VeriFactu, la revolución fiscal que inquieta a los expertos en ciberseguridad

La implantación del sistema VeriFactu, que transformará la facturación en España, ha generado preocupación entre los expertos en ciberseguridad. Aunque el modelo busca combatir el fraude fiscal y garantizar facturas verificables e inalterables, su despliegue abre la puerta a nuevos riesgos digitales para empresas y autónomos.

VeriFactu obliga a las compañías a utilizar programas que envíen en tiempo real cada factura a la Agencia Tributaria, asegurando su trazabilidad mediante un identificador único y un código QR. Sin embargo, esta interconexión directa también puede exponer los sistemas internos de las empresas si el software no está correctamente protegido o configurado.

Y es que la Agencia Tributaria no certifica las aplicaciones, sino que delega en los desarrolladores y usuarios la responsabilidad de cumplir los requisitos técnicos. Esto multiplica el riesgo de vulnerabilidades y errores de implementación.

PROGRAMAS FALSOS. Uno de los mayores peligros radica en la proliferación de software malicioso que se hace pasar por soluciones oficiales. Los ciberdelincuentes aprovechan la urgencia de adaptación para distribuir programas falsos que instalan malware capaz de robar datos fiscales, bancarios o personales.

También se han detectado campañas de phishing que suplantan a la Agencia Tributaria, ofreciendo enlaces a supuestas actualizaciones del sistema o módulos de conexión segura. De hecho, los fraudes digitales que se hacen pasar por la AEAT son cada vez más frecuentes, como ya advertimos en esta alerta sobre falsos SMS de la Agencia Tributaria.

RIESGOS EN LA TRANSMISIÓN Y ALMACENAMIENTO DE DATOS. Durante el envío automático de registros, los atacantes pueden ejecutar ataques de intermediario (MITM) para interceptar o manipular la información si la conexión no está cifrada correctamente.

Un fallo en la seguridad local, además, podría permitir el acceso no autorizado a facturas o datos de clientes antes de su envío, exponiendo información confidencial y abriendo la puerta a sanciones o fraudes.

DATOS FISCALES, EL NUEVO BOTÍN DIGITAL. Los sistemas de facturación manejan información especialmente sensible. Un atacante que logre vulnerar el software podría modificar o eliminar facturas, alterar importes o incluso ocultar operaciones, dañando la contabilidad y la reputación de la empresa. Por lo tanto, el riesgo no es solo económico: también hay implicaciones legales y de privacidad, al tratarse de datos personales y financieros.

En este sentido, no podemos olvidar que los ciberataques siguen siendo una amenaza constante. De hecho, según un reciente análisis sobre la evolución de los incidentes cibernéticos en 2025, los ataques graves se han reducido a la mitad, pero su frecuencia se mantiene prácticamente igual, lo que refuerza la necesidad de adoptar medidas preventivas.

CÓMO PROTEGERSE. Los expertos recomiendan aplicar criterios de ciberseguridad proactiva antes de la implantación del sistema:

• Usar software de facturación certificado o verificado por entidades de confianza.
• Realizar auditorías de seguridad periódicas para detectar vulnerabilidades.
• Formar al personal sobre las amenazas y los procedimientos seguros de uso.
• Mantener todos los sistemas actualizados con los últimos parches.

VeriFactu será obligatorio a partir de julio de 2026, aunque las empresas pueden adaptarse de forma voluntaria desde 2025. La transición promete eficiencia y transparencia, pero también exige responsabilidad y prudencia tecnológica.