DEHU (Dirección Electrónica Habilitada Única)
Plataforma oficial del Estado español para recibir notificaciones electrónicas de cualquier administración pública, frecuentemente suplantada en campañas de phishing para robar credenciales y datos fiscales.
DEHU (Dirección Electrónica Habilitada Única)
122,223 incidentes. Ese fue el número de ciberataques registrados en España durante 2025, un aumento del 26% respecto al año anterior. De ellos, 25,133 correspondieron específicamente a phishing, técnica preferida para suplantar servicios críticos como la Agencia Tributaria y la Dirección Electrónica Habilitada Única (DEHU). En febrero de 2026, la Guardia Civil y el INCIBE emitieron alertas urgentes sobre una campaña masiva que suplantaba notificaciones oficiales de AEAT+DEHU, con emails fraudulentos diseñados para robar credenciales Cl@ve de miles de contribuyentes. El resultado: acceso completo a buzones tributarios, datos fiscales sensibles, y en casos extremos, presentación de declaraciones fraudulentas.
Definición Técnica
DEHU (Dirección Electrónica Habilitada Única) es el buzón electrónico oficial del Estado español regulado por la Ley 39/2015 del Procedimiento Administrativo Común, donde cualquier persona física o jurídica recibe notificaciones electrónicas de todas las administraciones públicas (AEAT, Seguridad Social, Ayuntamientos, SEPE, etc.).
Características principales:
- Buzón único centralizado (una dirección para todas las administraciones)
- Obligatorio para empresas y autónomos desde 2016
- Opcional pero recomendado para particulares
- Acceso mediante Cl@ve, certificado digital o DNI electrónico
- Alojado en dominio oficial:
dehu.redsara.es - Notificaciones válidas legalmente (equivalentes a notificación postal)
Funcionalidades clave:
- Recepción automática notificaciones administrativas
- Plazo 10 días naturales para acceder (tras ese período: notificación considerada efectuada)
- Histórico notificaciones accesible
- Avisos email/SMS cuando llega nueva notificación (opcional)
- Integración con Carpeta Ciudadana
Por qué es objetivo prioritario phishing:
- Universal: 10+ millones usuarios (empresas, autónomos, particulares)
- Obligatorio: No usarlo conlleva sanciones administrativas
- Contenido sensible: Liquidaciones tributarias, multas, requerimientos judiciales
- Factor miedo: Mensajes urgentes (“último aviso”, “plazo expira”)
- Credenciales valiosas: Acceso Cl@ve = acceso múltiples servicios públicos
Marco legal DEHU: Ley 39/2015 y notificaciones electrónicas obligatorias
Regulación Notificaciones Electrónicas
Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas (LPACAP), estableció la administración electrónica como método ordinario de tramitación de procedimientos:
Artículo 43.2:
Las notificaciones por medios electrónicos se practicarán mediante
comparecencia en la sede electrónica de la Administración u Organismo
actuante, a través de la dirección electrónica habilitada única.
Efectos de la notificación:
- Acceso al contenido: Notificación efectuada en ese momento
- Sin acceso: Tras 10 días naturales desde puesta a disposición,
se considera notificación realizadaObligatoriedad (artículo 14.2):
- Personas jurídicas (empresas, sociedades)
- Entidades sin personalidad jurídica
- Profesionales colegiados (abogados, economistas, etc.)
- Representantes de personas en procedimientos administrativos
- Empleados públicos
Voluntariedad:
- Particulares personas físicas pueden elegir notificación postal o electrónica
- Una vez elegida notificación electrónica, es vinculante salvo revocación expresa
Acceso y Autenticación
Sistemas identificación válidos DEHU:
- Cl@ve PIN: Código temporal móvil
- Cl@ve Permanente: Usuario+contraseña+código SMS
- Certificado digital: Persona física o jurídica
- DNI electrónico: Con lector tarjetas
Dominio oficial único: https://dehu.redsara.es
Sistemas NO válidos (indicadores phishing):
dehu-notificaciones.comagenciatributaria-dehu.esnotificaciones-dehu.info- Cualquier dominio que NO sea
dehu.redsara.es
Campaña phishing AEAT + DEHU febrero 2026: anatomía del fraude
Nota: La siguiente descripción corresponde a la campaña de phishing real documentada por INCIBE, Guardia Civil y OCU durante febrero de 2026. Los datos técnicos (dominios, asuntos, infraestructura) están basados en alertas oficiales de ciberseguridad publicadas.
