Smishing: La Estafa por SMS que Arrasa en España en 2026

«Correos: su paquete no ha podido ser entregado. Confirme sus datos en el siguiente enlace.» Si este mensaje te suena familiar, no estás solo. Lo has recibido tú, tu madre, tu vecino y probablemente hasta tu abuela. Y en algún caso, alguien ha picado.

El smishing —la estafa por SMS— se ha convertido en la epidemia de ciberseguridad número uno en España. Según datos del INCIBE, las denuncias por fraude a través de mensajes de texto se han multiplicado por 4 en los últimos dos años, y los ciberdelincuentes no paran de inventar nuevas trampas cada vez más creíbles.

En este artículo vas a aprender exactamente cómo funcionan estas estafas, verás ejemplos reales de los SMS que están circulando ahora mismo, y te daremos un plan infalible para no caer nunca en ellas. Y si ya has picado, también te explicamos qué hacer paso a paso.

📑 Tabla de Contenidos

¿Qué es el smishing y por qué funciona tan bien?
Por qué España es un objetivo prioritario
Los 8 SMS de smishing más comunes en España
Anatomía de un ataque de smishing paso a paso
Smishing vs. Phishing vs. Vishing: diferencias
Cómo identificar un SMS fraudulento en 5 segundos
¿Has picado? Qué hacer inmediatamente
10 reglas de oro para protegerte del smishing
Dónde y cómo denunciar en España
Preguntas frecuentes
Conclusión

1. ¿Qué es el smishing y por qué funciona tan bien?

El smishing es una combinación de «SMS» y «phishing». Es una técnica de ingeniería social en la que los ciberdelincuentes envían mensajes de texto haciéndose pasar por entidades de confianza (bancos, Correos, Hacienda, empresas de paquetería) para engañarte y que entregues tus datos personales, bancarios o contraseñas.

¿Por qué funciona mejor que el email?

El smishing tiene tasas de éxito brutalmente superiores al phishing por email, y hay razones concretas para ello:

Tasa de apertura del 98%: casi todo el mundo lee sus SMS, frente al 20% que abre los emails.
Confianza inherente: asociamos los SMS con comunicaciones oficiales (bancos, verificaciones, entregas).
Urgencia en la palma de la mano: un SMS llega al bolsillo y genera una reacción inmediata.
Menos filtros: los filtros anti-spam de SMS son mucho menos sofisticados que los de email.
Pantalla pequeña: en el móvil es más difícil ver la URL completa de un enlace sospechoso.
Sin contexto visual: en un email puedes ver logos mal hechos o diseño chapucero. Un SMS es solo texto.

📊 Cifras del smishing en España

En 2025, el INCIBE gestionó más de 118.000 incidentes de ciberseguridad, de los cuales el fraude por SMS fue la categoría con mayor crecimiento. La Policía Nacional estima que el smishing causa pérdidas de más de 50 millones de euros anuales solo en España, y la tendencia en 2026 sigue al alza.

2. Por qué España es un objetivo prioritario

España se ha convertido en uno de los países europeos más afectados por el smishing. ¿Por qué? Varios factores convergen:

Altísima penetración del móvil: España tiene más líneas móviles que habitantes. Todo el mundo tiene un smartphone en el bolsillo.
Cultura del SMS bancario: los españoles están acostumbrados a recibir SMS de sus bancos para verificaciones y alertas, lo que hace más creíbles los SMS falsos.
Boom del e-commerce: con millones de paquetes circulando cada día, los SMS falsos de «tu paquete» son extremadamente efectivos.
Campañas de la Renta: cada primavera, la campaña de la Renta genera oleadas de SMS falsos de la «Agencia Tributaria» que coinciden con comunicaciones reales.
Menor cultura de ciberseguridad: comparado con otros países europeos, el nivel de concienciación sobre estafas digitales en España sigue siendo bajo, especialmente en la población mayor.

3. Los 8 SMS de smishing más comunes en España

Estos son los mensajes que más están circulando en 2026. Si recibes cualquiera de estos, es una estafa al 100%:

📦 1. El falso paquete de Correos

CORREOS Su paquete no ha podido ser entregado el 14/03. Para reprogramar la entrega, confirme sus datos aquí: https://correos-entrega.info/tracking

Cómo detectarlo: Correos nunca envía SMS con enlaces para «confirmar datos». La URL no es correos.es. Y tú probablemente ni esperabas un paquete.

🏦 2. La alerta bancaria falsa

BBVA Hemos detectado un acceso no autorizado a su cuenta. Si no reconoce esta actividad, verifique inmediatamente: https://bbva-seguridad.com/verificar

Cómo detectarlo: tu banco nunca te pedirá que «verifiques» pulsando un enlace en un SMS. La URL no es bbva.es. Ante la duda, llama al teléfono oficial de tu banco.

