El SAT no pide datos por WhatsApp, SMS ni correo con links, y no cobra por trámites que son gratuitos. Aquí están todas las señales de fraude, los canales oficiales reales y los pasos exactos para verificar un mensaje y reaccionar si caíste.
¿El SAT manda mensajes por WhatsApp, SMS o correo con links?
No. El SAT no notifica adeudos, multas ni requerimientos por WhatsApp, SMS ni por correo electrónico con ligas para «pagar» o «descargar tu CFDI». El único canal oficial y con validez legal para notificaciones es el **Buzón Tributario**, regulado por el artículo 17-K del Código Fiscal de la Federación (CFF), al que entras con e.firma o contraseña directamente en el portal sat.gob.mx. Si recibes un mensaje con urgencia, una liga acortada o un archivo adjunto pidiendo tus datos, es un intento de fraude por suplantación de identidad (phishing).
La autoridad sí puede enviarte un aviso de cortesía por correo cuando tienes un documento nuevo en tu Buzón Tributario, pero ese aviso nunca incluye la notificación en sí, ni links de pago, ni te pide capturar contraseñas. Te dice que entres por tu cuenta al portal. Si revisas qué es el buzón tributario y cómo activarlo, vas a notar la diferencia de inmediato: lo real vive dentro del portal, no en tu bandeja.
¿Cuáles son las señales de que un mensaje del SAT es falso?
Un mensaje falso casi siempre combina tres ingredientes: urgencia («tienes 24 horas o se embarga»), un enlace para pagar o descargar algo, y una petición de datos personales (RFC, contraseña, datos bancarios o tu e.firma). El SAT real nunca te apura con amenazas inmediatas, nunca te manda un link de pago externo y nunca te pide tu contraseña o NIP. Revisa siempre el dominio: lo oficial termina en **sat.gob.mx** o **gob.mx**; cualquier variante como «sat-mx.com», «sat.gob.mx.pago.net» o «satmexico.org» es fraude.
Otras banderas rojas frecuentes: faltas de ortografía o acentos mal puestos, remitentes con dominios genéricos (gmail, hotmail, outlook), montos «de adeudo» que no reconoces, archivos .zip o .exe adjuntos, y supuestos «reembolsos» o «saldos a favor» que te piden datos bancarios para depositarte. Ante la duda, no hagas clic en nada: entra por tu cuenta al portal y verifica.
- Urgencia o amenaza inmediata («embargo en 24 h», «cancelación de RFC hoy»).
- Liga para «pagar», «descargar CFDI» o «validar datos» fuera de sat.gob.mx.
- Petición de contraseña, NIP, e.firma o datos bancarios.
- Dominio o remitente sospechoso (no termina en sat.gob.mx o gob.mx).
- Archivos adjuntos ejecutables (.exe, .zip, .scr) o macros.
- Promesa de «reembolso», «saldo a favor» o «devolución» que pide tu cuenta bancaria.
- Errores de ortografía, logos pixelados o saludos genéricos sin tu nombre o RFC.
Mensaje real vs. mensaje falso: ¿cómo se ven lado a lado?
La forma más rápida de no caer es comparar comportamientos. El SAT auténtico te dirige siempre a entrar por tu cuenta al portal con tus credenciales; el fraude te trae el link «ya listo» para que solo des clic. Esta tabla resume las diferencias que cuentan.
| Elemento | Mensaje REAL del SAT | Mensaje FALSO (fraude) |
|---|---|---|
| Canal | Buzón Tributario dentro de sat.gob.mx (art. 17-K CFF) | WhatsApp, SMS o correo con liga directa |
| Dominio | Termina en sat.gob.mx o gob.mx | sat-mx.com, satmexico.org, ligas acortadas |
| Datos que pide | Ninguno por mensaje; entras tú con e.firma o contraseña | Contraseña, NIP, e.firma, datos bancarios |
| Tono | Aviso de cortesía, sin amenazas | Urgencia, amenaza de embargo o cancelación de RFC |
| Pago | Se genera dentro del portal con línea de captura | Link externo de pago o transferencia inmediata |
| Adjuntos | No envía ejecutables ni te pide descargar archivos | Archivos .exe, .zip o documentos con macros |
¿Cuáles son los canales oficiales del SAT para notificar y atender?
Solo cuatro canales son oficiales: el portal **sat.gob.mx** (incluido el Buzón Tributario, único medio con validez legal para notificaciones según el art. 17-K del CFF), las oficinas presenciales con cita previa, la línea telefónica **MarcaSAT 55 627 22 728**, y los chats y correos de orientación que arrancan siempre desde el propio portal. Cualquier cosa fuera de estos canales debe tratarse como sospechosa hasta que la verifiques entrando por tu cuenta.
Para confirmar que tu situación con la autoridad está en orden sin depender de ningún mensaje, consulta tu opinión de cumplimiento directamente en el portal o usa nuestro verificador de opinión de cumplimiento. Si sale «positiva», no tienes adeudos pendientes: cualquier mensaje que diga lo contrario es, por definición, falso.
- Portal oficial: sat.gob.mx (y Buzón Tributario, art. 17-K CFF).
- MarcaSAT: 55 627 22 728 (orientación y citas).
- Oficinas del SAT con cita previa agendada en el portal.
- Chat y correo de orientación iniciados desde sat.gob.mx.
