facebook-pixel

Estafas Bancarias por SMS (Smishing): Cómo Evitarlas en 2026

E
Equipo de Seguridad Lunyb
··10 min read

Las estafas bancarias por SMS, conocidas técnicamente como smishing, se han convertido en una de las modalidades de fraude más frecuentes en España. La Policía Nacional y el Banco de España alertan cada mes de nuevas campañas que suplantan a entidades como BBVA, Santander, CaixaBank, ING o Bizum con un objetivo claro: vaciar tu cuenta corriente.

En esta guía aprenderás a identificar estos mensajes fraudulentos, entender por qué son tan efectivos y, sobre todo, qué pasos concretos debes seguir para no caer en la trampa. También verás qué hacer si ya has picado.

¿Qué son las estafas bancarias por SMS?

Las estafas bancarias por SMS son mensajes fraudulentos que suplantan la identidad de un banco para engañar al destinatario y obtener sus credenciales, códigos de verificación o datos de tarjeta. Se conocen como smishing, término que combina «SMS» y «phishing».

A diferencia del correo electrónico, el SMS genera más urgencia y confianza: cabe en la misma bandeja donde tu banco te envía avisos legítimos, y muchos usuarios asumen que si aparece junto a mensajes reales, debe ser auténtico. Los ciberdelincuentes explotan precisamente esta confianza.

Cómo funciona técnicamente el smishing

Los atacantes utilizan servicios de envío masivo con Sender ID falsificado, lo que les permite hacer que el SMS aparezca en el mismo hilo que los mensajes reales del banco. Esta técnica, llamada SMS spoofing, es sorprendentemente sencilla y todavía no está resuelta por las operadoras a nivel global.

El mensaje suele contener un enlace acortado que dirige a una web clonada del banco. Al introducir tus credenciales, estas se envían directamente al atacante, que en cuestión de minutos accede a tu cuenta real.

Señales típicas de un SMS fraudulento

Reconocer un smishing es la primera línea de defensa. Estas son las señales de alerta más habituales que debes memorizar:

  1. Urgencia extrema: «Su cuenta será bloqueada en 24 horas», «Detectamos un cargo sospechoso, confirme ahora».
  2. Enlaces acortados o dominios raros: URLs con dominios extraños (.top, .xyz, .info) o subdominios que imitan al banco (bbva-seguridad.com en lugar de bbva.es).
  3. Errores gramaticales o tildes ausentes: Los bancos revisan cuidadosamente sus comunicaciones oficiales.
  4. Solicitud de datos sensibles: Ningún banco pide por SMS contraseñas, PIN, códigos SMS de verificación ni datos completos de tarjeta.
  5. Saludos genéricos: «Estimado cliente» en lugar de tu nombre.
  6. Amenazas veladas: «Si no confirma, procederemos al bloqueo permanente».

Ejemplos reales de smishing bancario

Estos son fragmentos de campañas detectadas recientemente en España:

  • «BBVA: Se ha registrado un acceso desde un dispositivo desconocido. Verifique aquí: bbva-verificacion[.]top»
  • «Santander: Su tarjeta ha sido suspendida temporalmente. Reactive en: santander-online[.]info/reactivar»
  • «CaixaBank: Nuevo beneficiario añadido. Si no reconoce esta operación, cancele en: cxbnk[.]link»
  • «Bizum: Tiene un cobro pendiente de 342€. Confirme o rechace: bizum-app[.]xyz»

Tipos principales de estafas bancarias por SMS en 2026

Tipo de estafa Gancho utilizado Objetivo del atacante
Falsa alerta de seguridad «Acceso sospechoso detectado» Credenciales de banca online
Suspensión de tarjeta «Su tarjeta ha sido bloqueada» Número de tarjeta + CVV
Cobro Bizum falso «Tiene una solicitud de cobro» Que autorices un envío real
Devolución de Hacienda «Tiene una devolución pendiente» Datos bancarios completos
Paquete retenido «Su envío tiene tasas pendientes» Datos de tarjeta para «pago»
Fraude del CEO móvil «Soy tu jefe, cambio de número» Transferencias urgentes

La estafa del «hijo en apuros»

Aunque técnicamente no suplanta al banco, esta variante se ha disparado. Recibes un WhatsApp o SMS: «Hola mamá/papá, he perdido el móvil, este es mi nuevo número. Necesito que me hagas un Bizum urgente». El objetivo final es siempre el mismo: mover dinero de tu cuenta a la del estafador.