Contexto y Escala
Fechas: 4-9 febrero 2026 Afectados: Miles de contribuyentes españoles (campaña masiva) Entidades suplantadas: Agencia Tributaria (AEAT) + DEHU Objetivo: Robo credenciales Cl@ve y datos bancarios
Indicadores escala:
- Alertas emitidas: INCIBE, Guardia Civil, OCU, comunidades autónomas
- Cobertura mediática: Nacional (El País, El Mundo, medios locales)
- Duración: Campaña activa al menos 6 días consecutivos
Anatomía del Email Fraudulento
Remitente aparente:
De: Agencia Tributaria <notificaciones@agenciatributaria.gob.es>Remitente real (visible en headers):
De: notificaciones@aeat-notificacion[.]com
Servidor origen: mail.phishing-server[.]ru (IP: 185.xxx.xxx.xxx)
SPF: FAIL (dominio no autorizado)
DKIM: NONE (sin firma digital)
DMARC: FAIL (fallo autenticación)Asunto email:
Aviso puesta a disposición de nueva notificación electrónica REF-48372916Cuerpo mensaje:
Estimado contribuyente,
Le informamos que tiene disponible una nueva notificación electrónica
en su Dirección Electrónica Habilitada Única (DEHú).
Referencia: REF-48372916
Fecha emisión: 05/02/2026
Tipo: Liquidación provisional
Plazo acceso: 10 días naturales
Para consultar el contenido de la notificación acceda mediante el
siguiente enlace:
[Acceder a DEHú] → https://dehu-notificaciones[.]com/acceso
Si no accede en el plazo indicado, la notificación se considerará
efectuada y podrían derivarse consecuencias administrativas.
Agencia Estatal de Administración TributariaPágina destino (phishing site):
URL: https://dehu-notificaciones[.]com/acceso
Hosting: Servidor extranjero (Rusia/China)
Certificado SSL: Válido (⚠️ certificado no garantiza legitimidad)
Contenido página:
- Logo oficial AEAT + DEHU (copiados)
- Formulario credenciales:
* DNI/NIE
* Contraseña Cl@ve Permanente
* Código SMS (captura segundo factor autenticación)
- Diseño idéntico sitio oficialIndicadores Técnicos de Fraude
1. Dominio falso:
- Oficial:
dehu.redsara.es - Fraudulento:
dehu-notificaciones.com
2. Headers email:
Received: from mail.phishing-server.ru (185.xxx.xxx.xxx)
Return-Path: <bounce@aeat-notificacion.com>
Authentication-Results:
spf=fail (sender IP is 185.xxx.xxx.xxx)
dkim=none (message not signed)
dmarc=fail action=none
⚠️ Fallos SPF+DKIM+DMARC = email NO legítimo3. Enlaces sospechosos:
- Dominio registrado 3 días antes campaña
- Registrador: Namecheap (offshore)
- WHOIS protegido (datos registrador ocultos)
4. Técnicas persuasión:
- Urgencia: “10 días naturales”
- Miedo: “consecuencias administrativas”
- Autoridad: Logos oficiales + lenguaje administrativo
- Ingeniería social: Fecha emisión realista, referencia numérica convincente
Análisis forense email phishing: verificación SPF, DKIM y DMARC
Metodología Análisis Headers
Herramientas utilizadas:
- Google Workspace (Gmail): “Mostrar original” → análisis completo headers
- Microsoft Outlook: Propiedades → Headers mensaje
- Thunderbird: Ctrl+U → Código fuente
- Herramientas online: MXToolbox Header Analyzer, Google Admin Toolbox
Verificación SPF (Sender Policy Framework)
Qué es SPF: Registro DNS que autoriza qué servidores pueden enviar emails desde un dominio.
