Skip to content
Caso de clienteTarifasSeguridadComparativaBlog

Europe

Americas

Oceania

Cumplimiento12 min de lectura

Certificados falsos TGSS y Hacienda: cómo detectarlos

Cómo detectar certificados falsos de Hacienda, Seguridad Social y REA en la subcontratación: señales de fraude, verificación oficial y responsabilidad legal.

El equipo CheckFile
El equipo CheckFile·
Illustration for Certificados falsos TGSS y Hacienda: cómo detectarlos — Cumplimiento

Resumir este artículo con

Un certificado falso de la Seguridad Social, de Hacienda o del REA es un documento alterado o generado íntegramente para simular que un proveedor o subcontratista cumple sus obligaciones legales cuando en realidad tiene deudas, sanciones o carece de inscripción. Se detecta comprobando el código de verificación del documento en la sede electrónica del organismo emisor, nunca confiando en el PDF recibido por email, y cruzando los datos del certificado con registros públicos independientes. Este artículo explica cómo se fabrican estos certificados, qué señales delatan una falsificación y qué responsabilidad legal asume la empresa que subcontrata si acepta uno sin verificarlo.

Este artículo tiene carácter meramente informativo y no constituye asesoramiento jurídico, fiscal ni regulatorio. Las referencias normativas son exactas a la fecha de publicación. Consulte a un profesional cualificado para su caso concreto.

Por qué estos tres certificados son objetivo habitual de falsificación

Estos certificados se falsifican porque su ausencia bloquea la contratación, mientras que su presentación traslada el riesgo legal de la deuda del proveedor hacia el propio contratante. El artículo 42 del Estatuto de los Trabajadores fija dos plazos de responsabilidad solidaria del empresario principal: un año tras la finalización del encargo para obligaciones salariales y tres años para las deudas de Seguridad Social contraídas por el contratista o subcontratista durante la vigencia de la contrata (Real Decreto Legislativo 2/2015, art. 42, BOE). Un subcontratista con deudas reales tiene un incentivo directo para presentar un certificado positivo fabricado antes que perder el contrato.

En construcción se añade una tercera pieza: la inscripción en el Registro de Empresas Acreditadas (REA), exigida por la Ley 32/2006, de 18 de octubre, reguladora de la subcontratación en el Sector de la Construcción. Sin inscripción vigente, una empresa no puede operar legalmente como subcontratista en obra, lo que convierte el certificado REA en otro objetivo frecuente cuando la acreditación ha caducado. Este artículo se centra en cómo detectar la falsificación de estos tres certificados; para el listado completo de documentos exigidos, véase documentos obligatorios para subcontratistas en construcción.

Cómo se fabrican los certificados falsos de TGSS, AEAT y REA

La técnica más común no es crear un documento desde cero, sino editar un PDF genuino descargado por el propio proveedor, modificando el estado, la fecha o el importe de la deuda con un editor de maquetación. El resultado conserva logotipo, tipografía institucional y pie de página originales, pero el código de verificación impreso deja de corresponder al contenido mostrado. Una variante más burda edita una captura de pantalla con software de retoque fotográfico, lo que suele dejar artefactos de compresión visibles al ampliar la imagen. Un tercer patrón, propio del REA, sustituye la fecha de caducidad de una inscripción vencida o reutiliza el certificado de otra empresa del grupo cambiando el CIF; solo se detecta cruzando el documento contra la consulta pública del registro, no leyéndolo.

La generación completa mediante modelos de IA es la técnica en expansión: a partir de un certificado real como referencia visual, un modelo produce un documento nuevo con datos fiscales inventados, sin que exista ningún PDF original que alterar. La Agencia Tributaria mantiene un registro público y actualizado de campañas de suplantación (phishing) mediante notificaciones y documentos falsos en PDF que imitan comunicaciones oficiales, con episodios documentados de forma continuada durante 2025 y 2026 (Agencia Tributaria, información de casos de phishing). La misma familia de técnicas usada para suplantar notificaciones de Hacienda se emplea para fabricar certificados de contratistas visualmente convincentes.

Señales de alerta para detectar un certificado falsificado

Las señales más fiables van desde un CSV que no coteja hasta metadatos de creación posteriores a la fecha de expedición declarada, pasando por tipografías o formatos que no coinciden con la plantilla oficial vigente. La inscripción en el REA tiene una vigencia de tres años renovables por periodos iguales, conforme al Real Decreto 1109/2007, de 24 de agosto, que desarrolla la Ley 32/2006, por lo que cualquier certificado REA con una fecha de validez distinta a ese ciclo debe tratarse como sospechoso hasta comprobarse (Real Decreto 1109/2007, BOE). La tabla siguiente resume estas señales, de las más superficiales a las que exigen verificación técnica.