Cómo evitar caer en un smishing bancario: 10 reglas de oro

  1. Nunca hagas clic en enlaces de SMS bancarios. Aunque parezca legítimo, abre la app oficial del banco manualmente.
  2. Verifica el remitente, pero no confíes solo en él. El Sender ID puede falsificarse.
  3. Llama al banco por el teléfono impreso en tu tarjeta. Nunca al número que aparece en el SMS.
  4. Activa las notificaciones push de tu app bancaria. Son mucho más seguras que los SMS.
  5. Configura límites diarios de transferencia y Bizum. Reduce el daño potencial si algo falla.
  6. Habilita la autenticación de doble factor en todos los servicios financieros.
  7. No compartas nunca códigos SMS de verificación, aunque quien lo pida diga ser del banco.
  8. Revisa el dominio con calma: «bbva.es» es legítimo; «bbva-seguridad.top» no lo es.
  9. Desconfía de la urgencia. Es el arma psicológica principal del smishing.
  10. Mantén el sistema operativo del móvil actualizado. Muchos ataques explotan vulnerabilidades ya parcheadas.

Herramientas técnicas que te ayudan

Además de la prevención humana, existen herramientas que añaden capas de protección:

  • DNS cifrado (DoH/DoT): Servicios como Cloudflare 1.1.1.1 o NextDNS bloquean automáticamente dominios conocidos de phishing antes incluso de que tu navegador los cargue.
  • Navegadores con protección anti-phishing: Firefox, Brave y Safari mantienen listas actualizadas de webs fraudulentas.
  • Filtros de SMS del sistema operativo: Tanto iOS como Android permiten filtrar remitentes desconocidos a una bandeja separada.
  • Aplicaciones de identificación de llamadas y SMS: Hiya o Truecaller ayudan a marcar números asociados a fraudes.
  • Acortadores con analíticas: Si trabajas con enlaces profesionalmente, plataformas serias como Lunyb permiten crear enlaces de marca verificables, lo que ayuda a distinguir enlaces legítimos de suplantaciones. Puedes profundizar en la mejor plataforma de gestión de enlaces para 2026.

Qué hacer si has picado en una estafa bancaria por SMS

Si has introducido tus datos en una web falsa o has realizado un Bizum a un estafador, actúa en este orden y con máxima rapidez. El tiempo es crítico: los primeros 30 minutos pueden marcar la diferencia entre recuperar el dinero o perderlo definitivamente.

  1. Llama inmediatamente a tu banco al teléfono oficial (el que figura en tu tarjeta). Solicita el bloqueo de accesos, tarjetas y operaciones.
  2. Cambia tus credenciales de banca online desde un dispositivo seguro y confirmado libre de malware.
  3. Revisa movimientos recientes y anota cualquier operación no reconocida.
  4. Presenta una denuncia en la Policía Nacional o Guardia Civil. Puedes hacerlo online en la Sede Electrónica de la Policía. Esta denuncia es imprescindible para reclamar al banco.
  5. Reclama formalmente al banco por escrito, adjuntando la denuncia. Según la normativa PSD2 y el Banco de España, si no ha habido negligencia grave, el banco debe reembolsar operaciones no autorizadas.
  6. Denuncia el fraude al INCIBE (017) para que la información se comparta con otros afectados.
  7. Vigila tus datos personales. Si has entregado DNI o dirección, consulta nuestra guía sobre qué hacer si tu DNI ha sido filtrado.

¿Puede el banco negarse a devolverte el dinero?

Sí, pero solo bajo condiciones muy específicas. La directiva europea PSD2, transpuesta en España mediante el RDL 19/2018, establece que el banco debe reintegrar las operaciones no autorizadas salvo que demuestre «negligencia grave» del cliente. El concepto de negligencia grave se ha ido delimitando en tribunales:

  • Introducir credenciales en una web falsa no siempre se considera negligencia grave, especialmente si la web es una copia sofisticada.
  • Compartir códigos SMS de verificación tras una llamada del supuesto «banco» sí suele considerarse negligencia grave.
  • Ignorar avisos claros del banco sobre no compartir claves puede debilitar tu reclamación.

Si el banco se niega, puedes acudir al Departamento de Conducta de Entidades del Banco de España y, en última instancia, a la vía judicial. Muchas sentencias recientes fallan a favor del consumidor.

Protección proactiva de tu identidad digital

La prevención del smishing va más allá del propio SMS. Los estafadores compran bases de datos filtradas donde figuran tu número, tu banco habitual e incluso tu nombre completo. Reducir tu huella digital dificulta que te elijan como objetivo.

