Llevas el móvil en el bolsillo y de repente vibra. Un mensaje. Tu banco te avisa de que han bloqueado tu tarjeta por seguridad. O Correos te dice que tu paquete está retenido y necesitas pagar 1,20€ para que lo entreguen. O la Agencia Tributaria te informa de que tienes una devolución pendiente de 340€ que caduca hoy.
El mensaje tiene el nombre oficial. A veces incluso aparece en el mismo hilo que los mensajes reales de esa entidad. El enlace parece legítimo. Y la urgencia que transmite hace que actúes sin pensar demasiado.
Eso es exactamente el smishing. Y en 2026 es una de las estafas más extendidas en España, con miles de víctimas cada mes que pierden desde unos pocos euros hasta los ahorros de toda una vida.
Qué es exactamente el smishing y en qué se diferencia del phishing
El smishing es la versión por SMS del phishing. El nombre viene de combinar SMS y phishing, y describe exactamente lo que es: un intento de engaño que llega a través de un mensaje de texto al móvil en lugar de por correo electrónico.
La diferencia con el phishing tradicional no es solo el canal. Es la forma en que actúa sobre la víctima. Un correo electrónico sospechoso suele generar más desconfianza porque estamos acostumbrados a ver spam en el correo. Un SMS, en cambio, sigue percibiendo como algo más inmediato y personal. Cuando el móvil vibra con un mensaje, la mayoría de personas lo abre en segundos y reacciona mucho más rápido que ante un correo.
Los estafadores lo saben y lo explotan deliberadamente. El smishing está diseñado para capturar ese momento de reacción automática antes de que el sentido crítico tenga tiempo de activarse.
Por qué el smishing funciona tan bien en España
Hay varios factores que hacen al smishing especialmente efectivo en el contexto español actual.
El primero es el volumen de compras online. Desde la pandemia, millones de españoles compran habitualmente por internet y esperan paquetes con regularidad. Eso hace que un SMS de Correos, DHL o Amazon sobre un problema con una entrega sea perfectamente plausible en cualquier momento del día.
El segundo es la tecnología de spoofing de SMS. Los estafadores pueden falsificar el nombre del remitente que aparece en el mensaje, de forma que el SMS llega como si viniera de «BBVA», «Santander» o «Correos» en lugar de desde un número desconocido. En muchos casos el mensaje falso aparece directamente en el mismo hilo de conversación que los mensajes legítimos previos de esa entidad, lo que hace casi imposible distinguirlos a simple vista.
El tercero es la pequeña cantidad que suelen pedir inicialmente. Muchas campañas de smishing empiezan pidiendo menos de dos euros, una cantidad tan ridícula que desactiva la alarma de la víctima. Pero el objetivo real no es esa cantidad sino los datos de la tarjeta que introduces para pagarla.
Las campañas de smishing más frecuentes en 2026
El SMS del banco con enlace urgente
Tu banco te escribe diciendo que han detectado un acceso sospechoso y que debes verificar tu identidad haciendo clic en un enlace. O que tu tarjeta ha sido bloqueada y necesitas confirmar tus datos para desbloquearla. O que hay una transferencia pendiente de autorización.
El enlace lleva a una página que imita a la perfección la web de tu banco. Introduces tus credenciales de banca online y en ese momento el estafador tiene acceso completo a tu cuenta. En algunos casos también te piden el código que te llega por SMS para confirmar operaciones, que es exactamente el código que necesitan para completar una transferencia fraudulenta que ya han iniciado.
Tu banco nunca te pedirá por SMS que introduzcas tus credenciales completas en un enlace. Nunca. Si recibes algo así, llama directamente al número del reverso de tu tarjeta antes de hacer nada más.
El SMS de Correos con la tasa de aduanas
Llegas o no llegas a esperar un paquete, eso da igual. El SMS dice que tienes un envío retenido en aduana y que necesitas pagar una pequeña tasa, habitualmente entre 1 y 3 euros, para que procedan a la entrega. El enlace lleva a una página que imita al sitio de Correos donde introduces los datos de tu tarjeta.
El problema es doble. Por un lado no hay ningún paquete ni ninguna tasa real. Por otro, una vez que introduces los datos de tu tarjeta en esa página, los estafadores los tienen y pueden hacer cargos bastante más grandes que esos 1,20 euros iniciales.
Correos nunca gestiona el pago de tasas de aduana a través de SMS con enlace. Si tienes un paquete retenido lo sabrás a través de un aviso oficial y podrás gestionarlo directamente en la web oficial de Correos accediendo tú mismo desde el navegador.
El SMS de Hacienda con la devolución pendiente
Especialmente frecuente en los meses de mayo y junio, coincidiendo con la campaña de la renta. Te llega un SMS diciendo que tienes una devolución pendiente de la Agencia Tributaria y que debes confirmar tus datos bancarios para recibirla. El enlace lleva a una página falsa que imita al portal de la AEAT.
La Agencia Tributaria nunca te pedirá datos bancarios por SMS. Las devoluciones de la renta se gestionan directamente a través del número de cuenta que ya tienes registrado en la declaración, sin necesidad de confirmaciones adicionales por mensaje.
El SMS de una plataforma con tu cuenta comprometida
Netflix, Amazon, PayPal, Spotify. Cualquier plataforma popular puede ser el pretexto. El mensaje dice que han detectado un acceso no autorizado y que debes verificar tu identidad para proteger la cuenta. O que tu método de pago ha fallado y necesitas actualizarlo urgentemente.