Señal de alerta Qué suele revelar Cómo comprobarlo
CSV ilegible, recortado o ausente Intento de evitar el cotejo con la sede electrónica Buscar el código al pie de la primera página y cotejarlo en el portal oficial
Tipografía distinta entre el bloque de datos fiscales y el resto Edición localizada con una herramienta de maquetación Ampliar al 400 % y comparar grosor e interlineado de los caracteres
Metadatos de creación posteriores a la fecha de expedición El PDF se modificó después de la fecha que muestra Inspeccionar /CreationDate, /ModDate y /Producer del fichero
Fecha de validez REA que no coincide con la vigencia de tres años Alteración de la caducidad de una inscripción vencida Consultar el CIF directamente en la consulta pública del REA
Certificado remitido solo por email, sin contacto posible con el emisor El proveedor evita cualquier canal independiente Cotejar el CSV en la sede oficial, nunca confiar en el PDF adjunto
NIF o razón social que no coincide con el registro mercantil Certificado de otra empresa reutilizado con la identidad sustituida Cruzar contra el registro mercantil

Ninguna señal aislada es concluyente. La combinación de dos o más, especialmente un CSV que no coteja junto con inconsistencias tipográficas, justifica por sí sola suspender la aceptación del documento hasta verificarlo por canal oficial.

¿Listo para automatizar sus verificaciones?

Piloto gratuito con sus propios documentos. Resultados en 48h.

Solicitar un piloto gratuito

Cómo verificar la autenticidad en los portales oficiales

La verificación fiable no depende del aspecto del documento, sino de contrastarlo contra el organismo emisor. El código seguro de verificación (CSV) de la AEAT es una cadena alfanumérica de 16 caracteres vinculada mediante firma electrónica al documento original, de modo que cualquier alteración del contenido firmado invalida la correspondencia con la sede electrónica (Agencia Tributaria, Código Seguro de Verificación), y se coteja en "Cotejo de documentos mediante CSV" introduciendo los dígitos impresos al pie del certificado. La Sede Electrónica de la Seguridad Social ofrece un cotejo equivalente para el certificado de la TGSS: cualquier documento recibido de un tercero debe compararse contra ese portal, no contra el aspecto visual del PDF.

La consulta pública del Registro de Empresas Acreditadas no requiere certificado digital ni identificación previa: basta con introducir el NIF, CIF o número REA de la empresa para comprobar si su inscripción está vigente, caducada o nunca existió (Registro de Empresas Acreditadas, consulta pública). Esta consulta gratuita debería ser el primer paso, no el último, antes de aceptar un certificado REA de un subcontratista de construcción.

Aceptar un certificado falsificado sin verificarlo no exime a la empresa contratante de la responsabilidad que ese certificado pretendía cubrir. El artículo 43 de la Ley 58/2003, General Tributaria, hace responsable subsidiario al contratante de las deudas tributarias del subcontratista si no puede acreditar que solicitó y verificó el certificado de la AEAT antes del inicio de la actividad, y la Audiencia Nacional ha convertido esta responsabilidad en solidaria cuando la falta de diligencia es manifiesta. Un certificado falso no verificado equivale, a estos efectos, a no haberlo solicitado.

Para el propio falsificador, el riesgo penal es directo. La falsedad de un documento oficial cometida por un particular está tipificada en el artículo 392 del Código Penal, con penas de prisión de seis meses a tres años y multa de seis a doce meses, remitiendo a los supuestos del artículo 390.1 —alteración de elementos esenciales, simulación del documento o faltar a la verdad en los hechos— (Ley Orgánica 10/1995, Código Penal, BOE). Presentarlo a un tercero añade responsabilidad por uso de documento falso, con independencia de quién lo haya fabricado. En construcción, la Ley 32/2006 suma su propio régimen: subcontratar con una empresa sin inscripción vigente en el REA constituye infracción muy grave.

Qué preguntan los responsables de compras y prevención en foros especializados

En foros de administración de fincas, gestión de subcontratas y grupos profesionales de prevención de riesgos laborales, dos preguntas se repiten con más frecuencia que ninguna otra.

¿Cómo sé si el certificado de la Seguridad Social que me manda un subcontratista es real y no un PDF retocado?

No basta con mirar el logotipo ni la maquetación. Localice el código de verificación al pie del documento y cotéjelo en la sede electrónica del organismo emisor, sin usar ningún enlace incluido en el propio PDF ni en el correo que lo acompaña. El Instituto Nacional de Ciberseguridad advierte de campañas activas de suplantación de la AEAT mediante documentos PDF adjuntos que imitan comunicaciones oficiales, la misma técnica visual que se reutiliza para fabricar certificados falsos (INCIBE, avisos de suplantación de la AEAT). Si el código no existe o el cotejo online no arroja un documento coincidente, trate el certificado como no válido.

Ya firmé el contrato con un subcontratista y después descubrí que su certificado REA o de Hacienda era falso: ¿qué hago ahora?