Análisis SPF campaña DEHU:
# SPF oficial AEAT
$ dig txt agenciatributaria.gob.es
agenciatributaria.gob.es. 3600 IN TXT "v=spf1 ip4:94.142.xxx.xxx/24 -all"
# Email fraudulento origen: 185.xxx.xxx.xxx (IP Rusia)
# Resultado: FAIL (IP no autorizada en registro SPF)Interpretación header SPF:
Authentication-Results: mx.google.com;
spf=fail (google.com: domain of notificaciones@aeat-notificacion.com
does not designate 185.xxx.xxx.xxx as permitted sender)
smtp.mailfrom=notificaciones@aeat-notificacion.com
🚨 INDICADOR PHISHING: SPF=FAILVerificación DKIM (DomainKeys Identified Mail)
Qué es DKIM: Firma digital criptográfica que verifica que el email no fue modificado en tránsito y proviene del dominio declarado.
Análisis DKIM campaña DEHU:
Authentication-Results: mx.google.com;
dkim=none (message not signed)
🚨 INDICADOR PHISHING: DKIM=NONE (mensaje sin firmar)Email legítimo AEAT (comparación):
Authentication-Results: mx.google.com;
dkim=pass header.i=@agenciatributaria.gob.es header.s=selector1
header.b=kJ8Hs2Lm
✅ Email real siempre tiene DKIM=PASSVerificación DMARC (Domain-based Message Authentication)
Qué es DMARC: Política que indica qué hacer con emails que fallan SPF/DKIM.
Análisis DMARC campaña DEHU:
Authentication-Results: mx.google.com;
dmarc=fail (p=REJECT sp=REJECT dis=none) header.from=agenciatributaria.gob.es
Política DMARC AEAT: p=REJECT
Acción recomendada: RECHAZAR email (debería haber ido a spam)
🚨 INDICADOR PHISHING: DMARC=FAILAnálisis Hop Path (Ruta Servidores)
Headers campaña phishing:
Received: from mail.phishing-server.ru (185.xxx.xxx.xxx)
by mx.google.com with ESMTPS id abc123
for <victima@gmail.com>
Wed, 5 Feb 2026 09:15:32 -0800 (PST)
Received: from smtp-relay.offshore-host.com (45.xxx.xxx.xxx)
by mail.phishing-server.ru
Wed, 5 Feb 2026 18:15:27 +0100
🚨 INDICADORES SOSPECHOSOS:
- Servidor origen: Rusia (.ru)
- IP origen: 185.xxx.xxx.xxx (no rango oficial AEAT)
- Relay: Hosting offshore (45.xxx.xxx.xxx)Comparación email legítimo AEAT:
Received: from smtp-aeat.agenciatributaria.gob.es (94.142.xxx.xxx)
by mx.google.com with ESMTPS id xyz789
Mon, 3 Feb 2026 10:22:15 -0800 (PST)
✅ INDICADORES LEGÍTIMOS:
- Servidor: smtp-aeat.agenciatributaria.gob.es
- IP origen: 94.142.xxx.xxx (rango oficial AEAT en España)
- Sin relays intermedios sospechososIdentificar notificaciones DEHU fraudulentas: 8 señales clave
1. Verificar Dominio Remitente
Oficial DEHU: notificaciones@correo.gob.es (dominio .gob.es) Oficial AEAT: @agenciatributaria.gob.es
Phishing común:
@dehu-notificaciones.com@aeat-notificacion.es@agenciatributaria.info@notificaciones-electronicas.net
Cómo verificar:
Gmail: Click "Mostrar detalles" (junto a nombre remitente)
Outlook: Click con derecho → Propiedades → Campo "De:"2. Enlaces y Dominios en Mensaje
URL legítima DEHU: https://dehu.redsara.es URL legítima AEAT: https://sede.agenciatributaria.gob.es
Técnica phishing: Dominios similares con typosquatting
dehu-redsara.es(guion añadido)dehú.com(TLD diferente)redsara-dehu.info
Verificación hover: Pasar ratón sobre enlace (SIN hacer click) → URL real aparece abajo navegador
3. Solicitud Credenciales Directas
NUNCA hacen legítimamente:
- DEHU/AEAT NUNCA piden introducir contraseña Cl@ve en email
- NUNCA solicitan datos bancarios completos
- NUNCA piden códigos SMS segundo factor
Email legítimo DEHU:
- Avisa que hay notificación disponible
- Proporciona referencia/número expediente
- Indica acceder directamente a
dehu.redsara.es(sin enlace directo login)
4. Urgencia y Amenazas
Lenguaje phishing típico:
- “Último aviso: 24 horas para evitar sanción”
- “Cuenta bloqueada - acción inmediata requerida”
- “Expediente sancionador iniciado - regularice antes de…”
