Como evitar estafas bancarias por SMS

Cómo evitar estafas bancarias por SMS
Seguridad financiera · Mayo 2026

Guía de seguridad bancaria

Cómo evitar
estafas bancarias
por SMS

El smishing crece cada año. Aprende a reconocer los mensajes falsos antes de que sea demasiado tarde.

Por el equipo de Ciberseguridad  ·  Lectura: 5 minutos

Cada día miles de personas en España reciben SMS que imitan a su banco con una urgencia alarmante. Detrás de ese mensaje hay delincuentes que buscan una sola cosa: que hagas clic antes de que pienses. Esta guía te da las herramientas para no caer.

74% de las estafas financieras
llegan por SMS o email
3 seg tiempo promedio en que
la víctima hace clic
+40% aumento de casos de smishing
en los últimos dos años

¿Qué es el smishing?

El término smishing combina «SMS» y «phishing». Es una técnica de fraude en la que los delincuentes envían mensajes de texto haciéndose pasar por entidades de confianza —bancos, Hacienda, Correos, empresas de mensajería— con el objetivo de robar tus credenciales bancarias, datos personales o dinero directamente.

Los mensajes suelen llegar al mismo hilo de conversación que los SMS legítimos de tu banco, porque los estafadores pueden falsificar el nombre del remitente («CaixaBank», «BBVA», «Santander»…). Esto los hace especialmente peligrosos.

⚠ Por qué funciona tan bien

Los SMS generan una sensación de urgencia inmediata. A diferencia del correo electrónico, estamos acostumbrados a leerlos en segundos y reaccionar sin reflexionar. Los estafadores explotan exactamente este reflejo.

SMS falso vs. SMS real

Compara estos dos mensajes. El primero es una trampa; el segundo, un aviso legítimo:

⛔ SMS fraudulento — No hagas clic
De: BBVA
🔴 BBVA: Hemos detectado un acceso no autorizado a tu cuenta. Para evitar el bloqueo, verifica tu identidad ahora:

http://bbva-seguro.verify-account.com/acceso enlace falso
El dominio no pertenece a BBVA. El banco nunca envía enlaces de verificación por SMS.
✓ SMS legítimo — Referencia segura
De: BBVA
Tu código de seguridad para confirmar la operación es: 847 291. Caduca en 5 minutos. Si no reconoces esta operación, llama al 900 102 801.
Solo contiene un código. No pide datos, no incluye enlaces, ofrece número de teléfono oficial.

Las 8 señales de alarma

Ante cualquier SMS bancario, busca estas señales de fraude:

  • Urgencia extrema — Palabras como «inmediatamente», «en 24 horas», «tu cuenta será bloqueada» son la firma del smishing.
  • Enlace sospechoso — El dominio no es el oficial del banco (p. ej. bbva.es), sino una variación o acortador de URL.
  • Petición de contraseña o PIN — Ningún banco legítimo te pedirá tus credenciales completas por SMS.
  • Errores ortográficos o gramática extraña — Faltas de acento, puntuación rara o frases construidas con traducción automática.
  • Número de teléfono desconocido — Si el remitente es un número de móvil ordinario y no el nombre de tu banco, es sospechoso.
  • Premia o regala algo — «Has ganado un reembolso», «tienes un pago pendiente a tu favor». El anzuelo del dinero fácil.
  • Solicita instalar una app — Ningún banco pide que descargues software desde un enlace de SMS.
  • No has iniciado ninguna acción — Recibes un código de verificación sin haber hecho nada. Alguien está intentando entrar en tu cuenta.
«Tu banco nunca te pedirá que confirmes tu contraseña, número de tarjeta o PIN completo a través de un mensaje de texto.» Banco de España — Guía de ciberseguridad para clientes

Qué hacer si recibes un SMS sospechoso

  1. Para. No hagas clic. El primer impulso es lo que los estafadores buscan. Respira y evalúa el mensaje con calma antes de tocar ningún enlace.
  2. Verifica por otro canal. Llama al número oficial de tu banco (el que figura en tu tarjeta o en su web oficial, no en el SMS) para confirmar si el aviso es real.
  3. Inspecciona el enlace sin abrirlo. En móvil, mantén el dedo pulsado sobre el enlace para ver la URL real. Si el dominio no es el oficial, no lo abras.
  4. Elimina el mensaje. Una vez identificado como fraude, elimínalo. Reporta el número como spam en tu teléfono para proteger a otros.
  5. Denuncia el intento. Informa a la Policía Nacional (en línea o en la comisaría), al INCIBE (017) y a tu banco. Tu denuncia ayuda a cerrar las webs fraudulentas.

Si ya has caído en la trampa

No entres en pánico, pero actúa con rapidez:

⚠ Acción inmediata

  • 1
    Llama a tu banco de inmediato y pide que bloqueen tu tarjeta y cuenta.
  • 2
    Cambia la contraseña de la banca online desde un dispositivo distinto y seguro.
  • 3
    Activa la autenticación en dos pasos si aún no la tenías.
  • 4
    Revisa los movimientos de los últimos días y denuncia cargos no reconocidos.
  • 5
    Presenta denuncia ante la Policía Nacional y guarda todos los SMS como evidencia.

Los bancos están obligados por la normativa europea (PSD2) a investigar y, en muchos casos, reembolsar los cargos fraudulentos si demuestras que fuiste víctima de un engaño. No renuncies a reclamar.

Hábitos que te protegen

✓ Buenas prácticas

  • Activa las notificaciones push en la app oficial de tu banco en lugar de depender de SMS para alertas de seguridad.
  • Usa autenticación biométrica o una app de autenticación (Google Authenticator, Microsoft Authenticator) en lugar del SMS como segundo factor.