More Information
Smishing: definición de la estafa por SMS que suplanta a entidades

Smishing: definición de la estafa por SMS que suplanta a entidades

No eres el único que se ha sentido engañado al recibir un SMS falso de tu banco. El Smishing: definición de la estafa por SMS que suplanta a entidades es una de las amenazas digitales que más víctimas está causando actualmente en España. Te explico qué puedes hacer legalmente para recuperar tu dinero, cómo denunciar correctamente y qué responsabilidad tiene tu banco cuando caes en esta trampa digital.

En este artículo analizaremos en profundidad qué es el smishing, cómo identificarlo, las medidas preventivas más efectivas y los pasos legales a seguir si has sido víctima de este tipo de fraude.

¿Qué es el smishing? Entendiendo esta peligrosa modalidad de fraude

El smishing es una técnica de ingeniería social que combina los SMS (mensajes de texto) con el phishing. Los ciberdelincuentes envían mensajes de texto fraudulentos haciéndose pasar por entidades legítimas —generalmente bancos, servicios de paquetería o instituciones públicas— con el objetivo de obtener datos personales, bancarios o claves de acceso.

A diferencia del phishing tradicional por email, el smishing aprovecha la inmediatez y la confianza que generan los mensajes de texto. La mayoría de personas revisa sus SMS casi instantáneamente y tiende a confiar más en este canal que en el correo electrónico.

En mi experiencia como abogado especializado en ciberdelitos, he observado que las víctimas de smishing suelen actuar impulsivamente ante la sensación de urgencia que generan estos mensajes fraudulentos.

Características principales de los ataques de smishing

Los mensajes de suplantación de identidad vía SMS suelen presentar estos elementos comunes:

  • Tono de urgencia («Su cuenta ha sido bloqueada»)
  • Enlaces acortados que ocultan la URL real
  • Solicitud de datos personales o bancarios
  • Suplantación de remitentes conocidos (tu banco, Correos, Hacienda…)
  • Errores gramaticales o de formato (aunque cada vez menos evidentes)

¿Quieres saber por qué esto es tan importante? Porque según datos de la Policía Nacional, las estafas por suplantación de entidades bancarias vía SMS han aumentado un 300% en los últimos dos años, convirtiéndose en uno de los ciberdelitos más comunes en España.

Entidades más suplantadas en los ataques de smishing

Los ciberdelincuentes no eligen sus objetivos al azar. Se centran en organizaciones cuya suplantación puede generar mayor credibilidad y urgencia en las potenciales víctimas:

  • Entidades bancarias: BBVA, Santander, CaixaBank, Sabadell
  • Servicios de paquetería: Correos, SEUR, MRW, DHL
  • Administraciones públicas: Agencia Tributaria, Seguridad Social, DGT
  • Plataformas digitales: Netflix, Amazon, Apple

Aquí viene lo que nadie te cuenta: los estafadores suelen intensificar sus campañas de fraude por SMS suplantando entidades en momentos específicos del año, como la campaña de la Renta, Black Friday o Navidad, cuando las personas esperan comunicaciones legítimas de estas organizaciones.

Cómo funciona el proceso de estafa por smishing

Para entender completamente el fraude mediante SMS que suplanta entidades, es importante conocer las fases típicas de estos ataques:

Fase 1: Captación de la víctima

El proceso comienza con el envío masivo de SMS fraudulentos. Los mensajes suelen incluir:

  • Alertas sobre supuestos movimientos sospechosos en cuentas bancarias
  • Notificaciones de paquetes retenidos que requieren pago de tasas
  • Comunicaciones sobre devoluciones o reembolsos pendientes
  • Avisos sobre la necesidad de verificar la identidad por motivos de seguridad

La clave está en actuar rápido, y te explico por qué: estos mensajes siempre incluyen un enlace malicioso que dirige a una página web fraudulenta que imita perfectamente la imagen de la entidad legítima.