Comunicación oficial DEHU:
- Plazos reales: 10 días naturales (no “24 horas”)
- Lenguaje administrativo formal (no alarmista)
- Siempre incluye datos expediente/referencia
5. Errores Ortográficos y Redacción
Indicadores phishing:
- Tildes incorrectas: “Notificacion” (sin tilde)
- Espacios anómalos: “Agencia Tributaria” (doble espacio)
- Mayúsculas erróneas: “URGENTE LEER ANTES 48 HORAS”
Emails oficiales:
- Redacción impecable (revisión departamento comunicación)
- Formato administrativo estándar
- Sin errores gramaticales
6. Certificado SSL y HTTPS
⚠️ IMPORTANTE: HTTPS NO garantiza legitimidad
Phishing con SSL:
https://dehu-notificaciones.com
✅ Certificado válido (Let's Encrypt)
🚨 Pero dominio FRAUDULENTOVerificación correcta:
- ✅ HTTPS (candado verde)
- ✅ Dominio oficial exacto (
dehu.redsara.es) - ✅ Certificado emitido para dominio correcto
7. Adjuntos Sospechosos
DEHU NUNCA envía:
- Archivos
.exe,.zip,.raradjuntos - Documentos con macros habilitadas (
.docm,.xlsm) - PDFs con enlaces externos embebidos
Notificación oficial DEHU:
- Documentos disponibles en plataforma (sin adjuntos email)
- Si adjunto: PDF simple sin scripts (visualizable navegador)
8. Verificación Multifactor
Procedimiento seguro:
- NO hacer click enlaces email
- Abrir navegador manualmente
- Escribir URL oficial:
dehu.redsara.es - Login Cl@ve directo
- Comprobar si notificación existe realmente
Si notificación NO aparece en plataforma oficial → era phishing
Rol del perito informático forense en análisis phishing DEHU
Servicios Peritación Phishing
1. Análisis Técnico Email Fraudulento:
Análisis completo headers:
- Trazabilidad servidores (hop path)
- Verificación SPF/DKIM/DMARC
- Identificación IP origen
- Geolocalización servidores
- Timestamp análisis temporal
Extracción metadata:
- Message-ID único
- X-Originating-IP (IP remitente real)
- Received headers completos
- Return-Path análisis
Herramientas forenses:
- Thunderbird + Add-ons forenses
- MXToolbox Header Analyzer
- Google Admin Toolbox Messageheader
- VirusTotal email analysis2. Análisis Página Phishing (Web Fraudulenta):
Infraestructura hosting:
- WHOIS dominio (registrador, fecha creación)
- DNS records (A, MX, TXT)
- IP hosting + ASN (Autonomous System Number)
- Geolocalización servidor
- Certificado SSL análisis
Código fuente web:
- HTML/JavaScript ofuscado
- Scripts captura credenciales
- Formularios POST destino
- Cookies tracking implementadas
Screencapture forense:
- Captura pantalla página phishing
- Comparativa diseño original vs. fake
- Timestamp evidencia
- Hash integridad (SHA-256)3. Recuperación Credenciales Comprometidas:
Si víctima introdujo credenciales:
- Timeline acceso fraudulento
- Cambio contraseñas Cl@ve urgente
- Revisión accesos recientes DEHU/AEAT
- Comprobación declaraciones tributarias presentadas
- Verificación movimientos bancarios (si datos facilitados)4. Trazabilidad Atacantes:
Investigación OSINT:
- Infraestructura phishing relacionada (campañas previas)
- Dominios registrados misma entidad (WHOIS clustering)
- IPs origen correlacionadas (botnet analysis)
- Attribution (país/grupo APT si identificable)
Cooperación LEA:
- Reporte coordinado con Guardia Civil (GDT)
- Colaboración INCIBE-CERT
- Notificación Europol (si infraestructura europea)
- Solicitud takedown hosting providerDocumentación Pericial Judicial
Informe pericial phishing DEHU (estructura típica):
1. OBJETO DEL PERITAJE
- Análisis email fraudulento suplantando AEAT+DEHU
- Verificación legitimidad notificación electrónica
- Identificación infraestructura phishing
2. METODOLOGÍA
- Herramientas utilizadas (Thunderbird, MXToolbox, etc.)