Reduce tu exposición

  • No publiques tu número de móvil en redes sociales ni en portales de compraventa.
  • Usa direcciones de correo alias (Apple Hide My Email, SimpleLogin) al registrarte en servicios no esenciales.
  • Elimina tus datos de bases de datos de terceros. Consulta nuestra guía sobre cómo eliminar tus datos de los corredores de datos.
  • Ejerce tu derecho de supresión (art. 17 RGPD) ante cualquier empresa que trate tus datos sin base legítima.
  • Utiliza contraseñas únicas por servicio con un gestor de contraseñas fiable.

Educa a tu entorno

Las víctimas más frecuentes de smishing bancario son personas mayores de 60 años y menores que gestionan sus primeras cuentas. Dedicar 15 minutos a explicar estas señales a familiares vulnerables es probablemente la medida de seguridad más rentable que puedes tomar.

El marco legal: RGPD, AEPD y tus derechos

La Agencia Española de Protección de Datos (AEPD) es la autoridad competente ante filtraciones de datos personales. Si un banco o empresa ha filtrado tu información y esto ha derivado en un smishing exitoso, puedes:

  1. Presentar una reclamación ante la AEPD (gratuita, online).
  2. Solicitar indemnización por daños y perjuicios conforme al artículo 82 del RGPD.
  3. Requerir información sobre qué datos tuyos trata la empresa (derecho de acceso, art. 15 RGPD).

La AEPD ha impuesto multas millonarias a entidades financieras por brechas de seguridad que facilitaron fraudes posteriores. Documenta todo desde el minuto uno.

Preguntas frecuentes

¿Los bancos alguna vez envían enlaces por SMS?

Cada vez menos, y de hecho la mayoría de entidades españolas ya no incluyen enlaces clicables en sus SMS por política antifraude. Cuando lo hacen, es para trámites muy específicos y siempre desde dominios propios verificables. La regla segura es: aunque el enlace parezca legítimo, no lo pulses. Abre la app manualmente y comprueba si hay alguna notificación real en tu buzón dentro de la aplicación.

¿Es seguro responder «BAJA» o «STOP» a un SMS sospechoso?

No. Responder confirma al atacante que tu número está activo y que lo lees, lo que aumenta la frecuencia de nuevas campañas. Simplemente elimina el mensaje y, si quieres colaborar, reenvíalo al 7726 (número gratuito habilitado por operadoras para reportar spam en algunos países) o denúncialo en INCIBE (017).

Si el SMS aparece en el mismo hilo que los mensajes reales de mi banco, ¿es fiable?

Absolutamente no. El SMS spoofing permite falsificar el Sender ID y hacer que el mensaje se agrupe con los legítimos. Es precisamente esta técnica lo que hace tan peligroso al smishing bancario. Nunca uses el hilo del mensaje como criterio de autenticidad; usa siempre canales oficiales para verificar.

¿Cuánto tiempo tengo para reclamar al banco un cargo fraudulento?

Según el RDL 19/2018, dispones de un máximo de 13 meses desde la fecha del cargo para notificar la operación no autorizada. Sin embargo, debes hacerlo «sin demoras indebidas» tras detectarla; lo ideal es en las primeras 24 horas. Cuanto antes reclames, mayor probabilidad de recuperación del dinero y menor margen para que el banco alegue negligencia.

¿Puedo saber si mi número de móvil está en alguna filtración?

Sí. Servicios como Have I Been Pwned permiten comprobar si tu correo electrónico o número aparece en filtraciones conocidas. Si aparece, extrema precauciones: cambia contraseñas, activa doble factor y considera solicitar a tu operadora un cambio de número si el volumen de smishing es persistente.

Conclusión

Las estafas bancarias por SMS seguirán evolucionando en 2026 con técnicas más sofisticadas, incluyendo mensajes generados por IA que imitan a la perfección el estilo de tu banco. La buena noticia es que los principios de defensa no cambian: nunca hagas clic en enlaces de SMS, verifica siempre por canales oficiales y reduce tu huella digital al mínimo.

Si combinas prevención, herramientas técnicas y conocimiento de tus derechos (RGPD, PSD2, AEPD), reduces drásticamente el riesgo de ser víctima. Y recuerda: si algo huele a urgencia, casi siempre es porque alguien quiere que actúes sin pensar. Respira, verifica y solo entonces decide.

Protect your links with Lunyb

Create secure, trackable short links and QR codes in seconds.

Get Started Free

Related Articles