💰 3. La devolución de Hacienda

AEAT Le informamos que tiene pendiente una devolución de 249,36€ de la Renta 2025. Solicite el reembolso aquí: https://agenciatributaria-devolucion.es/renta

Cómo detectarlo: la Agencia Tributaria nunca comunica devoluciones por SMS con enlaces. Las devoluciones se gestionan automáticamente en la cuenta bancaria que indicaste en la declaración.

📱 4. La verificación de WhatsApp

+34 6XX XXX XXX Hola, te envié un código de 6 dígitos por SMS por error. ¿Puedes pasármelo? Es urgente. Gracias.

Cómo detectarlo: nadie envía códigos «por error». Si les pasas ese código, les estás dando acceso a tu cuenta de WhatsApp.

🚗 5. La multa de tráfico

DGT Tiene una multa de tráfico pendiente de pago. Si no abona 50€ en 48h, se incrementará a 200€. Pague aquí: https://dgt-multas.online/pagar

⚡ 6. La factura de la luz

ENDESA Aviso: su factura de febrero tiene un importe anormalmente alto (487,23€) debido a un error de lectura. Solicite la corrección: https://endesa-facturas.net/correccion

🎁 7. El premio falso

AMAZON ¡Felicidades! Has sido seleccionado para recibir un iPhone 17 Pro gratis. Reclama tu premio antes de 24h: https://amazon-premios.club/reclamar

👤 8. La suplantación del hijo

+34 6XX XXX XXX Mamá, se me ha roto el móvil. Este es mi nuevo número. ¿Puedes hacerme un Bizum de 400€ urgente? Te lo devuelvo mañana. No puedo llamar, el micro no funciona.

⚠️ La estafa del «hijo en apuros»

Este último tipo se ha vuelto extremadamente popular en España en 2025-2026. Los estafadores se dirigen especialmente a personas mayores simulando ser sus hijos. La clave para detectarlo: llama siempre al número antiguo de tu hijo para verificar.

4. Anatomía de un ataque de smishing paso a paso

Veamos exactamente cómo operan los ciberdelincuentes detrás del smishing:

Paso 1: Obtención de números de teléfono

Los atacantes consiguen tu número a través de brechas de datos previas, compra de bases de datos en la dark web, o simplemente generando números de teléfono secuencialmente.

Paso 2: Preparación del señuelo

Crean un mensaje convincente que imita a una entidad de confianza. Registran un dominio que se parece al oficial (por ejemplo: correos-entrega.info en lugar de correos.es) y montan una web clon idéntica a la original.

Paso 3: Envío masivo

Utilizan plataformas de envío masivo de SMS (muchas legítimas, abusadas para fines ilícitos) o redes de teléfonos infectados. Pueden enviar cientos de miles de SMS en minutos a un coste mínimo.

Paso 4: La víctima muerde el anzuelo

Al pulsar el enlace, la víctima llega a una web falsa indistinguible de la real. Allí introduce sus datos: usuario y contraseña del banco, número de tarjeta, DNI...

Paso 5: Explotación

Con los datos robados, los ciberdelincuentes pueden:

Vaciar la cuenta bancaria de la víctima.
Realizar compras online con su tarjeta.
Suplantar su identidad para solicitar préstamos.
Vender los datos en la dark web.
Acceder a otras cuentas que usen las mismas credenciales.

🚨 Velocidad del robo

Desde que la víctima introduce sus datos bancarios hasta que el dinero desaparece de su cuenta pueden pasar menos de 3 minutos. Los atacantes suelen tener sistemas automatizados que realizan transferencias inmediatas en cuanto reciben las credenciales.

5. Smishing vs. Phishing vs. Vishing: diferencias

Estos tres tipos de estafa usan la misma base (ingeniería social), pero diferentes canales:

Tipo	Canal	Ejemplo	Tasa de éxito	Dificultad de detección
Phishing	Email	Email falso del banco pidiendo verificar cuenta	3-5%	Media (filtros anti-spam ayudan)
Smishing	SMS / Mensajes de texto	SMS falso de Correos con enlace	10-15%	Alta (pocos filtros, mucha confianza)
Vishing	Llamada telefónica	Llamada del «técnico de Microsoft»	15-25%	Muy alta (la voz humana genera confianza)

Como ves, el smishing tiene una tasa de éxito hasta 5 veces mayor que el phishing por email. Esto explica por qué los ciberdelincuentes están migrando masivamente al SMS como vector de ataque preferido.

🔐 Si tus credenciales se filtran, que al menos sean únicas

Si caes en un ataque de smishing y entregas una contraseña, el daño será mucho menor si esa contraseña es única para ese servicio. Usa contraseñas diferentes para cada cuenta.