Fase 2: Robo de credenciales

Una vez que la víctima accede al enlace, se encuentra con un sitio web prácticamente idéntico al original. Estas páginas falsas están diseñadas para:

  • Capturar credenciales de acceso a banca online
  • Obtener datos de tarjetas de crédito
  • Recopilar información personal para futuras estafas
  • Instalar malware en el dispositivo

Esto es lo que muchas víctimas no saben: los ciberdelincuentes pueden estar monitorizando en tiempo real la información que introduces, permitiéndoles acceder inmediatamente a tus cuentas.

Fase 3: Vaciado de cuentas o fraude posterior

Con los datos obtenidos, los estafadores proceden a:

  • Realizar transferencias no autorizadas
  • Efectuar compras fraudulentas
  • Solicitar préstamos rápidos a tu nombre
  • Vender tus datos en la dark web

Marco legal de las estafas por SMS en España

Las estafas mediante suplantación de identidad por SMS están tipificadas en el Código Penal español, concretamente en los artículos 248 y siguientes. El art. 248.2.a CP contempla específicamente la estafa informática, castigando a quienes «con ánimo de lucro y valiéndose de alguna manipulación informática o artificio semejante, consigan una transferencia no consentida de cualquier activo patrimonial en perjuicio de otro».

Además, el RD-ley 19/2018, que transpone la Directiva europea PSD2, regula la responsabilidad bancaria en operaciones no autorizadas, estableciendo que el banco debe devolver inmediatamente el importe de la operación no autorizada, salvo que exista negligencia grave por parte del cliente.

Quizás también te interese:  ¿Qué es el phishing bancario y cómo reconocerlo en tu email?

Como abogado que ha gestionado decenas de reclamaciones, considero clave denunciar el mismo día en que detectas el fraude, ya que esto fortalece enormemente tu posición frente al banco.

¿Cómo protegerse del smishing y la suplantación de entidades?

La prevención es fundamental ante el fraude por SMS que suplanta a entidades bancarias y otras organizaciones. Estas son las medidas más efectivas:

  • Nunca accedas a enlaces recibidos por SMS, especialmente si provienen de supuestas entidades bancarias
  • Verifica siempre la comunicación contactando directamente con la entidad a través de sus canales oficiales
  • Desconfía de mensajes con tono urgente que solicitan acción inmediata
  • Activa la autenticación de dos factores en todos tus servicios digitales
  • Instala aplicaciones de seguridad que detecten y bloqueen SMS sospechosos
  • Mantén actualizados tus dispositivos con los últimos parches de seguridad

Recuerda que ninguna entidad legítima te solicitará datos sensibles por SMS ni te pedirá que accedas a tu banca online a través de enlaces enviados por mensaje.

Pasos a seguir si has sido víctima de smishing

Si has caído en una estafa por SMS que suplanta entidades, es crucial actuar con rapidez:

  1. Contacta inmediatamente con tu entidad bancaria para bloquear cualquier operación sospechosa
  2. Cambia todas tus contraseñas, especialmente las de servicios financieros
  3. Recopila todas las pruebas: capturas de pantalla del SMS, de la web fraudulenta, movimientos bancarios
  4. Presenta una denuncia formal ante la Policía Nacional o Guardia Civil
  5. Notifica el incidente a la Oficina de Seguridad del Internauta (OSI) y al INCIBE
  6. Reclama formalmente al banco la devolución del dinero sustraído
Quizás también te interese:  ¿Qué elementos debe tener un delito para considerarse estafa según el Código Penal español?

En mi experiencia en casos de smishing y suplantación de entidades, siempre recomiendo actuar en las primeras 24 horas, ya que este periodo es crítico para poder rastrear y potencialmente recuperar los fondos sustraídos.

Responsabilidad bancaria en casos de smishing

Un aspecto fundamental que muchas víctimas desconocen es la responsabilidad de las entidades bancarias en estos casos. Según el RD-ley 19/2018, el banco debe demostrar que actuaste con «negligencia grave» para eximirse de responsabilidad.

Sin embargo, la jurisprudencia reciente está siendo cada vez más favorable al consumidor, reconociendo que:

  • La sofisticación de las estafas hace difícil detectarlas incluso para usuarios precavidos
  • Los bancos tienen la obligación de implementar sistemas de seguridad robustos
  • Las entidades deben verificar adecuadamente las operaciones sospechosas
Quizás también te interese:  Diferencia entre estafa informática y apropiación indebida en internet

Si el banco se niega a devolverte el dinero, puedes escalar tu reclamación al Servicio de Reclamaciones del Banco de España e incluso iniciar acciones judiciales con altas probabilidades de éxito.