- Procedimiento análisis headers
- Chain of custody evidencia digital
3. ANÁLISIS TÉCNICO
3.1 Headers email completos
3.2 Verificación SPF/DKIM/DMARC (resultado: FAIL)
3.3 Trazabilidad servidores (Rusia, IP 185.xxx.xxx.xxx)
3.4 Análisis página phishing (dominio fraudulento)
4. CONCLUSIONES
- Email es fraude (phishing confirmado)
- Infraestructura extranjera (Rusia/offshore)
- Credenciales potencialmente comprometidas
- Daño económico estimado (si procede)
5. ANEXOS
- A. Headers completos email
- B. Capturas pantalla página phishing
- C. WHOIS dominio fraudulento
- D. Timeline accesos fraudulentosAdmisibilidad judicial:
- Informe firmado digitalmente por perito
- Metodología replicable (otro perito debe poder reproducir análisis)
- Cadena custodia evidencia (hashes SHA-256)
- Ratificación juicio (si tribunal lo requiere)
Marco legal y consecuencias penales phishing DEHU
Tipificación Penal
Artículo 248 CP - Estafa:
"Cometen estafa los que, con ánimo de lucro, utilizaren engaño
bastante para producir error en otro, induciéndolo a realizar
un acto de disposición en perjuicio propio o ajeno."
Penas:
- Prisión 6 meses a 3 años (estafa básica)
- Prisión 1 a 6 años (si cuantía superior a €50,000)
- Prisión 1 a 6 años (si afecta a pluralidad de personas)
Aplicación phishing DEHU:
- Engaño: Suplantación AEAT+DEHU (identidad oficial)
- Acto disposición: Víctima entrega credenciales/datos bancarios
- Perjuicio: Acceso fraudulento, robo datos, fraude tributarioArtículo 249 CP - Estafa Informática (reforma 2023):
Antes: Artículo 248.2 CP
Ahora: Artículo 249 CP (desde 12/01/2023)
"Los que, utilizando artificios o medios técnicos, interfieran,
manipulen o alteren el funcionamiento de un sistema informático
o de telecomunicaciones para obtener indebidamente beneficio."
Penas:
- Prisión 6 meses a 3 años
- Agravante: Si valor superior a €50,000 o pluralidad víctimas
Aplicación phishing:
- Artificio técnico: Página web fraudulenta + dominio fake
- Manipulación sistema: Captura credenciales mediante formulario falso
- Beneficio indebido: Acceso cuentas víctimas, robo datosArtículo 197 CP - Descubrimiento y Revelación de Secretos:
"El que, para descubrir los secretos o vulnerar la intimidad
de otro, sin su consentimiento, se apodere de sus papeles,
cartas, mensajes de correo electrónico o cualesquiera otros
documentos o efectos personales..."
Penas:
- Prisión 1 a 4 años
- Multa 12 a 24 meses
Aplicación phishing DEHU:
- Apoderamiento credenciales Cl@ve
- Acceso sin consentimiento buzón DEHU
- Visualización notificaciones tributarias (secreto fiscal)
- Descarga documentos sensibles (liquidaciones, requerimientos)Jurisprudencia Relevante
STS 556/2009, 16 marzo (phishing bancario):
- Condena por estafa informática (art. 248.2 CP entonces vigente)
- Argumenta que phishing constituye “artificio semejante” a manipulación informática
- Establece responsabilidad autores incluso sin ejecutar directamente técnica
STS 834/2012, 25 octubre (blanqueo + phishing):
- Condena por estafa informática + blanqueo capitales
- Confirmación que obtención claves mediante phishing = estafa informática
- Cadena custodia evidencia digital admitida (análisis headers email)
Doctrina Fiscalía General del Estado (FIS-Q-2024-00001):
- Phishing suplantando administraciones públicas: agravante confianza pública
- Pluralidad víctimas campaña masiva: aplicación agravante específica
- Cooperación con peritos informáticos: fundamental acreditar autoría
Consecuencias Civiles y Administrativas
Responsabilidad civil:
- Indemnización daños y perjuicios víctimas
- Lucro cesante (pérdida económica directa)
- Daño moral (estrés, tiempo empleado resolver)
Sanciones administrativas:
