El SMS parece de toda la vida: logotipo de Correos, texto impecable, un importe ridículo —1,99 o 2,50 euros— y un enlace para liberar tu paquete. Lo que parece un trámite de nada es, en realidad, la puerta de entrada más efectiva para vaciar una cuenta bancaria en minutos. En 2026, más de 340.000 denuncias por fraude vía SMS se han registrado ya en España solo en los primeros meses del año. La técnica detrás de todo esto tiene nombre: smishing.
Correos y la DGT son las dos marcas más suplantadas en estas campañas porque combinan reconocimiento masivo con una excusa creíble: un paquete retenido o una multa pendiente de pago. El gancho emocional —urgencia, miedo a una sanción mayor— es tan poderoso que consigue desactivar el pensamiento crítico incluso en personas que se consideran precavidas. Saber que ese mecanismo existe es ya la mitad de la defensa.
Cómo funciona la estafa de Correos paso a paso
El SMS llega con el remitente "CORREOS" y un texto que avisa de que tu paquete no puede entregarse por un error en la dirección o por unas tasas de aduana pendientes. Al pulsar el enlace, aterrizas en una web que replica hasta el último pixel la página oficial: colores corporativos, logo, menú de navegación funcional. Solo el dominio, si lo miras con atención, delata la trampa.
Una vez dentro, el formulario solicita nombre, dirección y, en el paso siguiente, los datos completos de tu tarjeta. Lo que parece un cargo de dos euros es la llave que abre el resto de tu cuenta. Según datos del INCIBE, las estafas de smishing vinculadas a paquetería crecieron un 400% entre 2023 y 2025.
Correos y la DGT nunca te pedirán dinero por SMS
Correos tiene una política pública sin excepciones: nunca solicita pagos ni datos personales a través de un enlace en un mensaje de texto. Lo mismo aplica a la DGT, que solo notifica sanciones por correo postal certificado o a través de la Dirección Electrónica Vial (DEV), un buzón al que únicamente acceden los conductores dados de alta voluntariamente. Entender esto hace que el fraude sea casi imposible de ejecutar contra ti.
El smishing usa además una técnica llamada spoofing: el SMS fraudulento puede aparecer dentro del mismo hilo de mensajes legítimos que ya tienes de Correos en el móvil, porque los delincuentes manipulan el identificador del remitente. Ver el mensaje en ese hilo conocido desactiva todas las alarmas, incluso en personas que se consideran expertas en seguridad digital.
La trampa de la DGT: urgencia artificial y multas que no existen
El SMS de la DGT falso llega con el remitente "Sede Electrónica DGT" y avisa de una multa de entre 30 y 200 euros con un plazo de 24 o 48 horas para pagar antes de que la sanción se agrave o se inicie un embargo. Ese reloj invisible es el que apaga el pensamiento crítico y lleva a la gente a pulsar sin comprobar. Más de 27 millones de conductores hay en España: los estafadores juegan con la altísima probabilidad de acertar con alguien que realmente tenga un vehículo y haya recibido alguna multa en su vida.
La regla de oro es sencilla: ante cualquier SMS que mencione a la DGT y exija un pago urgente, ignora el enlace y accede directamente a dgt.gob.es o a la app oficial miDGT para verificar si realmente existe alguna sanción pendiente. La información oficial siempre estará ahí, sin prisas ni amenazas.
Las señales que delatan el fraude
La buena noticia es que, pese a que los mensajes cada vez son más sofisticados gracias al uso de inteligencia artificial generativa, siguen existiendo señales claras que permiten identificar la estafa:
- Remitente numérico o dominio extraño: si el enlace no termina en correos.es o dgt.gob.es, es fraude.
- Urgencia extrema: plazos de 24-48 horas o amenazas de recargo son el sello del timo.
- Pago mínimo de tasas: ninguna administración pública ni empresa postal te pedirá datos bancarios para cobrar 2 euros por SMS.
- Solicitud de datos de tarjeta: cualquier formulario que pida el número completo de tu tarjeta a través de un enlace recibido por SMS debe encender todas las alarmas.
Qué hacer si ya has pulsado el enlace
Si has introducido tus datos, cada minuto cuenta. Lo primero es llamar a tu banco de inmediato para bloquear la tarjeta y reportar las operaciones no autorizadas. Una sentencia del Tribunal Supremo de 2025 establece que los bancos deben asumir responsabilidad por operaciones no autorizadas derivadas de este tipo de fraude, lo que refuerza tus derechos como consumidor.
Reportar al INCIBE
Tanto si has caído en la trampa como si simplemente has recibido el SMS sin pulsar, debes reenviar el mensaje al INCIBE a través del correo incibe@incibe.es o llamar al 017, la línea gratuita de ciberseguridad para ciudadanos disponible de lunes a domingo. Cada denuncia ayuda a las autoridades a rastrear patrones y dar de baja los dominios fraudulentos con mayor rapidez.
Conservar las pruebas
Antes de borrar nada, haz capturas de pantalla del SMS y del enlace recibido. Esas pruebas son imprescindibles para interponer una denuncia ante la Policía Nacional o la Guardia Civil, y para reclamar al banco si te han realizado cargos no autorizados.
El smishing evoluciona: la IA ya borra los errores de ortografía
La industria criminal detrás del smishing opera como un negocio de software as a service: plataformas como Darcula, de origen chino, ofrecen más de 200 plantillas que suplantan marcas de todo el mundo y llegaron a comprometer cerca de 884.000 tarjetas bancarias en siete meses entre 2023 y 2024. En 2026 han incorporado inteligencia artificial generativa que elimina los errores ortográficos que antes eran la señal de alerta más fiable.
La respuesta institucional también se está modernizando: desde el 7 de junio de 2026, la CNMC obliga a los operadores a bloquear mensajes con alias no registrados, lo que reduce —aunque no elimina— una vía clave de suplantación. La mejor defensa sigue siendo la misma de siempre: desconfiar de cualquier SMS que pida dinero o datos, verificar siempre en la web oficial y denunciar. No hay tecnología que sustituya a un segundo de pausa antes de pulsar.
