← Volver al blog
estafasciberseguridadsunat

Phishing SUNAT 2026: el correo que vacía tu cuenta empresarial en 5 minutos

Francisco Deza·

El correo que paraliza a cualquier dueño de negocio

Te llega un correo con el logo de SUNAT, asunto urgente: "Multa pendiente por declaración fuera de plazo" o "Notificación de fiscalización inmediata". Adentro un enlace o un PDF para "ver el detalle".

Tu corazón se acelera. SUNAT no es algo con lo que jugar. Haces clic.

Esa pequeña acción puede costarte el control de tu correo, tus contraseñas bancarias, y en pocos minutos, todo el saldo de la cuenta empresarial.

El phishing con apariencia de SUNAT es una de las estafas más efectivas en Perú porque juega con miedo legítimo: el de tener problemas fiscales.

Por qué los estafadores aman este truco

Los datos de RUC son públicos. Cualquier persona puede consultarlos en el portal de SUNAT y obtener:

  • Razón social de tu empresa
  • Tu correo registrado (si lo tienes activado)
  • Tu dirección fiscal
  • Datos del representante legal

Con esa información los estafadores arman correos hiper-personalizados. No es un correo genérico, viene con tu nombre, tu RUC, tu razón social y a veces hasta tu número de RUC bien escrito.

Esto baja todas las defensas mentales. "Si saben mi razón social, debe ser real."

Las 8 señales para detectar un correo falso de SUNAT

1. El dominio del remitente NO termina en sunat.gob.pe

Los correos reales de SUNAT siempre vienen de un dominio que termina en @sunat.gob.pe. Si el correo viene de @sunat-peru.com, @notificaciones-sunat.net, @sunat.gob.pe.info u otros parecidos, es estafa.

Cuidado: los estafadores usan dominios que parecen sunat pero no lo son. Lee la dirección completa, especialmente después del último punto.

2. Urgencia extrema en el asunto

"URGENTE", "ÚLTIMA NOTIFICACIÓN", "SUSPENSIÓN INMEDIATA", "ACCIÓN REQUERIDA EN 24 HORAS". SUNAT real usa lenguaje formal y plazos razonables (días o semanas, no horas).

3. Te piden hacer clic en un enlace para "ver el detalle"

SUNAT real publica las notificaciones en tu Buzón Electrónico al que accedes desde sunat.gob.pe. Nunca envía enlaces directos a documentos en correos.

4. Te adjuntan un PDF, ZIP o Word ejecutable

Los archivos pueden tener virus, ransomware o keyloggers. SUNAT real no envía archivos ejecutables por correo.

5. Te piden datos bancarios o credenciales para "regularizar"

SUNAT NUNCA pide tus contraseñas bancarias, datos de tarjeta, ni claves del banco por correo. Si te lo piden, es 100% estafa.

6. Errores ortográficos sutiles

Aunque cada vez son más profesionales, muchos correos falsos tienen errores: tildes mal puestas, "Ud." en mayúsculas raras, "S/." con espacios incorrectos. Léelo con atención.

7. Te amenazan con embargos inmediatos o cierre del negocio

SUNAT real tiene procesos formales largos. Un embargo no llega por correo de la nada. Si te amenazan con cerrarte el negocio mañana, es presión psicológica falsa.

8. El enlace al hacer hover NO va a sunat.gob.pe

Pon el cursor encima del enlace SIN hacer clic. En la esquina inferior de tu navegador o correo verás la URL real. Si no empieza con https://www.sunat.gob.pe, es falso.

Qué pasa si haces clic (paso a paso del ataque)

Caso A: El enlace lleva a una página falsa de SUNAT

Te pide ingresar tu Clave SOL para "ver la notificación". Pones tu usuario y contraseña, y el estafador ahora tiene acceso a tu cuenta real de SUNAT.

Con eso pueden cambiar tu correo registrado, ver tus declaraciones, descargar tus facturas electrónicas y suplantar a tu empresa.

Caso B: Descargas el archivo adjunto

El archivo instala silenciosamente un keylogger (registra todo lo que escribes) o un troyano (acceso remoto a tu PC). En las siguientes horas el estafador captura tus credenciales bancarias y vacía la cuenta.

Caso C: El enlace lleva a un sitio falso del banco

Te redirigen "para pagar la multa" y caes en una clonación perfecta del portal de tu banco. Pones tu clave, autorizas la transferencia y se acabó.