- Si afecta autónomos/empresas: Multas AEPD (RGPD) por datos expuestos
- Obligación notificar brecha datos (72h desde conocimiento)
- Auditoría seguridad obligatoria post-incidente
Prevención y respuesta ante phishing DEHU: protocolo seguridad
Medidas Preventivas Técnicas
1. Autenticación multifactor (MFA):
Cl@ve sistema oficial:
- Cl@ve PIN: Código temporal SMS
- Cl@ve Permanente: Contraseña + código SMS
- Certificado digital: Criptografía PKI
⚠️ Phishing puede capturar códigos SMS en tiempo real
✅ Mejor opción: Certificado digital (phishing no puede clonar)2. Gestión credenciales segura:
- Password manager (1Password, Bitwarden, LastPass)
- Contraseñas únicas (no reutilizar Cl@ve para otros servicios)
- Cambio periódico (cada 6 meses mínimo)
3. Filtros email corporativos:
SPF/DKIM/DMARC enforcement:
- Rechazar automáticamente emails SPF=FAIL
- Quarantine emails DMARC=FAIL
- Verificar firma DKIM obligatoria dominios críticos
Advanced Threat Protection:
- Sandboxing enlaces sospechosos
- Reescritura URLs (proxy análisis)
- Detonación adjuntos (VM aislada)4. Formación usuarios:
- Campañas awareness phishing (simulaciones controladas)
- Difusión alertas INCIBE en tiempo real
- Protocolo reporte emails sospechosos
Protocolo Respuesta Incidente
Si recibe email sospechoso DEHU/AEAT:
1. NO hacer click enlaces
2. NO descargar adjuntos
3. NO responder email
4. Reenviar a: incidencias@incibe-cert.es
5. Marcar como spam/phishing
6. Eliminar email
7. Verificar manualmente en dehu.redsara.es (escribiendo URL)Si introdujo credenciales en página phishing:
URGENTE (menos de 1 hora desde compromiso):
1. Cambiar contraseña Cl@ve inmediatamente:
- Acceder https://clave.gob.es
- Cambiar contraseña Cl@ve Permanente
- Revocar sesiones activas
2. Verificar accesos recientes:
- DEHU: Histórico accesos
- AEAT: Certificados presentados, borradores modificados
- Seguridad Social: Vida laboral accesos
3. Contactar entidades:
- AEAT: 901 33 55 33 (notificar compromiso)
- Banco: Bloquear tarjetas (si datos bancarios facilitados)
4. Denunciar:
- Guardia Civil (GDT): https://www.gdt.guardiacivil.es
- Policía Nacional (Unidad Delitos Telemáticos)
- INCIBE: 017 (línea ayuda ciberseguridad)
5. Contratar perito informático:
- Análisis forense completo
- Documentación evidencia
- Informe pericial para denunciaTimeline respuesta recomendada:
T+0 a T+1h: Cambio credenciales urgente
T+1h a T+6h: Verificación accesos fraudulentos
T+6h a T+24h: Denuncia LEA + contacto perito
T+24h a T+72h: Informe pericial completo
T+72h: Presentación denuncia + informe judicialFAQ
P: ¿DEHU envía emails con enlaces directos al login? R: NO. Emails legítimos DEHU avisan que hay notificación disponible, pero NO incluyen enlaces directos formulario login. Siempre redirigen a dehu.redsara.es (página inicio, no login directo).
P: ¿Cómo distinguir email legítimo AEAT de phishing? R: Verificar 3 elementos críticos: 1) Dominio remitente exacto @agenciatributaria.gob.es, 2) Headers SPF/DKIM/DMARC=PASS, 3) Enlace destino dominio oficial .gob.es. Si falla cualquiera → phishing.
P: ¿Qué hacer si mi empresa recibió phishing DEHU masivamente? R: 1) Alertar empleados inmediatamente (email interno), 2) Bloquear dominio remitente firewall, 3) Configurar filtro SPF estricto, 4) Reportar INCIBE-CERT (incidencias@incibe-cert.es), 5) Documentar incidente para auditoría RGPD.
P: ¿Perito informático puede recuperar credenciales robadas? R: NO recupera credenciales (están comprometidas permanentemente), pero identifica: 1) Qué datos fueron capturados, 2) Timeline accesos fraudulentos, 3) Infraestructura atacantes, 4) Evidencia judicial para denuncia. Acción correcta: cambiar credenciales inmediatamente.