Conclusión: la importancia de estar alerta ante el smishing

El smishing o estafa por SMS que suplanta entidades representa una amenaza creciente en nuestro entorno digital. La sofisticación de estas técnicas hace que incluso los usuarios más precavidos puedan caer en la trampa. La clave está en la prevención, la desconfianza ante comunicaciones no solicitadas y la actuación rápida en caso de ser víctima.

Si has sido víctima de smishing y no sabes por dónde empezar, no estás solo. Actuando rápido y con el asesoramiento legal adecuado, puedes recuperar tu dinero. Como abogado especializado en ciberdelitos, te ayudo a defender tus derechos desde el primer momento.

Preguntas frecuentes sobre el smishing

¿Cuánto tiempo tengo para denunciar una estafa por smishing?

Legalmente, dispones de hasta 5 años para denunciar el delito de estafa (plazo de prescripción según el art. 131 CP). Sin embargo, para maximizar las posibilidades de recuperar tu dinero, debes actuar en las primeras 24-48 horas. En cuanto a la reclamación bancaria, debes notificar la operación no autorizada en cuanto tengas conocimiento de ella y, en todo caso, en un plazo máximo de 13 meses desde el cargo.

¿Puede el banco negarse a devolver el dinero en casos de smishing?

El banco puede negarse inicialmente alegando «negligencia grave» por tu parte, pero esto no significa que no puedas recuperar tu dinero. Según el RD-ley 19/2018, la carga de la prueba recae sobre la entidad bancaria, que debe demostrar que actuaste de forma negligente. Muchas reclamaciones inicialmente rechazadas son posteriormente estimadas tras reclamar ante el Banco de España o por vía judicial.

¿Qué pruebas necesito para reclamar por un caso de smishing?

Las pruebas más importantes son: capturas de pantalla del SMS fraudulento, del sitio web falso al que fuiste dirigido, comprobantes de las transferencias o cargos no autorizados, copia de la denuncia policial, y registro de todas las comunicaciones con el banco. También es útil documentar la rapidez con la que actuaste al detectar el fraude, ya que esto demuestra tu diligencia y puede contrarrestar alegaciones de negligencia.

Imagen de Pablo Ródenas

Pablo Ródenas

Abogado ejerciente del ICAM con más de 15 años de experiencia. Colegiado del Ilustre Colegio de Abogados de Madrid, colegiado número de colegiado 128.064. Especializado en penal, familia e inmobiliario Actual Director del bufete Ródenas Abogados y Asociados S.L.U. Licenciado en Derecho por la Universidad Instituto de Estudios Bursátiles (I.E.B.) con Máster de Acceso a la Abogacía.

Artículos relacionados

Impresoras 3D falsas pedidos que nunca llegan

24 diciembre, 2025 No hay comentarios

«`html Si has caído en la trampa de impresoras 3D falsas y pedidos que nunca llegan, no estás solo. Como abogado especializado en ciberdelitos, he visto un aumento alarmante de casos donde entusiastas de la impresión 3D pierden cientos o miles de euros en equipos

Leer más »

¿Qué hacer si licencia de software era pirata?

24 diciembre, 2025 No hay comentarios

¿Descubriste que tu licencia de software era pirata y no sabes qué hacer? No eres el único que se ha sentido engañado al adquirir software con licencias ilegítimas. Como abogado especializado en ciberdelitos, te explico las implicaciones legales y los pasos a seguir para regularizar

Leer más »

Desbloqueo de iCloud falso servicios ineficaces

24 diciembre, 2025 No hay comentarios

«`html Entiendo perfectamente la frustración que sientes si has caído en la trampa de un servicio de desbloqueo de iCloud falso. No eres el único que ha sido engañado por estos supuestos «expertos» que prometen liberar dispositivos bloqueados. Como abogado especializado en ciberdelitos, te explicaré

Leer más »

¿CÓMO PODEMOS AYUDARTE?

Completa el siguiente formulario para contactar con nosotros.