Cómo proteger tu negocio HOY

1. Capacita a quien revisa los correos del negocio

La mayoría de estafas exitosas no entran al dueño, entran a la asistente, al contador externo o a quien revisa el correo empresarial. Hazle leer este artículo a esa persona.

2. Activa autenticación en dos pasos en SUNAT y bancos

Aunque el estafador robe tu clave SOL, no podrá entrar sin el segundo factor (SMS o app de autenticación).

3. Verifica SIEMPRE en sunat.gob.pe directamente

Si recibes un correo sospechoso, abre tu navegador, escribe sunat.gob.pe manualmente, ingresa al Buzón Electrónico y verifica si la notificación existe ahí. Si no está en tu buzón oficial, es falso.

4. Configura filtros anti-phishing en tu correo

Gmail, Outlook y proveedores serios tienen filtros que bloquean phishing automáticamente. Verifica que estén activos. Reporta los correos sospechosos como phishing.

5. Usa correos separados para SUNAT y operación

Ten un correo dedicado solo para SUNAT, bancos y trámites oficiales. No lo uses para ofertas, suscripciones ni newsletters. Mientras menos lo expongas, menos phishing recibirás.

6. Implementa un protocolo de verificación financiera

Toda transferencia o pago derivado de un correo (sea de SUNAT, proveedor o cualquiera) debe verificarse por canal distinto antes de ejecutarse.

Qué hacer si caíste

Si ingresaste tu Clave SOL en un sitio falso

  1. Entra a sunat.gob.pe desde tu navegador y cambia tu Clave SOL inmediatamente.
  2. Revisa el historial de operaciones de tu RUC. Si ves algo raro, denúncialo.
  3. Activa la autenticación en dos pasos.

Si transferiste dinero

  1. Llama a tu banco de inmediato para reversar.
  2. Denuncia ante la DIVINDAT (Perú).
  3. Reporta el correo y dominio falso a SUNAT vía consulta@sunat.gob.pe.

Si descargaste un archivo sospechoso

  1. Desconecta el equipo de internet inmediatamente.
  2. Pasa un antivirus actualizado en modo escaneo profundo.
  3. Cambia todas las contraseñas desde OTRO dispositivo limpio.
  4. Idealmente, formatea el equipo y restaura desde backup.

Preguntas frecuentes

¿SUNAT alguna vez envía correos?

Sí, envía notificaciones de que tienes algo nuevo en tu Buzón Electrónico, pero NUNCA con enlaces directos ni adjuntos ejecutables. Solo dicen "ingrese a su Buzón Electrónico".

¿Puedo denunciar el phishing?

Sí, reenvía el correo completo a consulta@sunat.gob.pe y a phishing@spam.sunat.gob.pe. También puedes denunciar ante la DIVINDAT.

¿Mi antivirus me protege?

Parcialmente. Bloquea muchos enlaces conocidos como maliciosos, pero los estafadores rotan dominios constantemente. La mejor defensa es la atención humana.

¿Por qué reciben los correos en mi correo si es privado?

Los datos de RUC son públicos. Cualquier persona puede consultar tu correo si lo registraste como contacto. Considera tener un correo de RUC distinto al correo principal del negocio.

Conclusión

El phishing de SUNAT funciona porque ataca una preocupación real de todo empresario: tener problemas fiscales. Los estafadores lo saben y usan ese miedo a su favor.

La regla simple: SUNAT real no apura, no envía enlaces directos, no pide claves por correo, no amenaza con cerrarte el negocio mañana.

En FDev ayudamos a empresas a implementar protocolos prácticos contra phishing fiscal. Si quieres revisar la exposición de tu correo y dominios falsos similares al tuyo, hazlo gratis en CyberShield.

Compartir este artículo

💼 LinkedIn💬 WhatsApp𝕏 Post📘 Facebook

¿Tu empresa está protegida?

Escanea tu dominio gratis en 30 segundos

🔍 Escanear gratis

También te puede interesar

Deepfake del CEO: la estafa de $25 millones que arrasó en 2026 (y por qué tu negocio puede ser el siguiente)

Deepfake del CEO: la estafa de $25 millones que arrasó en 2026 (y por qué tu negocio puede ser el siguiente)

5 min de lectura

WhatsApp clonado: la estafa que arrasa en Perú, México y Colombia (3 señales para detectarla)

WhatsApp clonado: la estafa que arrasa en Perú, México y Colombia (3 señales para detectarla)

6 min de lectura

Las 7 estafas digitales más comunes en Perú en 2026 (y cómo no caer)

Las 7 estafas digitales más comunes en Perú en 2026 (y cómo no caer)

4 min de lectura