El patrón es siempre el mismo: urgencia, enlace, página falsa, robo de credenciales o datos bancarios.
Cómo detectar un SMS falso antes de hacer clic
Hay señales concretas que distinguen un SMS fraudulento de uno legítimo, aunque no siempre son obvias a primera vista.
La urgencia exagerada es la señal más clara. Frases como «actúa antes de 24 horas», «tu cuenta será bloqueada si no verificas hoy» o «última oportunidad para reclamar» son técnicas de presión deliberadas. Las entidades reales no gestionan asuntos urgentes de seguridad exclusivamente por SMS.
La URL acortada o sospechosa es otro indicador importante. Antes de hacer clic en cualquier enlace de un SMS, mira bien la dirección. Una URL legítima de tu banco terminará en el dominio oficial de la entidad. Una URL fraudulenta puede parecerse mucho pero tendrá alguna variación: letras adicionales, guiones, subdominios extraños o un dominio completamente diferente disfrazado con el nombre de la entidad.
La solicitud de datos que ya tienen. Si tu banco ya tiene tus datos, no necesita que los confirmes por SMS. Si Correos tiene tu dirección para entregar un paquete, ya sabe dónde enviarlo. Cualquier SMS que te pida confirmar información que la entidad debería tener ya es una señal de alerta.
El número de origen desconocido también puede ser una pista, aunque no siempre es fiable porque el spoofing puede hacer que aparezca el nombre oficial de la entidad en lugar del número.
Qué hacer si recibes un SMS sospechoso
Lo más importante es no hacer clic en ningún enlace del SMS. Aunque el mensaje parezca completamente legítimo, aunque aparezca en el mismo hilo que mensajes reales anteriores, aunque la urgencia que transmite sea muy alta.
Si el SMS menciona un problema con tu banco, cierra el mensaje y llama directamente al número oficial de atención al cliente que aparece en el reverso de tu tarjeta. Ellos podrán confirmarte si hay alguna incidencia real en tu cuenta.
Si menciona un paquete de Correos u otra agencia, ve directamente a la web oficial de esa agencia escribiendo la dirección tú mismo en el navegador y consulta el estado de tus envíos desde ahí.
Si ya has hecho clic y has introducido datos bancarios, actúa de inmediato. Llama a tu banco para bloquear la tarjeta y revisar los movimientos recientes. Cambia las contraseñas de los servicios que hayas podido comprometer. Denuncia ante la Policía Nacional con toda la documentación disponible.
Puedes también reportar el número o el SMS fraudulento al Instituto Nacional de Ciberseguridad en incibe.es, que mantiene un registro actualizado de campañas de smishing activas en España.
La regla de oro para no caer nunca en smishing
Existe una regla muy sencilla que, si la interiorizas, te protege de prácticamente cualquier campaña de smishing independientemente de lo sofisticada que sea.
Nunca uses el enlace de un SMS para acceder a ningún servicio.
Da igual lo legítimo que parezca el mensaje. Da igual la urgencia. Si necesitas acceder a tu banco, abre el navegador y escribe la dirección tú mismo. Si necesitas consultar el estado de un paquete, busca la web oficial y entra desde ahí. Si tienes dudas sobre si hay un problema real con alguna cuenta, llama por teléfono al número oficial.
El enlace del SMS es siempre el punto de entrada del smishing. Sin ese clic, la estafa no puede funcionar.
Si quieres saber más sobre cómo funcionan otros tipos de fraude telefónico, puedes leer nuestro artículo sobre cómo detectar el vishing o estafa de llamada del banco.
Preguntas frecuentes
¿Es posible que un SMS falso aparezca en el mismo hilo que los mensajes reales de mi banco? Sí, completamente. Los estafadores usan técnicas de spoofing que falsifican el nombre del remitente y hacen que el mensaje fraudulento aparezca en el mismo hilo de conversación que los mensajes legítimos previos. Es una de las razones por las que el smishing es tan difícil de detectar a simple vista.
¿Qué pasa si hago clic en el enlace pero no introduzco ningún dato? En la mayoría de casos no ocurre nada grave solo con hacer clic. El riesgo real surge cuando introduces datos en la página falsa. Dicho esto, algunas páginas maliciosas pueden intentar instalar software en dispositivos vulnerables, así que es mejor no hacer clic en ningún caso.
¿Cómo denuncio un SMS de smishing? Puedes denunciarlo ante la Policía Nacional, ya sea de forma presencial o a través de su sede electrónica. También puedes reportarlo al INCIBE en incibe.es. Guarda una captura de pantalla del SMS como prueba antes de eliminarlo.
¿Mi operadora puede bloquear los SMS de smishing? Algunas operadoras tienen sistemas de filtrado de SMS fraudulentos que bloquean automáticamente mensajes identificados como spam o phishing. Consulta con tu operadora si tienen este servicio disponible y cómo activarlo.
¿El smishing solo afecta a personas mayores o poco tecnológicas? No. El smishing afecta a personas de todos los perfiles y niveles de conocimiento tecnológico. Las campañas están diseñadas para capturar el momento de reacción automática antes de que el pensamiento crítico se active, algo que puede ocurrirle a cualquiera en un momento de distracción o estrés.
Este contenido es informativo y no sustituye el asesoramiento profesional en materia legal o de seguridad digital.
✍️ Artículo elaborado por el Equipo NexoDigital