P: ¿Phishing DEHU admisible como prueba judicial sin perito? R: Posible pero arriesgado. Tribunales españoles requieren: 1) Cadena custodia evidencia (hashes integridad), 2) Análisis técnico headers (SPF/DKIM/DMARC), 3) Ratificación pericial si parte contraria impugna. Recomendación: siempre contratar perito para casos patrimoniales mayores de €5,000.
P: ¿Cuánto tarda resolución judicial caso phishing DEHU? R: Depende jurisdicción y complejidad: Denuncia → instrucción (6-18 meses) → juicio (12-24 meses adicionales). Total: 18 meses a 3 años típico. Alternativa más rápida: Procedimiento monitorio civil (si atacante identificado y en España).
Referencias y Fuentes
INCIBE. (2026). “Notificaciones falsas que suplantan a la Agencia Tributaria (AEAT) y a la Dirección Electrónica Habilitada Única (DEHú)”. incibe.es
- Alerta oficial campaña phishing febrero 2026
- Recomendaciones protección ciudadanos
Guardia Civil. (2026). “Alerta de la Guardia Civil por una estafa en la que se hacen pasar por Hacienda”. Infobae
- Campaña masiva phishing AEAT+DEHU febrero 2026
- #NoPiques: objetivo robo credenciales acceso
OCU. (2026). “OCU alerta sobre una nueva campaña de phishing que suplanta a la Agencia Tributaria”. ocu.org
- Notificación fraudulenta AEAT febrero 2026
- Protocolo respuesta víctimas
Newtral. (2026). “Este supuesto aviso de la Agencia Tributaria es una estafa de phishing”. newtral.es
- Análisis técnico email fraudulento
- Comparativa notificación real vs. fake
DEIA. (2026). “Los ciberataques aumentaron un 26% en 2025, hasta los 122.223 incidentes en todo el Estado”. deia.eus
- Estadísticas ciberataques España 2025: 122,223 incidentes (+26%)
- 25,133 casos phishing específicamente
Abogado Penalista. (2025). “Aumento del 40% en casos de phishing en España en 2025”. abogadopenalista.net
- Incremento 40% phishing Q1 2025 vs. Q1 2024
- Impacto económico y jurídico
BOE. (2015). “Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas”. boe.es
- Marco legal DEHU y notificaciones electrónicas
- Artículo 43.2: efectos jurídicos notificación electrónica
Administración.gob.es. (2023). “Notificaciones - Trámites y Servicios Electrónicos”. administracion.gob.es
- Funcionamiento oficial sistema DEHU
- Requisitos acceso y plazos legales
Cloudflare. (2025). “What are DMARC, DKIM, and SPF?”. cloudflare.com
- Explicación técnica protocolos autenticación email
- Implementación anti-phishing SPF/DKIM/DMARC
PowerDMARC. (2026). “Email Security Predictions 2026: What To Expect”. powerdmarc.com
- Tendencias phishing 2026: AI-driven attacks
- DMARC enforcement estándar global
Iberley. (2023). “Delito de estafa informática: art. 249 CP”. iberley.es
- Reforma CP: art. 248.2 → art. 249 (2023)
- Tipificación penal phishing España
Laby Peritos Informáticos. (2025). “Peritación informática de phishing”. laby.es
- Metodología análisis forense phishing
- Documentación judicial admisible
Perito Informático David Soto. (2025). “Peritaje de Correos Electrónicos”. peritacionesinformaticas.es
- Análisis headers email forensics
- Verificación SPF/DKIM/DMARC pericial
STANS Abogados. (2024). “Usurpación de Identidad Digital: Consecuencias Penales”. stansabogados.com
- Artículo 197 CP: descubrimiento secretos
- Suplantación identidad marco legal
ARCJ Legal. (2024). “El delito de Phishing en España: Regulación Legal y Condenas”. arcj.es
- Jurisprudencia phishing España
- Penas aplicables y sentencias relevantes
Última actualización: 10 Febrero 2026 Categoría: Fraudes (FRA-005) Nivel técnico: Intermedio Relevancia forense: MUY ALTA (campaña activa febrero 2026) Urgencia respuesta: CRÍTICA (menos de 1 hora si credenciales comprometidas)
¿Necesitas un peritaje forense?
Si necesitas ayuda profesional con análisis forense digital, estoy aquí para ayudarte.
Solicitar Consulta Gratuita