Tu banco no te va a pedir nunca la clave por SMS, y sin embargo miles de personas siguen pinchando cada semana en un enlace que parece perfectamente legítimo. El fraude online alcanzó 45.445 casos en España en 2025 según el INCIBE, un 19% más que el año anterior, y el phishing bancario por mensaje de texto lidera esa oleada con más de 25.000 incidentes.
Lo más inquietante no es la cifra, sino cómo ha cambiado el engaño. Los mensajes ya no llegan con faltas de ortografía ni redacción torpe: ahora se cuelan en el mismo hilo de conversación donde recibes los avisos reales de tu entidad, y eso desactiva cualquier sospecha inicial.
Cómo funciona el fraude por SMS que está engañando a media España
El mecanismo es sencillo pero eficaz. Los delincuentes manipulan el identificador del remitente para que el mensaje aparezca literalmente bajo el nombre de tu banco, mezclado con tus códigos de verificación reales. La víctima no tiene motivos para desconfiar porque el SMS falso convive en el mismo hilo que los mensajes legítimos de siempre.
En las variantes más agresivas, el ataque se vuelve híbrido: primero llega el SMS para generar alarma, y después una llamada de un supuesto "departamento de seguridad" del banco. Si en ese momento la víctima recibe un código OTP real —porque el criminal acaba de iniciar una operación desde la web falsa—, lo interpreta como prueba de que todo es legítimo y lo dicta en voz alta sin dudarlo.
Por qué el SMS se ha convertido en el arma favorita de los estafadores
Esta técnica tiene nombre propio: se llama SMS phishing, o smishing, y combina precisamente esas dos palabras. A diferencia del correo electrónico, el mensaje de texto genera una sensación de cercanía inmediata que el email ya no consigue despertar en nadie.
Muchos usuarios que jamás abrirían un enlace sospechoso en su bandeja de entrada bajan la guardia en cuanto ven la notificación en la pantalla del móvil. Los estafadores lo saben, y por eso han desplazado buena parte de sus campañas del correo al SMS: el móvil se ha convertido en el punto ciego de nuestra seguridad digital.
No solo los bancos: la Agencia Tributaria también está siendo suplantada
El fenómeno no se limita a Santander, BBVA o CaixaBank. El INCIBE alertó hace apenas unas semanas de una campaña activa que suplanta a la Agencia Tributaria, catalogada con importancia alta. El SMS avisa de una supuesta devolución pendiente o un error en la declaración de la renta, con un enlace que conduce a una web diseñada para robar credenciales.
La Policía y la propia AEAT insisten en un mensaje muy simple: la Agencia Tributaria nunca pide datos bancarios por mensaje de texto. Cualquier notificación oficial llega por la sede electrónica o por carta certificada, nunca con un enlace directo esperando tu clic urgente.
Las señales que delatan un SMS fraudulento
Detectar estos mensajes ya no es tan sencillo como buscar errores gramaticales, porque la inteligencia artificial ha pulido la redacción de los estafadores. Aun así, hay patrones que se repiten casi siempre y que conviene tener siempre presentes antes de tocar la pantalla.
Estos son los elementos que deberían activar tu alarma interna en cuanto los detectes:
- Urgencia extrema: frases como "actúa ahora" o "tu cuenta será bloqueada" son diseño del fraude, no comunicación bancaria real.
- Enlace con dominio sospechoso: si la URL no termina exactamente en el dominio oficial de tu banco o de la AEAT, no lo abras bajo ningún concepto.
- Solicitud de código OTP por teléfono: ningún banco te pedirá jamás que dictes en voz alta el código que acabas de recibir.
- Remitente que parece oficial pero es reciente: aunque el nombre esté suplantado, el hilo de mensajes puede revelar inconsistencias si te fijas en la fecha del primer contacto.
Qué hacer si ya has pinchado o si te llega otro mensaje sospechoso
Si detectas el SMS a tiempo y no has llegado a pinchar, la solución es la más aburrida y también la más eficaz: bórralo y bloquea el remitente. El INCIBE recomienda además reportarlo a su buzón de incidentes para ayudar a que otras personas no caigan en la misma trampa.
Si ya has introducido tus datos en la web falsa, el tiempo importa. Llama de inmediato a tu banco para bloquear cuentas y tarjetas, guarda capturas de pantalla como prueba y presenta denuncia ante las Fuerzas y Cuerpos de Seguridad del Estado. Cuanto antes actúes, menor será el daño que los estafadores puedan hacer con lo que ya tienen.
Lo que viene: más inteligencia artificial, pero también más protección
El panorama no pinta sencillo a corto plazo. En 2026, el phishing asistido por inteligencia artificial ya genera mensajes personalizados con datos reales de la víctima extraídos de filtraciones previas, sin errores gramaticales y adaptados al estilo de comunicación de cada banco. La redacción chapucera que antes delataba la estafa ha desaparecido casi por completo.
La buena noticia es que las administraciones no se han quedado quietas: la CNMC prepara un sistema de bloqueo de SMS falsos de bancos y empresas que suplantan remitentes, aunque su entrada en vigor se ha retrasado hasta septiembre. Mientras llega esa protección técnica, la mejor defensa sigue siendo la de siempre: desconfiar por sistema de cualquier enlace que llegue sin que tú lo hayas pedido.





