días naturales para comparecer desde que está disponible. Si no la abres, Hacienda te da por notificado y el procedimiento sigue. Por eso la gente entra en pánico cuando llega el aviso, y los estafadores lo explotan.
Ese vídeo muestra cómo distinguir el correo legítimo del fraudulento con un vistazo al remitente.
Por qué esta estafa arrasa ahora mismo
Esta campaña alcanzó en febrero de 2026 una escala sin precedentes. El INCIBE emitió alerta el 12 de febrero, la Guardia Civil se sumó días antes y los medios nacionales la llevaban cubriendo desde principios de mes.
Los datos que explican el tamaño del problema:
- Campaña activa documentada desde el 4 de febrero de 2026, con distribución masiva en 72 horas
- Dominios fraudulentos como
dehu-notificaciones.comimitan el oficialdehu.redsara.es - La estafa coincide con la temporada de la Renta 2025, cuando más contribuyentes esperan avisos reales
- Entre el 2-4% de receptores pinchan el enlace falso, según datos históricos de Europol
El timing no es casualidad: en febrero, millones de españoles están pendientes de cualquier comunicación de Hacienda.
Cómo afecta a quien cae en la trampa
Frente a este escenario, el daño no se limita a perder una contraseña. Quien introduce sus datos en la web falsa entrega acceso completo a su buzón tributario: declaraciones de la Renta, datos de ingresos, información bancaria registrada y comunicaciones con Hacienda.
Con ese acceso, los delincuentes pueden presentar declaraciones fraudulentas en tu nombre, desviar devoluciones a cuentas ajenas o vender tus datos fiscales en mercados digitales.
Este vídeo muestra en tiempo real cómo luce uno de estos correos falsos y por qué engaña incluso a usuarios experimentados.
Lo que hace especialmente peligrosa esta campaña es la sofisticación técnica: los correos no tienen errores ortográficos, replican plantillas oficiales con precisión milimétrica y las webs fraudulentas muestran hasta candado SSL, ese icono que antes era señal de seguridad.
Qué revela sobre el fraude digital en 2026
Más allá del robo puntual, esta oleada revela algo importante: los estafadores ya usan inteligencia artificial generativa para clonar el tono exacto de las comunicaciones administrativas. Ya no hay errores groseros que delaten el engaño.
Esto marca un antes y un después. Hasta 2025, "revisa la ortografía" era consejo suficiente. En 2026, el correo falso puede ser más pulido que el original. La defensa ya no es estética, es estructural: nunca introduzcas credenciales desde un enlace de correo, sin excepción.
Por eso organismos como el INCIBE, la Guardia Civil y la OCU emitieron alertas simultáneas en la misma semana: el nivel de sofisticación superó el umbral que justifica una respuesta coordinada, algo que no había ocurrido antes a esta escala.
Disipando dudas que todos tenemos
Las preguntas se repiten cada vez que llega uno de estos avisos:
P: ¿Hacienda nunca envía enlaces en sus correos?
R: Puede avisar de que tienes notificación, pero nunca envía un enlace para introducir tus credenciales.
P: ¿Cómo sé si el correo es real sin pinchar?
R: Revisa el dominio del remitente: solo @agenciatributaria.gob.es es oficial, cualquier variación es fraude.
P: ¿Y si ya pinché y metí mis datos?
R: Cambia las credenciales de Cl@ve inmediatamente, llama al INCIBE (017) y denuncia.
P: ¿Puedo verificar notificaciones reales pendientes?
R: Sí, entra directamente en dehu.redsara.es sin usar ningún enlace de correo.
Qué pasará con este fraude los próximos meses
Mirando adelante, la campaña no va a remitir. Los próximos picos llegarán en junio de 2026, cuando vence el plazo de la Renta 2025, y en diciembre con el cierre fiscal. Los delincuentes seguirán afinando sus herramientas de IA para que los correos sean cada vez más indistinguibles.
La única respuesta eficaz es el hábito: entra siempre a la DEHú desde dehu.redsara.es, jamás desde un enlace recibido por email. Guárdalo en favoritos. Ese gesto solo neutraliza el 100% de estos ataques, por sofisticados que sean.
Ante cualquier duda, la Agencia Tributaria tiene el teléfono 901 33 55 33 para verificar comunicaciones. Pero la regla que nunca falla es más simple: si el correo te pide credenciales con urgencia, es el robo. Siempre.