Documente de inmediato cómo y cuándo descubrió la falsificación: esa trazabilidad determina si su empresa actuó con la diligencia exigida por el artículo 43 de la Ley General Tributaria y el artículo 42 del Estatuto de los Trabajadores. Suspenda los pagos pendientes, solicite certificados actualizados y verificados por canal oficial, y valore poner los hechos en conocimiento de la Inspección de Trabajo o de la Agencia Tributaria. Retrasar esta actuación agrava la exposición legal del contratante, no la reduce.

El papel de la IA en la falsificación y en la detección

Los modelos generativos actuales permiten producir certificados visualmente convincentes de TGSS, AEAT o REA sin partir de un documento real, lo que desplaza el fraude de la edición de un PDF a la generación pura de uno inexistente. Un certificado generado por IA no arrastra las incoherencias de metadatos típicas de un PDF editado, porque nunca existió un original que modificar, lo que reduce la eficacia de una verificación basada solo en metadatos.

Según el ACFE 2024 Report to the Nations, el 37 % de los fraudes documentales se detectan mediante controles internos, con un retraso medio de 87 días entre el inicio del fraude y su descubrimiento (ACFE 2024 Report to the Nations). En la contratación de subcontratistas, ese retraso equivale a varios ciclos de facturación completados antes de detectar el problema, con la responsabilidad solidaria del artículo 42 del Estatuto de los Trabajadores ya activa durante todo ese periodo.

Esta evolución exige combinar el cotejo del código de verificación oficial con una capa adicional centrada en artefactos propios de la generación por IA. CheckFile soporta la verificación de más de 3.200 tipos de documentos con 24 idiomas de OCR en 32 jurisdicciones, e integra señales de generación por IA como complemento de sus controles estructurales y de metadatos existentes, sin sustituir el cotejo directo con la sede electrónica del organismo emisor. Conozca la solución de verificación para banca y KYC o la solución para financiación y leasing cuando el certificado forma parte de un expediente de originación de proveedores.

Si su volumen de onboarding de proveedores incluye certificados sospechosos de haber sido editados o generados con plantillas o IA, la detección de documentos generados por IA y deepfakes de CheckFile añade esa capa de análisis como complemento del cotejo oficial, nunca como sustituto de él. Para la gestión integral del ciclo de vida documental de subcontratistas, incluidas alertas de caducidad, véase software de conformidad para contratistas de construcción; los principios generales se recogen en la guía de conformidad documental.

Preguntas frecuentes

¿Es delito falsificar un certificado de la Seguridad Social o de Hacienda?

Sí. La falsedad de un documento oficial cometida por un particular está tipificada en el artículo 392 del Código Penal, con penas de prisión de seis meses a tres años y multa de seis a doce meses. Usar a sabiendas un certificado falsificado ante un tercero, aunque no se haya participado en su fabricación, también puede generar responsabilidad penal.

¿Puede mi empresa comprobar el certificado de un proveedor sin su consentimiento?

La AEAT y la TGSS no permiten a terceros consultar la situación fiscal o de cotización de una empresa sin su autorización; el certificado debe solicitarlo el propio proveedor. Lo que sí puede hacer cualquier tercero, sin autorización previa, es cotejar el código de verificación del documento recibido y consultar el REA públicamente por NIF o CIF.

¿El código de verificación (CSV) garantiza al cien por cien que el certificado es auténtico?

El CSV protege frente a la falsificación solo si realmente se coteja en la sede electrónica del organismo, no si se comprueba que el código "tiene buen aspecto". Un certificado generado por IA puede incluir una cadena con apariencia de CSV que no corresponde a ningún documento real; el cotejo online, no la inspección visual, es lo que detecta esta falsificación.

¿Cuánto tiempo debe conservar una empresa los certificados verificados de sus subcontratistas?

Dado que la responsabilidad solidaria del artículo 42 del Estatuto de los Trabajadores llega a tres años en materia de Seguridad Social, y que la prescripción de deudas tributarias es de cuatro años, se recomienda conservar los certificados y su evidencia de verificación un mínimo de cinco años desde la finalización del contrato.


Ninguna plataforma sustituye el cotejo oficial del código de verificación ante la AEAT, la Seguridad Social o el REA: esa comprobación sigue siendo responsabilidad del equipo de compras o cumplimiento. Cuando el volumen de proveedores hace inviable ese cotejo manual documento a documento, la detección de documentos generados por IA y deepfakes de CheckFile añade una capa de análisis complementaria. Para explorar cómo se integra en su flujo de onboarding de proveedores, solicite una demostración o visite la página principal de CheckFile.

Manténgase informado

Reciba nuestros análisis de cumplimiento y guías prácticas en su correo.

¿Listo para automatizar sus verificaciones?

Piloto gratuito con sus propios documentos. Resultados en 48h.