¿Cómo verifico si un mensaje del SAT es legítimo, paso a paso?
No respondas el mensaje ni hagas clic en sus ligas. En lugar de eso, abre tú mismo el navegador, escribe a mano sat.gob.mx, entra a tu Buzón Tributario con e.firma o contraseña y revisa si realmente existe la notificación. Si no hay nada en el buzón, el mensaje es falso. Este flujo de cuatro pasos te protege en cualquier caso.
- No hagas clic en ligas ni descargues adjuntos del mensaje recibido.
- Abre tú el navegador y escribe a mano sat.gob.mx (no copies el link del mensaje).
- Entra a tu Buzón Tributario con e.firma o contraseña y revisa si la notificación existe.
- Si tienes dudas, confírmalo por MarcaSAT (55 627 22 728) o con tu contador antes de pagar o responder nada.
¿Qué hago si ya hice clic o entregué mis datos?
Actúa rápido pero sin pánico. Si capturaste tu contraseña del SAT o tu e.firma en una página falsa, lo primero es cambiar tu contraseña del portal y, si crees que tu e.firma quedó comprometida, tramitar su revocación y renovación en el SAT. Si diste datos bancarios o hiciste una transferencia, llama de inmediato a tu banco para reportar el fraude y, si aplica, solicitar la reversión o el bloqueo de la tarjeta. Guarda capturas de pantalla de todo: el mensaje, el remitente y la página falsa.
Después, denuncia. Puedes reportar la suplantación al SAT desde su portal y presentar denuncia en la Policía Cibernética de la Guardia Nacional. Como cierre, conviene revisar que tu situación fiscal no haya quedado expuesta a otros riesgos: un diagnóstico de riesgo fiscal te ayuda a detectar focos rojos, y si quieres acompañamiento puedes escribirnos por WhatsApp.
- Cambia tu contraseña del portal del SAT; revoca y renueva tu e.firma si la entregaste.
- Llama a tu banco para reportar el fraude y bloquear tarjeta o reversar la operación.
- Toma capturas del mensaje, el remitente y la página falsa como evidencia.
- Denuncia ante el SAT y la Policía Cibernética de la Guardia Nacional.
- Revisa tu situación fiscal con un diagnóstico para descartar otros riesgos.
¿Por qué el Buzón Tributario es tu mejor defensa?
Porque concentra en un solo lugar, con validez legal, toda comunicación oficial del SAT. Según el artículo 17-K del CFF, las notificaciones que la autoridad te hace por Buzón Tributario surten efectos legales; nada de lo que llegue por fuera (WhatsApp, SMS, correos con links) los tiene. Tenerlo activo y revisado te da un punto de verdad: si algo no está ahí, no es del SAT. Aprende a configurarlo en nuestra guía de buzón tributario: qué es y cómo activarlo.
En Praxium lo vemos así: la mejor protección contra el fraude no es el miedo, es el orden. Cuando tu información fiscal está al día y revisas tus canales oficiales con periodicidad, un mensaje falso pierde toda su fuerza, porque ya sabes exactamente cómo se ve lo real. Si quieres que revisemos tu situación a fondo, conoce nuestros servicios.
Preguntas frecuentes
¿El SAT puede mandarme un correo electrónico legítimo?
Sí, pero solo como aviso de cortesía para decirte que tienes un documento nuevo en tu Buzón Tributario. Ese correo nunca incluye links de pago, no pide contraseñas ni datos bancarios y no contiene la notificación en sí. Para verla, entras por tu cuenta al portal sat.gob.mx con e.firma o contraseña.
¿El SAT cobra por trámites como la e.firma, el RFC o la opinión de cumplimiento?
No. La inscripción al RFC, la e.firma, la contraseña y la opinión de cumplimiento son gratuitas en el portal del SAT. Cualquier mensaje que te pida pagar para «liberar», «activar» o «no perder» uno de estos trámites es fraude.
Recibí un WhatsApp que dice ser del SAT con un adeudo, ¿es real?
No. El SAT no notifica adeudos por WhatsApp. El único canal con validez legal para notificaciones es el Buzón Tributario (art. 17-K del CFF). No respondas ni hagas clic: entra por tu cuenta a sat.gob.mx y revisa tu buzón. Si no hay nada ahí, el mensaje es falso.
¿Cómo distingo el sitio real del SAT de uno falso?
El sitio oficial siempre termina en sat.gob.mx o gob.mx. Variantes como «sat-mx.com», «satmexico.org» o ligas acortadas son falsas. Escribe siempre la dirección a mano en el navegador en lugar de hacer clic en un link que te llegó por mensaje.
Ya entregué mi contraseña del SAT en una página falsa, ¿qué hago primero?
Cambia de inmediato tu contraseña en el portal real del SAT. Si también diste tu e.firma, tramita su revocación y renovación. Guarda capturas como evidencia y denuncia la suplantación ante el SAT y la Policía Cibernética de la Guardia Nacional.
¿Cómo confirmo que no tengo adeudos reales con el SAT?
Consulta tu opinión de cumplimiento directamente en el portal del SAT o con un verificador. Si sale «positiva», no tienes adeudos pendientes, así que cualquier mensaje que diga lo contrario es falso.
Mide tu riesgo fiscal gratis
12 preguntas para saber tu exposición ante el SAT y qué priorizar.