Generar Contraseña Única →

6. Cómo identificar un SMS fraudulento en 5 segundos

Aplica esta checklist mental cada vez que recibas un SMS sospechoso. Si el mensaje cumple una o más de estas señales, es smishing:

🚩 Las 7 señales de alerta

Urgencia artificial: «Tienes 24 horas», «Tu cuenta será bloqueada», «Actúa inmediatamente». La urgencia es la herramienta número uno de los estafadores.
Enlace sospechoso: la URL no es el dominio oficial de la entidad. Mira la parte ANTES del primer «/»: si no es bbva.es, correos.es o agenciatributaria.es, es falso.
Te piden datos: ninguna entidad legítima te pedirá contraseñas, PIN, número de tarjeta o DNI por SMS.
Remitente genérico: un número de teléfono normal en lugar del nombre de la empresa.
Errores ortográficos: aunque cada vez son menos comunes, faltas de ortografía o frases mal construidas son una señal clara.
No lo esperabas: si no has pedido un paquete, no tienes cuenta en ese banco, o no has hecho la declaración de la renta, ¿por qué te escriben?
Recompensa inesperada: premios, devoluciones o regalos que no has solicitado son SIEMPRE estafas.

✅ La regla de oro

Nunca pulses un enlace de un SMS. Punto. Si el mensaje parece ser de tu banco, abre la app del banco directamente o llama al teléfono oficial. Si es de Correos, entra en correos.es manualmente. Nunca a través del enlace del SMS.

7. ¿Has picado? Qué hacer inmediatamente

Si ya has pulsado un enlace de smishing y has introducido datos, no entres en pánico, pero actúa rápido. Cada minuto cuenta:

⏱️ En los primeros 5 minutos

Llama a tu banco INMEDIATAMENTE. Pide que bloqueen tu tarjeta y/o cuenta. Todos los bancos tienen línea de atención 24 horas para emergencias de fraude.
Cambia la contraseña del servicio comprometido desde otro dispositivo (no desde el que pulsaste el enlace).
Si compartiste la contraseña de tu email, cambia también la contraseña del email ya que es la llave maestra de todas tus cuentas.

⏱️ En la primera hora

Activa el doble factor de autenticación en todas las cuentas que puedas.
Revisa si usas esa misma contraseña en otros servicios y cámbialas todas. Usa una contraseña única y aleatoria para cada una.
Comprueba los movimientos bancarios de las últimas horas. Si ves cargos no reconocidos, indícalo al banco.

⏱️ En las primeras 24 horas

Denuncia ante la Policía Nacional o Guardia Civil (presencialmente o en línea).
Reporta el SMS al INCIBE (017, gratuito y confidencial).
Si instalaste alguna app desde el enlace, desinstálala inmediatamente y considera hacer un restablecimiento de fábrica del móvil.
Instala un gestor de contraseñas y cambia TODAS tus contraseñas importantes.

📞 Teléfonos de emergencia para fraude bancario en España

BBVA: 900 102 801 · CaixaBank: 900 40 40 90 · Santander: 915 123 123 · Sabadell: 963 085 000 · ING: 901 105 115 · Línea INCIBE: 017 (gratuito, 365 días)

8. 10 reglas de oro para protegerte del smishing

Nunca pulses enlaces en SMS. Ve directamente a la web o app oficial de la entidad.
Desconfía de la urgencia. Si el mensaje te presiona para actuar «ahora o nunca», es casi seguro una estafa.
Verifica por otro canal. Si recibes un SMS sospechoso de tu banco, llama al teléfono oficial (el del reverso de tu tarjeta, no el del SMS).
No compartas códigos de verificación. Jamás, bajo ningún concepto. Ni a tu «hijo», ni a tu «banco», ni a nadie que te lo pida por mensaje.
Usa contraseñas únicas para cada servicio. Si te roban una, que no sirva para nada más. Genera contraseñas únicas aquí.
Activa el 2FA. La autenticación de doble factor es tu red de seguridad si una contraseña se filtra.
Instala solo apps de tiendas oficiales. Nunca instales APKs desde enlaces de SMS.
Bloquea y reporta. Bloquea el número del remitente y reporta el mensaje como spam en tu app de mensajería.
Mantén tu móvil actualizado. Las actualizaciones de Android e iOS incluyen parches de seguridad contra malware.
Educa a tu entorno. Comparte esta información con familiares mayores, que son los más vulnerables a estas estafas.

9. Dónde y cómo denunciar en España

Denunciar es importante no solo para intentar recuperar tu dinero, sino para ayudar a las autoridades a rastrear y desmantelar las redes de estafadores.

Organismo	Cómo denunciar	Para qué sirve
Policía Nacional	Presencial en comisaría o en policia.es	Denuncia formal, necesaria para reclamaciones al banco
Guardia Civil (Grupo de Delitos Telemáticos)	gdt.guardiacivil.es	Investigación de ciberdelitos
INCIBE	Teléfono 017 (gratuito) o incibe.es	Asesoramiento técnico, gestión del incidente
AEPD	aepd.es	Si tus datos personales han sido comprometidos
Tu banco	Teléfono de emergencias de fraude	Bloqueo de cuenta/tarjeta, posible reembolso

💡 Sobre el reembolso bancario

Según la normativa europea de servicios de pago (PSD2), los bancos están obligados a devolverte el dinero en caso de transacciones no autorizadas, salvo que puedan demostrar «negligencia grave» por tu parte. Tener la denuncia policial y haber actuado rápidamente refuerza mucho tu posición.

🛡️ Refuerza todas tus cuentas ahora

Si sospechas que alguna contraseña ha podido ser comprometida en un ataque de smishing, cámbiala inmediatamente por una nueva contraseña robusta y única.

Generar Contraseñas Seguras →

10. Preguntas frecuentes

¿Qué es el smishing?

El smishing es una estafa de phishing que se realiza a través de mensajes SMS o de texto. Los ciberdelincuentes envían mensajes haciéndose pasar por entidades legítimas como bancos, Correos o Hacienda para engañarte y que pulses un enlace malicioso o compartas datos personales y bancarios.

¿Cómo puedo identificar un SMS de smishing?

Las señales de alerta incluyen: urgencia artificial (actúa ahora o perderás algo), enlaces acortados o con dominios extraños, errores ortográficos, solicitud de datos personales o bancarios, remitente desconocido o número genérico, y ofertas demasiado buenas para ser verdad.

¿Qué hago si he pulsado un enlace de smishing?

Si has pulsado el enlace pero no has introducido datos, cierra la página y borra el mensaje. Si has introducido datos bancarios, contacta inmediatamente con tu banco para bloquear la tarjeta o cuenta, cambia tus contraseñas, denuncia ante la Policía Nacional o Guardia Civil, y monitoriza tus movimientos bancarios.

¿Los bancos envían SMS con enlaces?

Los bancos españoles legítimos nunca te pedirán por SMS que pulses un enlace para verificar tu cuenta, introducir tus credenciales o confirmar datos personales. Si recibes un SMS así, es smishing. Ante la duda, llama directamente al teléfono oficial de tu banco.

¿Puedo recuperar el dinero si me han estafado por smishing?

Sí, es posible. Según la normativa PSD2, los bancos están obligados a devolver las transacciones no autorizadas salvo negligencia grave del cliente. Denuncia rápidamente a la policía y contacta con tu banco. Cuanto antes actúes, más probabilidades tendrás de recuperar el dinero.

¿Cómo consiguen mi número de teléfono los estafadores?

A través de brechas de datos de empresas donde te registraste, compra de bases de datos en la dark web, sorteos falsos en redes sociales, o simplemente generando números de teléfono secuencialmente. Tu número ya está ahí fuera con casi total probabilidad.

11. Conclusión

El smishing no va a desaparecer. De hecho, con la IA generativa permitiendo crear mensajes cada vez más convincentes y personalizados, las estafas por SMS van a ser cada vez más sofisticadas. Ya no basta con buscar faltas de ortografía: los mensajes de smishing de 2026 son gramaticalmente perfectos y contextualmente creíbles.

Tu mejor defensa no es la tecnología: es la mentalidad. Interioriza estas tres ideas y serás prácticamente inmune al smishing:

Ninguna entidad legítima te pedirá datos sensibles por SMS. Nunca. Bajo ninguna circunstancia. Si lo hacen, es una estafa.
La urgencia es siempre una señal de alarma. Las entidades reales te dan plazos razonables y múltiples formas de contacto. Los estafadores necesitan que actúes antes de pensar.
Ante la duda, usa otro canal. Si recibes un SMS sospechoso de tu banco, cuelga y llama tú al número oficial. Si es de Correos, ve a correos.es tú mismo. Nunca uses los datos de contacto del mensaje sospechoso.

Y por supuesto, asegúrate de que cada una de tus cuentas tiene una contraseña única y robusta. Porque si un ataque de smishing consigue una de tus contraseñas, al menos que esa contraseña solo abra una puerta, no todas las puertas de tu vida digital.

Comparte este artículo con tu familia, especialmente con los más mayores. Ellos son el objetivo favorito de los estafadores. Un mensaje a tiempo puede evitar que tu madre pierda los ahorros de toda una vida por un SMS de un paquete que nunca pidió.

🔐 Protege cada cuenta con contraseñas únicas

Si un ataque de smishing compromete una contraseña, que no sirva para acceder a nada más. Genera una contraseña diferente para cada servicio.

Ir al Generador de Contraseñas →

Artículos relacionados que te pueden interesar: