Javierin.com

Ciberseguridad

Notificación DEHÚ: ¿Es Real o un Timo? Guía 2025

administrador 0
Notificación DEHÚ: ¿Es un Timo? La Guía Definitiva de 2025

Notificación DEHÚ: ¿Es Real o un Timo? Guía 2025

Llega un email diciendo que tienes una notificación DEHÚ pendiente. Antes de hacer clic en nada, aquí está el proceso exacto para saber si es legítima o un intento de phishing.

Por Javier · Actualizado: 2026-05-24

Una notificación DEHÚ legítima nunca incluye documentos adjuntos ni enlaces directos a documentos en el aviso por email o SMS: solo informa de que hay una comunicación pendiente en notificaciones.060.es. Para leerla hay que acceder con Cl@ve o certificado digital. Si no se accede en 10 días naturales, se considera rechazada con plenos efectos administrativos (art. 43.2 Ley 39/2015).

El aviso DEHÚ que siempre genera dudas

Te ha llegado un email o un SMS con algo tipo «Tiene una notificación pendiente en DEHÚ» y lo primero que has hecho es mirar el remitente con el ceño fruncido. Tiene todo el sentido: los avisos de la Administración y los intentos de phishing se parecen cada vez más, y si no estás acostumbrado a recibir este tipo de notificaciones, distinguirlos no es tan obvio como debería.

El problema es que ignorarlo tampoco es una opción tranquila. Si la notificación es real y no la abres en 10 días naturales, se considera rechazada y surte efectos administrativos igualmente, te hayas enterado o no. Así que descartar el aviso sin más puede salir caro.

Aquí vas a ver exactamente cómo verificar en dos minutos si lo que te ha llegado es una notificación legítima de DEHÚ o un intento de fraude: qué mirar, dónde comprobar y qué hacer en cada caso.

Por qué importa

URL única y oficial

Solo notificaciones.060.es es la dirección legítima. Cualquier otro dominio parecido es una señal de alarma inmediata.

10 días para actuar

La Ley 39/2015 fija un plazo de 10 días naturales. Si no accedes, la notificación se considera rechazada con plenos efectos legales.

El aviso no adjunta nada

El email o SMS solo te avisa de que hay algo pendiente. Los documentos reales están dentro de la plataforma, nunca en el correo.

Nunca piden datos ni dinero

DEHÚ no solicita contraseñas, datos bancarios ni pagos por enlace. Si el mensaje lo hace, es phishing sin excepciones.

Cómo funciona una notificación DEHÚ de verdad

DEHÚ (Dirección Electrónica Habilitada Única) es el buzón oficial donde la Administración General del Estado deposita las notificaciones electrónicas que tienen efectos legales. No es una app privada ni un servicio de terceros: es la plataforma del Estado para comunicarse contigo de forma fehaciente y documentada.

El flujo siempre es el mismo: el organismo emisor sube la notificación a la plataforma. Tú recibes un aviso por email o SMS que te indica que tienes algo pendiente. Para leer el contenido real tienes que acceder a notificaciones.060.es con tu identificación digital.

El aviso que llega al email o al móvil no contiene el documento. Solo te da el toque de que algo está esperándote en la plataforma. Este detalle es la clave para distinguir lo legítimo de lo falso.

Ejemplo: recibes un SMS que dice «Tiene una notificación pendiente en su DEHú. Acceda a notificaciones.060.es para consultarla». Eso es todo lo que hace el aviso oficial: avisarte.

Las señales de una notificación legítima

El aviso de email o SMS: qué lleva y qué no

Un aviso DEHÚ legítimo es intencionalmente escueto. Su único trabajo es decirte que tienes algo pendiente en tu buzón.

Lo que sí puede aparecer en un aviso oficial:

  • Indicación de que hay una notificación pendiente
  • Referencia al plazo de 10 días naturales para acceder
  • Instrucción de acceder a notificaciones.060.es

Lo que nunca aparece en un aviso oficial:

  • Documentos adjuntos con el contenido de la resolución
  • Botones de descarga directa del documento
  • Solicitudes de datos bancarios, contraseñas o pagos
  • Peticiones de verificación de identidad por email
  • Archivos ZIP, PDF ni ejecutables adjuntos

La plataforma: el único sitio que importa

La dirección oficial es notificaciones.060.es. No existe ninguna otra URL legítima para consultar notificaciones DEHÚ. Una vez dentro, identificado con Cl@ve PIN, Cl@ve Permanente, DNIe o certificado digital reconocido, verás el organismo emisor, el número de expediente y el contenido completo.

Esa información aparece dentro de la plataforma, nunca en el email de aviso previo. Si el correo ya te muestra el organismo emisor y el expediente antes de que hayas accedido a nada, algo no cuadra.

En la notificación real, los datos del organismo y el expediente solo aparecen una vez que accedes a la plataforma con tu identificación. Si el correo ya los muestra, es motivo para desconfiar.

Así actúa el phishing que suplanta a DEHÚ

Los ataques que imitan a DEHÚ siguen un patrón bastante reconocible una vez que sabes cómo funciona el sistema real. El objetivo siempre es el mismo: que hagas clic antes de pensar.

Señales habituales del phishing que suplanta a DEHÚ:

  • Dominio del remitente similar pero distinto al oficial: dehú.es, notificacion-060.com, dehu-notificacion.es, 060.gob.es.otrodominio.com…
  • Botón de acción llamativo: «Ver notificación ahora», «Acceder al documento», «Confirmar recepción»
  • Archivo adjunto: ZIP, PDF o documento de Office que en realidad es malware o un formulario de robo de datos
  • Lenguaje de urgencia artificial: «Tiene 24 horas para responder o perderá sus derechos»
  • Amenaza de consecuencias inmediatas para presionarte a actuar sin verificar

Un correo con asunto «Notificación urgente — Expediente 2025/XXXX» que incluye un PDF adjunto y un botón rojo que dice «Ver documento ahora» no corresponde en ningún punto al comportamiento real de DEHÚ.

Un detalle técnico que vale la pena conocer: los atacantes pueden falsificar la cabecera del remitente mediante spoofing, de modo que el campo «De:» del correo puede mostrar una dirección que parezca oficial. Que el email aparente venir de una dirección @060.es no es garantía de autenticidad. El único sitio donde verificar es la plataforma oficial, accediendo directamente desde el navegador.

Protocolo de verificación paso a paso

Cuando llega un aviso que dice ser de DEHÚ, este es el proceso antes de hacer nada más:

  1. No hagas clic en ningún enlace del email ni del SMS todavía.
  2. Abre el navegador y escribe manualmente notificaciones.060.es en la barra de direcciones. No copies el enlace del aviso.
  3. Accede con Cl@ve PIN, Cl@ve Permanente, DNIe o certificado digital.
  4. Comprueba si hay notificaciones pendientes en tu buzón dentro de la plataforma.
  5. Si hay una notificación, dentro verás el organismo emisor y el expediente concreto. Lee el contenido ahí directamente.

Si no aparece nada en la plataforma, el aviso era falso o hubo un error de sistema. Si aparece la notificación, ya la tienes delante sin haber necesitado el enlace del correo.

Sobre el plazo: los 10 días naturales que establece el artículo 43.2 de la Ley 39/2015 empiezan desde que el organismo deposita la notificación en la plataforma. Si tienes dudas sobre si el aviso llegó tarde, entra a comprobarlo cuanto antes.

El enlace del correo de aviso oficial existe, pero no es necesario usarlo. Escribir la URL directamente en el navegador y acceder con tu identidad digital es siempre la opción más segura.

Si ya hiciste clic en un enlace sospechoso

Pasa. El phishing está cada vez más elaborado y no siempre resulta obvio a primera vista, especialmente si llegas al correo desde el móvil y con prisa.

Pasos a seguir si hiciste clic en algo que ahora te parece dudoso:

  1. Cierra el navegador o la pestaña inmediatamente.
  2. No introduzcas datos en ningún formulario que haya aparecido.
  3. Si ya introdujiste credenciales de acceso, datos de tarjeta u otra información sensible, cámbialos o solicita el bloqueo lo antes posible.
  4. Si accediste desde el móvil, revisa las apps instaladas recientemente y considera pasar un antivirus.
  5. Reporta el intento al INCIBE (Instituto Nacional de Ciberseguridad) a través de su línea de ayuda o formulario web oficial.

Acceder a notificaciones.060.es directamente sigue siendo completamente seguro. El problema está en los sitios que imitan su apariencia para capturar tus datos antes de que llegues al original.

Si no estás seguro de si el sitio al que accediste era el legítimo, comprueba la URL en la barra de direcciones: tiene que ser exactamente notificaciones.060.es, con HTTPS, sin subdominios extraños ni caracteres adicionales en el dominio principal.

A quién afecta DEHÚ por obligación legal

La Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común establece que las personas jurídicas, los autónomos y determinados colectivos están obligados a relacionarse electrónicamente con la Administración. Para ellos, DEHÚ no es una opción: es el canal obligatorio.

El Real Decreto 203/2021, de 30 de marzo, complementa esta regulación y define el funcionamiento del sistema. Cada organismo tiene su propio calendario de adhesión a DEHÚ, así que no todos los ministerios y agencias públicas lo usan con la misma frecuencia ni al mismo ritmo.

Si eres autónomo o tienes una empresa, es probable que recibas avisos DEHÚ con cierta regularidad. Eso te convierte en un objetivo más atractivo para los atacantes, precisamente porque ya tienes el hábito de recibir estos avisos y es más fácil que bajes la guardia ante uno falso.

Si no accedes a una notificación DEHÚ en el plazo de 10 días naturales (art. 43.2 Ley 39/2015), se considera rechazada y surte plenos efectos administrativos. Ignorar el aviso no paraliza el procedimiento administrativo.

El organismo emisor y el expediente concreto siempre quedan identificados dentro de la plataforma, una vez que accedes con tu identificación. Si tienes dudas sobre qué organismo te ha notificado algo, esa información estará ahí, no en el email de aviso.

Preguntas frecuentes

Q: ¿Cómo sé si el correo de DEHÚ es legítimo?

A: El aviso legítimo nunca lleva documentos adjuntos ni enlaces directos a documentos. Solo te informa de que hay una notificación pendiente. Para leerla, tienes que entrar tú mismo en notificaciones.060.es con Cl@ve, DNIe o certificado digital. Si el correo te pide hacer clic en un botón para 'ver el documento', desconfía.

Q: ¿Qué pasa si no abro la notificación a tiempo?

A: Tienes 10 días naturales desde que está disponible. Si no accedes en ese plazo, la notificación se considera rechazada y surte plenos efectos administrativos igualmente, según el artículo 43.2 de la Ley 39/2015. Es decir, no ignorarla no te salva de sus consecuencias legales.

Q: ¿Por qué me llega un aviso si nunca me di de alta?

A: La Ley 39/2015 obliga a personas jurídicas, autónomos y determinados colectivos a relacionarse electrónicamente con la Administración, así que DEHÚ puede ser obligatorio para ti aunque nunca lo hayas activado voluntariamente. Si eres autónomo o tienes una empresa, es muy probable que estés incluido en ese colectivo.

Q: ¿Cómo distingo un dominio falso del oficial?

A: La única URL legítima para consultar notificaciones DEHÚ es notificaciones.060.es. Cualquier otro dominio, por parecido que suene (dehú.es, notificacion-dehú.com, etc.), es sospechoso. Dicho esto, no basta con fijarse en el dominio del remitente del aviso: los atacantes pueden falsificar cabeceras de correo, así que la única verificación fiable es entrar directamente a notificaciones.060.es.

Q: ¿Vale un NIF de remitente para confirmar que es real?

A: No es suficiente. Que aparezca un NIF de organismo público en el correo de aviso no garantiza su legitimidad, porque ese dato puede incluirse en un mensaje fraudulento. El organismo emisor y el expediente concreto solo son verificables dentro de la plataforma oficial, una vez que accedes tú directamente a notificaciones.060.es.

administrador

Web:

Related Story

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *