Estafa SMS Correos marzo 2026: paquete retenido 1,99 €

Introducción: el SMS que parece inofensivo pero te vacía la cuenta

Un SMS de Correos te avisa de que tu paquete está retenido y solo necesitas pagar 1,99 € para recibirlo. Parece inofensivo, pero ese enlace roba tus datos bancarios en cuestión de segundos.

La Guardia Civil y el Gobierno de España han lanzado alertas urgentes en marzo de 2026 sobre una campaña masiva de smishing que suplanta a Correos y afecta a miles de ciudadanos en toda España [1][2].

El INCIBE ha gestionado más de 4.500 incidentes relacionados solo en las tres primeras semanas de marzo [3].

No es la primera vez que los estafadores utilizan el nombre de Correos, pero esta campaña es diferente.

Los mensajes llegan en el mismo hilo que las notificaciones legítimas de envío.

Las webs falsas replican el diseño actual de Correos al píxel.

Y los dominios fraudulentos utilizan certificados HTTPS que generan una falsa sensación de seguridad.

En España se recibieron más de 1.100 millones de paquetes en 2025, según la CNMC [4].

Prácticamente todos esperamos algún envío en cualquier momento dado.

Esa cotidianidad es precisamente lo que explotan los atacantes.

El importe de 1,99 € está diseñado para parecer tan insignificante que la víctima no se detiene a pensar.

Es la barrera psicológica más baja posible: ¿quién va a desconfiar de menos de dos euros?

Pero detrás de esos 1,99 € se esconde una operación criminal internacional con infraestructura técnica sofisticada, redes de blanqueo de capitales y miles de víctimas en toda Europa.

En este artículo voy a desgranar, desde la perspectiva de un perito informático forense, absolutamente todo lo que necesitas saber sobre esta campaña de smishing:

• Cómo funciona técnicamente, paso a paso.
• Qué infraestructura criminal hay detrás.
• Cómo distinguir un SMS legítimo de Correos de uno fraudulento.
• Qué hacer si ya has caído en la trampa.
• Cómo un perito informático analiza y preserva las pruebas para tu denuncia.
• Qué dice la ley y qué jurisprudencia ampara a las víctimas.
• Y cómo protegerte para que no vuelva a suceder.

Es la guía más completa que vas a encontrar en español sobre esta estafa.

Si has recibido un SMS sospechoso de Correos en marzo de 2026, o si ya has pulsado el enlace, sigue leyendo.

El tiempo corre en tu contra y cada minuto cuenta.

TL;DR: lo esencial en 60 segundos

Qué es el smishing: evolución y anatomía de un fraude

Del phishing al smishing: breve historia del engaño digital

El phishing —el intento de obtener datos confidenciales mediante suplantación de identidad— nació en los años 90 con el correo electrónico.

Los primeros ataques eran burdos: correos con errores ortográficos evidentes, diseños que no se parecían en nada a las webs oficiales y URLs tan sospechosas que un vistazo bastaba para descartarlas.

Pero la ingeniería social evoluciona.

A medida que los usuarios aprendieron a desconfiar de los correos electrónicos, los atacantes encontraron un nuevo canal mucho más eficaz: los mensajes de texto.

El término «smishing» combina «SMS» y «phishing» y designa los ataques de suplantación de identidad que utilizan mensajes de texto como vector.

Por qué los SMS son tan eficaces para estafar

Los números son demoledores:

El SMS tiene una tasa de apertura del 98 %, frente al 20-25 % del correo electrónico [5].

Esto significa que prácticamente todos los mensajes se leen.

Además, los filtros antispam de email han madurado durante dos décadas: Gmail, Outlook y otros proveedores detectan y bloquean la mayoría de intentos de phishing por correo.

Pero los filtros de SMS están en su infancia.

Android ofrece un filtro nativo desde hace pocos años y su eficacia es limitada.

iOS permite filtrar remitentes desconocidos, pero los SMS con Sender ID alfanumérico (como «Correos») pasan el filtro porque el sistema los trata como conocidos.

La vulnerabilidad del protocolo SMS

Para entender por qué el smishing es tan difícil de combatir, hay que entender cómo funciona el envío de SMS a nivel técnico.

El protocolo SMS se basa en el sistema de señalización SS7 (Signaling System No. 7), diseñado en los años 70 para gestionar llamadas telefónicas entre operadoras [6].

SS7 fue diseñado en una época en la que todos los participantes de la red eran operadoras de telecomunicaciones de confianza.

No existe verificación de identidad integrada en el protocolo.

Cuando un servicio de envío masivo de SMS envía un mensaje, puede configurar libremente el campo «remitente» (Sender ID).

Técnicamente, el proceso funciona así:

1. El atacante contrata un servicio de envío masivo de SMS, ya sea legítimo (abusando de sus condiciones) o clandestino (a través de la dark web).

2. Configura el Sender ID como «Correos» en el campo alfanumérico del mensaje. El protocolo SMS no verifica que ese remitente sea realmente Correos.

3. El SMS se inyecta en la red SS7 y se enruta hasta el operador del destinatario.

4. El teléfono del destinatario agrupa el mensaje en el mismo hilo de conversación que mensajes legítimos anteriores de Correos, porque el Sender ID coincide.

5. La víctima ve un SMS que aparece justo después de una notificación real de seguimiento de paquete, lo que elimina prácticamente toda sospecha.

Esta técnica se conoce como spoofing del identificador de remitente y es legal en muchos contextos (por ejemplo, las empresas la usan para enviar SMS desde su nombre comercial).

El problema es que no hay mecanismo para impedir que un atacante la use con fines fraudulentos.

Evolución del smishing postal en España

El smishing que suplanta a empresas de paquetería no es nuevo en España, pero su evolución ha sido vertiginosa:

Anatomía general de un ataque de smishing

Antes de entrar en los detalles específicos de la campaña de Correos de marzo de 2026, es útil entender la anatomía general de cualquier ataque de smishing:

Fase 1: Reconocimiento y preparación

El atacante identifica a la víctima potencial. En el caso del smishing postal, el segmento objetivo es amplísimo: cualquier persona que reciba paquetes, es decir, prácticamente toda la población.

No es necesario un reconocimiento individualizado. Basta con lanzar millones de SMS y esperar a que un porcentaje (aproximadamente el 3,2 %, según estimaciones del INCIBE [3]) muerda el anzuelo.

Fase 2: Entrega del anzuelo

El SMS se envía utilizando servicios de mensajería masiva, SIM farms (granjas de tarjetas SIM) o pasarelas de SMS comprometidas.

El mensaje imita el tono, el formato y el remitente de la empresa suplantada.

Fase 3: Interacción con la víctima

La víctima pulsa el enlace y llega a una web que replica con exactitud la estética de la empresa legítima.

Fase 4: Captura de datos

La web falsa solicita datos personales (nombre, dirección, teléfono) y datos bancarios (número de tarjeta, CVV, fecha de caducidad, código 3D Secure).

Fase 5: Explotación

Los datos capturados se utilizan para realizar compras fraudulentas, activar suscripciones ocultas, vender la información en la dark web o realizar transferencias a cuentas de money mules.

Fase 6: Monetización y blanqueo

El dinero obtenido se blanquea a través de criptomonedas, transferencias internacionales y redes de intermediarios.

La campaña de Correos de marzo 2026: cronología completa

Antecedentes: la oleada de Navidad 2025

Para entender la campaña de marzo de 2026, hay que retroceder a diciembre de 2025.

Durante las Navidades de 2025, la Guardia Civil detectó una campaña que simultáneamente suplantaba a Correos, SEUR, DHL y UPS, alcanzando a cientos de miles de personas [1].

Esa campaña navideña utilizó como gancho las compras de Navidad y Reyes: «Su paquete de regalo está pendiente de recogida. Pague 2,49 € de gastos de gestión para recibirlo a tiempo.»

La campaña de marzo de 2026 es una evolución directa de aquella.

Los mismos patrones de infraestructura (dominios similares, mismos registradores, misma estructura de formularios) sugieren que detrás hay los mismos grupos criminales o, al menos, las mismas plataformas de phishing-as-a-service.

Cronología detallada de marzo de 2026

1-5 de marzo: primeras detecciones

El INCIBE registra los primeros reportes ciudadanos a través del 017 (línea de ayuda en ciberseguridad). Los SMS iniciales presentan un texto genérico: «Correos: su paquete ha sido retenido. Pague 1,99 € para continuar la entrega» seguido de un enlace a dominios con el patrón correos-entrega-[código].com.

Se detectan aproximadamente 15 dominios activos en esta primera semana.

6-10 de marzo: escalada y variantes

La campaña se intensifica. Aparecen nuevas variantes del mensaje:

• «Su paquete está pendiente de pago de tasas aduaneras. Pague 1,99 €»
• «Correos Express: envío retenido en centro de distribución. Confirme su dirección y pague 1,99 € para recibir su paquete»
• «CORREOS: última oportunidad. Su paquete será devuelto al remitente en 24 horas si no abona la tasa pendiente»

Se detectan más de 40 dominios activos. La rotación es de un dominio nuevo cada 4-6 horas.

11 de marzo: alerta del INCIBE

El INCIBE publica una alerta formal en su portal de Avisos de Seguridad advirtiendo de la campaña [3]. Se confirma que los SMS llegan con el Sender ID «Correos» y se agrupan con notificaciones legítimas.

12-16 de marzo: extensión geográfica

La campaña, que inicialmente se concentraba en Madrid, Barcelona y Valencia, se extiende a todas las comunidades autónomas. Se detectan variantes adaptadas regionalmente: algunas mencionan «centre de distribució» en catalán, otras incluyen oficinas de Correos reales.

17-20 de marzo: variante con malware Android

Se detecta una nueva variante especialmente peligrosa: al pulsar el enlace desde un dispositivo Android, la web fraudulenta ofrece descargar una supuesta «aplicación de seguimiento de Correos» que en realidad es un APK malicioso [7].

Este malware es capaz de:

• Interceptar SMS de verificación bancaria (OTP).
• Acceder a la agenda de contactos.
• Reenviar el SMS fraudulento a todos los contactos de la víctima.
• Capturar credenciales de aplicaciones bancarias instaladas.
• Registrar las pulsaciones del teclado.

21-23 de marzo: pico de la campaña

El INCIBE registra más de 1.200 incidentes en solo tres días. Se superan los 120 dominios activos simultáneamente suplantando a Correos.

Las webs fraudulentas alcanzan su máximo nivel de sofisticación: incluyen un simulador de tracking que muestra un número de seguimiento ficticio con estados de envío que parecen reales.

24 de marzo: Operación POSTAL-26

La Guardia Civil, en coordinación con Europol, anuncia la desarticulación de una red que había estafado más de 2,3 millones de euros a víctimas en España, Francia y Portugal [2].

Se detiene a 14 personas en 4 provincias españolas.

Se incautan equipos informáticos, dispositivos móviles, tarjetas SIM a granel y criptomonedas valoradas en más de 400.000 €.

25-30 de marzo: la campaña continúa

A pesar de las detenciones, la campaña no cesa.

La infraestructura descentralizada (múltiples operadores independientes usando las mismas plataformas PhaaS) hace que la detención de una célula no detenga al resto.

Se siguen detectando nuevos dominios a razón de 6-8 diarios.

Magnitud de la campaña en cifras

Variantes del SMS detectadas en marzo de 2026

Para que puedas identificar rápidamente si un SMS que has recibido es parte de esta campaña, estas son las variantes textuales más comunes detectadas:

Variante 1 — Paquete retenido clásica:

«Correos: Su paquete ha sido retenido en el centro de distribución. Pague la tasa de 1,99 € para continuar la entrega: [enlace]»

Variante 2 — Tasas aduaneras:

«Su envío internacional está pendiente de pago de tasas aduaneras (1,99 €). Complete el pago aquí: [enlace]»

Variante 3 — Dirección incorrecta:

«Correos: No hemos podido entregar su paquete por un error en la dirección. Confirme sus datos aquí: [enlace]»

Variante 4 — Urgencia extrema:

«CORREOS URGENTE: Su paquete será devuelto al remitente HOY si no abona la tasa pendiente de 1,99 €. Último aviso: [enlace]»

Variante 5 — Correos Express:

«CorreosExpress: envío n.º CE2026XXXXX retenido en plataforma logística. Confirme recepción y abone gastos de gestión (1,99 €): [enlace]»

Variante 6 — Suplantación de app:

«Correos: Descargue nuestra nueva app para rastrear su paquete en tiempo real y abonar tasas pendientes: [enlace APK]»

Variante 7 — Segunda entrega:

«Hemos intentado entregar su paquete sin éxito. Programar segunda entrega abonando 1,99 € de gastos: [enlace]»

Anatomía técnica del ataque: los 10 pasos del fraude

Paso 1: Adquisición de la infraestructura

Antes de enviar el primer SMS, los atacantes necesitan montar su infraestructura.

Registro de dominios: Los dominios fraudulentos se registran en registradores offshore con políticas de verificación laxas. Muchos aceptan pagos en criptomonedas y no verifican la identidad del titular.

Patrones de nombres detectados en marzo de 2026:

• correos-pago-[número].com
• envio-correos-[fecha].es
• correos-retencion-[código].info
• paquete-correos-[aleatorio].com
• correos-entrega-[hash].net
• correos-tracking-[id].es
• c0rreos-[variante].com (con cero en lugar de «o»)
• correos-express-[zona].info
• corr3os-[variante].com (con «3» en lugar de «e»)
• correospago-[id].org

Certificados SSL: Los atacantes obtienen certificados SSL gratuitos de Let’s Encrypt o ZeroSSL para sus dominios.

Esto permite que la web muestre el candado verde de HTTPS en el navegador, lo que genera una falsa sensación de seguridad en la víctima.

Es importante entender que el candado HTTPS no significa que el sitio sea legítimo; solo significa que la conexión está cifrada.

Un sitio fraudulento con HTTPS simplemente cifra la transmisión de tus datos robados al servidor del atacante.

Hosting: Los sitios se alojan en servicios de cloud computing baratos, frecuentemente en proveedores de Estados Unidos o Asia que no responden a solicitudes de retirada (takedown requests) con la agilidad necesaria.

Según investigaciones de Palo Alto Networks, la infraestructura de estas campañas se aloja principalmente en servicios de nube populares estadounidenses, aunque los dominios se registran a través de registradores con sede en Hong Kong [6].

Paso 2: Preparación de los phishing kits

Los atacantes no desarrollan sus herramientas desde cero.

Utilizan phishing kits: paquetes de software preconstruidos que incluyen todo lo necesario para montar una campaña de smishing.

Las principales plataformas de phishing-as-a-service (PhaaS) identificadas en 2025-2026 son:

Según investigaciones de Netcraft, en abril de 2025 la plataforma Darcula añadió capacidades de inteligencia artificial generativa que permiten crear formularios de phishing en cualquier idioma sin necesidad de traducción humana [10].

Esto explica por qué los SMS y las webs fraudulentas de marzo de 2026 no contienen errores ortográficos: la IA los ha pulido completamente.

Un phishing kit típico incluye:

• Plantilla web: Réplica del sitio de Correos con HTML, CSS y JavaScript. Incluye el logotipo oficial, los colores corporativos (amarillo #FFCC00 y azul #003DA5), tipografías y hasta la barra de navegación con enlaces que redirigen a correos.es.
• Formularios de captura: Campos para datos personales y bancarios con validación en tiempo real (el número de tarjeta se verifica mediante el algoritmo de Luhn antes de enviarse al servidor).
• Panel de control: Dashboard en tiempo real donde el atacante ve los datos de cada víctima según van entrando.
• Bot de Telegram: Notificación instantánea al atacante cuando una víctima introduce datos bancarios. El bot envía un mensaje al canal de Telegram del grupo criminal con el nombre, número de tarjeta, CVV y código OTP en tiempo real.
• Rotador de dominios: Script que cambia automáticamente el dominio activo cuando el anterior es reportado o bloqueado.

Paso 3: Envío masivo de SMS

Los SMS se envían mediante tres métodos principales:

Método 1: Pasarelas de SMS comerciales abusadas

Los atacantes contratan servicios legítimos de envío de SMS empresarial usando identidades falsas o tarjetas de crédito robadas.

Estos servicios permiten configurar un Sender ID alfanumérico (como «Correos») sin verificar que el contratante sea realmente esa empresa.

Método 2: SIM farms (granjas de SIM)

Una SIM farm es un dispositivo con decenas o cientos de ranuras para tarjetas SIM.

Cada SIM puede enviar un número limitado de SMS al día sin levantar sospechas.

Con 100 tarjetas SIM, un atacante puede enviar miles de mensajes diarios.

Las SIM farms se adquieren por pocos cientos de euros y las tarjetas prepago se compran anónimamente.

Método 3: Explotación del protocolo SS7

Los atacantes más sofisticados acceden directamente a la red SS7 a través de pasarelas comprometidas o insiders en operadoras de telecomunicaciones.

Esto les permite enviar SMS con cualquier Sender ID sin pasar por servicios intermediarios.

El acceso SS7 se vende en foros de la dark web por entre 5.000 y 50.000 dólares [6].

Paso 4: Recepción del SMS por la víctima

La víctima recibe el SMS.

En su teléfono, el mensaje aparece en el mismo hilo de conversación que notificaciones legítimas anteriores de Correos.

Esto es posible porque el protocolo SMS no verifica la identidad del remitente: cualquier mensaje con el Sender ID «Correos» se agrupa automáticamente.

La víctima, que probablemente está esperando un paquete real (recordemos: 1.100 millones de paquetes al año en España), pulsa el enlace sin pensarlo.

Paso 5: Redirección a la web fraudulenta

Al pulsar el enlace, el navegador del móvil abre la web fraudulenta.

Pero el proceso no es directo.

El enlace del SMS apunta a un dominio intermedio que realiza una serie de comprobaciones:

1. Detección del dispositivo: Si el visitante accede desde un ordenador de escritorio, se le redirige a la web real de Correos para evitar que investigadores de seguridad analicen la web falsa.

2. Detección geográfica: Si la IP del visitante no es española, se muestra una página en blanco o una redirección a Google.

3. Detección de bots: Se comprueban las cabeceras HTTP y el comportamiento del navegador para filtrar crawlers y escáneres de seguridad automatizados.

4. Redirección al dominio activo: Si todas las comprobaciones se superan, el visitante es redirigido al dominio fraudulento activo en ese momento.

Paso 6: Captura de datos personales

La primera pantalla de la web falsa solicita datos personales:

• Nombre completo
• Dirección postal
• Código postal
• Localidad
• Provincia
• Número de teléfono
• Correo electrónico

Estos datos tienen valor propio: se revenden en la dark web para futuros ataques de ingeniería social, suplantación de identidad y campañas de spam dirigido.

Un paquete de datos personales (nombre + dirección + teléfono + email) se vende por entre 5 y 20 dólares en mercados clandestinos.

Paso 7: Robo de datos bancarios

La segunda pantalla solicita los datos de la tarjeta bancaria:

• Número completo de la tarjeta (16 dígitos)
• Fecha de caducidad (mes/año)
• CVV (código de 3 dígitos del reverso)

Y en las variantes más avanzadas de marzo de 2026:

• Código de verificación 3D Secure (el que envía el banco por SMS)

El kit de phishing valida los datos en tiempo real: si introduces un número de tarjeta que no pasa el algoritmo de Luhn, la web muestra un error y te pide que lo corrijas.

Esto hace que la víctima crea que realmente está interactuando con un sistema de pago legítimo.

Paso 8: Suscripción fraudulenta oculta

En las campañas más recientes de marzo de 2026, la web fraudulenta incluye en la letra pequeña (generalmente en gris claro sobre fondo blanco, con un tamaño de fuente de 6 px) el consentimiento a una suscripción mensual de entre 39,99 € y 79,99 € a un servicio inexistente [7].

La víctima no ve esta letra pequeña porque está diseñada para ser prácticamente invisible.

Pero al pulsar «Pagar 1,99 €», técnicamente está «aceptando» los términos de la suscripción.

Esto dificulta enormemente la reclamación, porque los estafadores pueden argumentar que el usuario dio su consentimiento.

Sin embargo, como veremos en la sección de marco legal, esta práctica constituye estafa y es nula de pleno derecho.

Paso 9: Exfiltración en tiempo real

Los datos capturados se transmiten instantáneamente al atacante a través de múltiples canales:

• API a servidor C2 (Command & Control): Los datos se envían a un servidor controlado por los atacantes.
• Bot de Telegram: Un bot notifica al atacante con los datos completos de cada víctima en tiempo real.
• Base de datos remota: Los datos se almacenan en bases de datos alojadas en servidores offshore.

El atacante puede estar monitorizando el panel en tiempo real y realizar compras fraudulentas con los datos de la tarjeta minutos después de que la víctima los haya introducido.

En las variantes con interceptación de OTP (código de un solo uso bancario), el atacante espera a que la víctima reciba el SMS de verificación del banco, lo intercepta a través del malware instalado en el dispositivo y completa la transacción fraudulenta.

Paso 10: Monetización y blanqueo

Una vez obtenidos los fondos, comienza la fase de blanqueo:

1. Compras online: Los datos de la tarjeta se utilizan para comprar productos de alto valor (electrónica, tarjetas regalo, criptomonedas) que se revenden rápidamente.

2. Transferencias a money mules: Los fondos se transfieren a cuentas bancarias de «mulas», personas reclutadas —a menudo sin saberlo— mediante ofertas falsas de empleo como «agente financiero» o «gestor de transacciones».

3. Conversión a criptomonedas: Los mulas retiran el efectivo y lo convierten en Bitcoin, Monero u otras criptomonedas a través de exchanges que no implementan verificación de identidad (KYC) rigurosa.

4. Mezcla y capas (layering): Las criptomonedas se pasan por servicios de mezcla (mixers) que dificultan el rastreo de las transacciones.

5. Integración: Finalmente, los fondos «limpios» se convierten de nuevo en dinero fiat a través de exchanges o inversiones en activos.

URLs legítimas vs fraudulentas: guía visual completa

Dominios oficiales de Correos

Antes de analizar las URLs fraudulentas, es fundamental conocer los dominios legítimos que utiliza Correos [9]:

Comparación detallada: legítimo vs fraudulento

Patrones de typosquatting detectados en marzo de 2026

El typosquatting consiste en registrar dominios que son variaciones ortográficas de dominios legítimos.

Estos son los patrones detectados en la campaña de marzo de 2026:

Cómo verificar una URL paso a paso

Si recibes un SMS con un enlace y no estás seguro de si es legítimo:

Estadísticas del smishing en España: la dimensión del problema

Datos del INCIBE: balance de ciberseguridad 2025

El INCIBE gestionó durante 2025 un total de 122.223 incidentes de ciberseguridad, un incremento del 26 % respecto a 2024 [3].

Los datos desagregados son reveladores:

El phishing, smishing y vishing representan la categoría más grande con un 28 % de todas las consultas atendidas [3].

Línea 017: la demanda se dispara

El servicio gratuito «Tu Ayuda en Ciberseguridad» del INCIBE atendió 142.767 consultas en 2025, un incremento del 44,9 % respecto al año anterior [3].

Esto refleja tanto el aumento del fraude como la creciente concienciación de la ciudadanía.

Pérdidas económicas por fraude digital en España

El Banco de España estima que las pérdidas por prácticas fraudulentas digitales (phishing, smishing, vishing, spoofing) ascienden a casi 500 millones de euros anuales en España [11].

España en contexto internacional

España no es un caso aislado. El smishing es una amenaza global, pero ciertos factores hacen que España sea un objetivo prioritario:

Evolución interanual del smishing en España

La tendencia es clara: el smishing crece año tras año sin señales de desaceleración.

Casos reales y operaciones policiales

Operación POSTAL-26 (marzo 2026)

La Guardia Civil, en coordinación con Europol, desarticuló una red que operaba en España, Francia y Portugal [2].

Detalles:

• Detenidos: 14 personas en 4 provincias
• Importe estafado: +2,3 millones de euros
• Víctimas identificadas: miles en tres países
• Método: smishing suplantando a Correos, La Poste (Francia) y CTT (Portugal)
• Blanqueo: criptomonedas a través de exchanges sin KYC riguroso
• Material incautado: equipos informáticos, SIM farms, dispositivos móviles, criptomonedas valoradas en +400.000 €

La investigación reveló que la red utilizaba la plataforma Darcula para generar las webs fraudulentas y canales de Telegram para coordinar las operaciones.

Operación DRAGO (marzo 2026, Canarias)

La Guardia Civil desmanteló un entramado criminal especializado en delincuencia informática y blanqueo de capitales [12].

Detalles:

• Detenidos: 13 personas de varias nacionalidades
• Métodos: smishing bancario + estafa del «hijo en apuros»
• Modus operandi: SMS suplantando entidades bancarias con webs falsas. También llamadas telefónicas haciéndose pasar por hijos en situación de emergencia.
• Blanqueo: cuentas de money mules
  • conversión a criptomonedas en exchanges internacionales
• Provincias: Gran Canaria, Madrid, Barcelona

La red reclutaba money mules a través de ofertas falsas de empleo en redes sociales, prometiendo comisiones del 10-15 % por «gestionar transferencias internacionales».

Operación ESAVALLE (marzo 2026, Salamanca)

La Guardia Civil desmanteló una red criminal especializada en fraude electrónico que operaba en diversas provincias españolas [13].

Detalles:

• Detenidos: 6 nacionales españoles (25-30 años, residentes en Barcelona, Madrid y A Coruña)
• Métodos: vishing + smishing
• Estructura: cada miembro tenía un rol específico: captación de víctimas, recopilación de datos, gestión de cuentas bancarias y cuentas de criptomonedas para blanquear los beneficios

Operación conjunta Policía Nacional - US Secret Service (2024-2025)

La Policía Nacional, en colaboración con el Servicio Secreto de Estados Unidos, desmanteló una organización internacional con base en Madrid [14].

Detalles:

• Detenidos: 8 en España + 1 en Miami (EE. UU.)
• Métodos: phishing, smishing y spoofing dirigidos a empresas y ciudadanos estadounidenses
• Importe: +100 cuentas bancarias abiertas en España, ~5.000.000 € recibidos de víctimas en menos de un año. Estimaciones totales: +200 empresas y personas defraudadas, +7.000.000 € de fraude.
• Material incautado: relojes de alta gama valorados en 200.000 €, bienes congelados por +500.000 €, 74 cuentas bancarias bloqueadas.

Operación contra red de blanqueo cripto (2025-2026)

La Policía Nacional desmanteló una red internacional que blanqueó más de 700 millones de euros en criptomonedas procedentes de estafas tecnológicas [15].

Detalles:

• Método: OTC (Over The Counter), conversión de fiat a cripto fuera de exchanges regulados
• Detenciones: múltiples en varios países europeos
• Importe: 700 millones € blanqueados
• Intervención: 17 millones de dólares en criptomonedas incautados

Red de estafa con IA (2025)

La Policía Nacional y la Guardia Civil detuvieron a 6 personas por estafar más de 19 millones de euros utilizando inteligencia artificial [16].

Detalles:

• Método: IA para crear identidades falsas, deepfakes y páginas de inversión fraudulentas
• Víctimas: cientos de personas en España y otros países europeos
• Importe: +19 millones de euros

Patrón común en todas las operaciones

Todas estas operaciones comparten un patrón estructural:

1. Internacionalidad: las redes operan en varios países simultáneamente.
2. Especialización de roles: cada miembro tiene una función específica.
3. Blanqueo cripto: las criptomonedas son el método preferido de blanqueo.
4. Reclutamiento de mulas: personas jóvenes reclutadas por redes sociales.
5. Infraestructura digital: plataformas PhaaS, Telegram, SIM farms, VPNs.
6. Volumen: millones de euros acumulados a partir de miles de estafas pequeñas.

Qué hacer si has caído en la estafa: guía completa paso a paso

Si cometiste el error de pulsar el enlace y proporcionar datos, el tiempo es crucial.

Cada minuto cuenta para minimizar el daño económico y preservar las pruebas para la denuncia.

Sigue estos pasos en orden:

Análisis forense del perito informático: metodología completa

Cuando una víctima de esta estafa acude a mí, mi trabajo se centra en tres objetivos:

1. Preservar la evidencia digital de forma forense.
2. Reconstruir la secuencia del ataque.
3. Generar un informe pericial admisible como prueba judicial.

Fase 1: Adquisición forense del dispositivo móvil

El primer paso es obtener una imagen forense completa del dispositivo de la víctima.

Esto debe hacerse siguiendo estrictamente la norma ISO/IEC 27037 sobre identificación, recopilación, adquisición y preservación de evidencia digital.

Procedimiento paso a paso:

Fase 2: Análisis del SMS

Con la imagen forense obtenida, se analiza el SMS fraudulento:

Fase 3: Análisis de la URL y la infraestructura

Una vez identificada la URL del SMS, se realiza un análisis completo de la infraestructura del atacante:

WHOIS y registro de dominio:

Se consulta el registro WHOIS del dominio para obtener:

• Fecha de registro (los dominios fraudulentos se registran horas o días antes del ataque)
• Registrante (generalmente oculto o con datos falsos)
• Registrador utilizado (patrones: registradores offshore que aceptan criptomonedas)
• Nameservers (pueden revelar conexiones con otros dominios fraudulentos)

Historial DNS:

Se consultan servicios como SecurityTrails, PassiveDNS o VirusTotal para obtener el historial de resoluciones DNS del dominio:

• IP a la que apuntó el dominio
• Otros dominios alojados en la misma IP
• Cambios de IP (rotación de hosting)

Certificado SSL:

Se analiza el certificado SSL del dominio:

• Emisor (generalmente Let’s Encrypt)
• Fecha de emisión (coincide con la fecha de registro del dominio)
• Tipo de validación (DV, no EV como el de Correos real)
• Otros dominios en el mismo certificado (Certificate Transparency logs)

Captura del sitio web:

Se realiza una captura forense de la web fraudulenta antes de que sea retirada:

• Capturas de pantalla de cada página
• Código fuente completo (HTML, CSS, JS)
• Archivos descargables (incluido el APK malicioso si existe)
• Headers HTTP
• Certificados SSL
• Cookies y scripts de terceros

Herramientas: Playwright, HTTrack, wget con mirror, Archive.org (Wayback Machine).

Fase 4: Análisis de malware

Si la víctima descargó un APK malicioso, se realiza un análisis estático y dinámico:

Análisis estático:

• Descompilación del APK con JADX o Apktool
• Identificación de permisos solicitados (SMS, contactos, almacenamiento, overlay)
• Análisis de strings (URLs de C2, credenciales hardcodeadas)
• Identificación de la familia de malware

Análisis dinámico:

• Ejecución en sandbox (Joe Sandbox, AnyRun, emulador Android aislado)
• Monitorización del tráfico de red con Wireshark
• Registro de accesos al sistema de archivos
• Captura de comunicaciones con el C2

Fase 5: Análisis de la cadena de pagos

Se reconstruye el flujo del dinero:

1. Cargos en la tarjeta de la víctima: Se correlaciona temporalmente el momento de introducción de datos (capturable desde el historial del navegador) con los cargos posteriores.

2. Identificación del comercio: Los extractos bancarios muestran el nombre del comercio que realizó el cargo. A menudo son empresas pantalla o plataformas de pago intermediarias.

3. Seguimiento de transferencias: Si hubo transferencias bancarias, se documentan las cuentas destino para facilitar la investigación policial.

Fase 6: Correlación temporal

Se construye un timeline forense que reconstruye el ataque minuto a minuto:

Fase 7: Redacción del informe pericial

El informe pericial sigue la estructura exigida por la jurisprudencia española y la norma ISO/IEC 27037:

Estructura del informe:

1. Datos del perito: Identificación, cualificación profesional, juramento de verdad.

2. Objeto del informe: Qué se solicita analizar y con qué finalidad.

3. Metodología: Herramientas utilizadas, normas seguidas (ISO 27037), procedimiento de adquisición.

4. Cadena de custodia: Documentación completa de quién, cuándo, dónde y cómo se obtuvo y preservó la evidencia.

5. Hallazgos: Resultados del análisis de forma objetiva y técnica.

6. Análisis y correlación: Interpretación de los hallazgos, timeline del ataque, conexiones entre las evidencias.

7. Conclusiones: Determinaciones técnicas sobre lo ocurrido, siempre dentro del ámbito de la pericia (sin valoraciones jurídicas).

8. Anexos: Hashes, capturas de pantalla, volcados de datos, logs completos.

Qué aporta el informe pericial a tu caso

El informe pericial transforma una denuncia genérica en una acción judicial fundamentada:

• Demuestra la suplantación: Certifico que el SMS procedía de un sistema de spoofing, no de Correos real.

• Establece la cadena de custodia: La evidencia digital se preserva con hashes criptográficos que garantizan que no ha sido alterada.

• Reconstruye la línea temporal: Minuto a minuto, desde la recepción del SMS hasta los cargos bancarios fraudulentos.

• Cuantifica el daño: Económico directo (cargos), indirecto (tiempo, gestiones) y datos personales comprometidos.

• Descarta negligencia grave: Documenta la sofisticación del ataque para refutar el argumento del banco de que el cliente fue negligente.

• Identifica la infraestructura: Dominios, IPs, hosting, malware… Información que facilita la investigación policial.

La infraestructura criminal detrás del smishing

El ecosistema del phishing-as-a-service (PhaaS)

El smishing moderno no es obra de estafadores solitarios.

Es una industria criminal organizada que opera bajo el modelo de «phishing como servicio» (PhaaS).

Este modelo funciona como cualquier negocio SaaS (Software as a Service) legítimo: los operadores de la plataforma desarrollan y mantienen la infraestructura, y los «clientes» (otros criminales) pagan una suscripción para usarla.

Darcula: la plataforma dominante

Darcula es una plataforma PhaaS de origen chino que ofrece más de 20.000 dominios fraudulentos y más de 200 plantillas que suplantan marcas de todo el mundo [10].

Según informes de Netcraft y la Corporación de Radiodifusión Noruega (NRK), Darcula ha sido responsable del compromiso de aproximadamente 884.000 tarjetas bancarias en tan solo siete meses entre 2023 y 2024 [10].

En abril de 2025, Darcula integró capacidades de IA generativa que permiten crear formularios de phishing en cualquier idioma sin necesidad de traducción humana.

Un operador puede generar una réplica perfecta de la web de Correos en español en cuestión de minutos.

Lucid: smishing por iMessage y RCS

La plataforma Lucid va un paso más allá: además de SMS convencionales, envía mensajes de phishing a través de Apple iMessage y RCS (Rich Communication Services), la evolución del SMS que utilizan los teléfonos Android modernos.

Lucid ha atacado a 169 entidades en 88 países.

El grupo detrás de Lucid y Darcula —conocido como «XinXin» o «Black Technology»— afirma recolectar más de 100.000 tarjetas al día [10].

Lighthouse: volumen industrial

La plataforma Lighthouse está diseñada para enviar volúmenes enormes de SMS de phishing.

Según Google, que presentó una demanda contra la operación, Lighthouse ha perjudicado a más de un millón de víctimas en más de 120 países, robando entre 12,7 y 115 millones de tarjetas solo en Estados Unidos [18].

La cadena de valor del smishing postal

Los canales de Telegram

Telegram se ha convertido en el hub principal de coordinación para estas redes criminales [19].

En canales y grupos de Telegram se negocian:

• Phishing kits: plantillas listas para desplegar, con instrucciones. Precio: 50-500 € según sofisticación.

• Bases de datos de teléfonos: listados de números españoles organizados por operadora, código postal o perfil demográfico. Precio: 10-100 € por 10.000 números.

• Datos de víctimas: paquetes con nombre + dirección

  • teléfono + email + datos bancarios recolectados en campañas anteriores. Precio: 5-50 $ por registro.

• Servicios de money mule: intermediarios que ofrecen cuentas bancarias para recibir fondos. Comisión: 10-25 % del importe.

• Servicios de SMS masivo: envío desde SIM farms o pasarelas comprometidas. Precio: 0,01-0,05 $ por SMS.

• Acceso SS7: conexión a la red de señalización para spoofing avanzado. Precio: 5.000-50.000 $ [6].

Las redes de money mules en España

Las «mulas bancarias» son un eslabón crítico en la cadena de blanqueo.

Son personas —a menudo jóvenes sin antecedentes penales— reclutadas a través de:

• Ofertas de empleo falsas en redes sociales: «Trabaja desde casa como agente financiero. Gana 500 €/semana.»

• Anuncios en foros y grupos de Telegram que ofrecen «dinero fácil» a cambio de prestar la cuenta bancaria.

• Reclutamiento personal en zonas con alto desempleo o entre inmigrantes recién llegados.

El modus operandi es sencillo:

1. La mula abre una cuenta bancaria a su nombre (o cede una existente).
2. Recibe transferencias de las víctimas.
3. Retira el efectivo en cajero.
4. Lo envía por servicios de remesas internacionales o lo entrega en mano al siguiente eslabón.
5. O lo convierte en criptomonedas a través de exchanges o cajeros de Bitcoin.

La mula se queda con un 10-15 %.

Rotación de dominios: la técnica para evadir bloqueos

Una de las razones por las que esta campaña es tan persistente es la velocidad de rotación de dominios.

Según los datos de la Oficina de Seguridad del Internauta (OSI), los atacantes registran nuevos dominios cada 4-6 horas [7].

Cuando un dominio es bloqueado por los navegadores (Google Safe Browsing, SmartScreen de Microsoft) o por los proveedores de telefonía, ya hay otro activo sustituyéndolo.

El proceso de bloqueo es lento: un dominio puede estar activo entre 2 y 48 horas antes de que sea reportado, analizado y bloqueado.

En ese tiempo, miles de víctimas pueden haber pulsado el enlace.

La automatización de los phishing kits permite que la rotación sea instantánea: un script monitoriza si el dominio ha sido bloqueado (comprobando si aparece en listas negras de Google Safe Browsing) y, en cuanto lo detecta, actualiza el enlace del SMS al siguiente dominio disponible.

Marco legal completo: qué dice la ley

Código Penal: tipos penales aplicables

La estafa del paquete retenido de Correos encaja en varios tipos penales del Código Penal español [20]:

Artículo 248 CP — Estafa

«Cometen estafa los que, con ánimo de lucro, utilizaren engaño bastante para producir error en otro, induciéndolo a realizar un acto de disposición en perjuicio propio o ajeno.»

El SMS fraudulento constituye el «engaño bastante»: la suplantación de Correos, la apariencia legítima del SMS (aparece en el mismo hilo), la web réplica exacta y el importe insignificante (1,99 €) son elementos diseñados para producir error en la víctima.

El acto de disposición es doble: la víctima entrega voluntariamente tanto el pago de 1,99 € como sus datos bancarios completos.

Artículo 248.2 a) CP — Estafa informática

«También se consideran reos de estafa los que, con ánimo de lucro y valiéndose de alguna manipulación informática o artificio semejante, consigan una transferencia no consentida de cualquier activo patrimonial en perjuicio de otro.»

Este tipo se aplica cuando los datos bancarios obtenidos se utilizan para realizar cargos y transferencias no autorizados por la víctima.

La STS 506/2015 del Tribunal Supremo confirmó que el phishing —la obtención fraudulenta de credenciales bancarias— constituye estafa informática con subsunción preferente en el art. 248.2 CP [17].

Artículo 249 CP — Estafa agravada (reforma LO 14/2022)

Tras la reforma operada por la Ley Orgánica 14/2022, el art. 249 CP establece las penas de la estafa según la cuantía:

En las campañas de smishing masivo, es habitual que se aplique la agravante de «gran número de personas» o que la suma total de lo defraudado supere ampliamente los 50.000 €.

Artículo 197 CP — Descubrimiento y revelación de secretos

«El que, para descubrir los secretos o vulnerar la intimidad de otro, sin su consentimiento, se apodere de sus papeles, cartas, mensajes de correo electrónico o cualesquiera otros documentos o efectos personales […]»

La obtención ilícita de datos personales (nombre, dirección, teléfono) y datos bancarios (número de tarjeta, CVV) a través del formulario fraudulento encaja en este tipo.

Pena: prisión de 1 a 4 años + multa.

Artículo 264 CP — Daños informáticos

Si el malware descargado (en las variantes con APK malicioso) daña el sistema operativo, borra datos o impide el funcionamiento normal del dispositivo:

Pena: prisión de 6 meses a 3 años.

Artículo 264 bis CP — Obstaculización de sistemas

Si el malware utiliza el dispositivo de la víctima para enviar SMS fraudulentos a todos sus contactos (convirtiéndolo en parte de una botnet involuntaria):

Pena: prisión de 6 meses a 3 años.

Artículo 301 CP — Blanqueo de capitales

Aplicable a los money mules y a toda la cadena de blanqueo de los fondos obtenidos:

«El que adquiera, posea, utilice, convierta, o transmita bienes, sabiendo que éstos tienen su origen en una actividad delictiva […] será castigado con la pena de prisión de seis meses a seis años y multa del tanto al triplo del valor de los bienes.»

Normativa PSD2: responsabilidad del banco

La Directiva Europea PSD2 (transpuesta en España por el Real Decreto-ley 19/2018 de servicios de pago) establece un régimen de responsabilidad casi objetiva para los bancos en caso de operaciones no autorizadas [17].

Principio fundamental: El banco debe restituir las operaciones no autorizadas de forma inmediata, salvo que demuestre fraude o negligencia grave del cliente.

Sentencia clave: STS 571/2025 del Tribunal Supremo (9 de abril de 2025)

Esta sentencia es un hito para las víctimas de phishing/smishing en España [17]:

• Establece que los bancos deben asumir responsabilidad por operaciones no autorizadas derivadas de suplantación de identidad, incluso cuando se utilizaron las credenciales del cliente.

• Determina que el banco tiene la obligación de adoptar medidas automáticas para detectar operaciones sospechosas (múltiples transferencias a horas inusuales, importes anómalos, etc.).

• Aclara que la responsabilidad del banco es «cuasi-objetiva»: el banco debe devolver el dinero si el cliente niega haber autorizado la operación. La carga de la prueba recae sobre el banco.

• Precisa que el mero uso de credenciales correctas (contraseñas, códigos SMS) NO demuestra por sí solo la autorización del cliente.

Conclusiones del Abogado General del TJUE (marzo 2026)

Más recientemente, las conclusiones del Abogado General del Tribunal de Justicia de la UE en marzo de 2026 refuerzan esta línea [21]:

• Los bancos no pueden negarse al reembolso inmediato simplemente por sospechar negligencia del cliente.

• La negligencia grave no es excusa para denegar el reembolso inmediato: el banco debe devolver primero y, si lo desea, ejercer acciones legales contra el cliente después.

Cómo afecta al caso del smishing de Correos:

Si tu banco se niega a devolver el importe defraudado alegando que «tú diste tus datos voluntariamente», la ley está de tu parte.

El informe pericial que demuestre la sofisticación del ataque (SMS en el mismo hilo, web réplica exacta, suscripción oculta, malware) refuerza tu posición al demostrar que el engaño fue suficientemente elaborado como para que una persona diligente cayera en él.

RGPD y notificación de brechas

Cuando tus datos personales son comprometidos a través de una estafa de smishing, se produce una brecha de seguridad de tus datos.

Si la brecha afecta a los datos que proporcionaste a servicios legítimos (por ejemplo, si el malware accedió a tu agenda de contactos), el responsable del tratamiento (la empresa o app afectada) está obligado a notificar a la AEPD en 72 horas y a los afectados si el riesgo es alto (art. 33 y 34 RGPD).

LECrim: la prueba digital en el proceso penal

La Ley de Enjuiciamiento Criminal establece los requisitos para la admisibilidad de la prueba digital en juicio.

Los artículos 588 bis a) a 588 octies regulan las medidas de investigación tecnológica.

Para que la prueba digital sea admitida en juicio:

1. Autenticidad: Se debe poder verificar que la evidencia es genuina y no ha sido alterada (hash SHA-256).

2. Integridad: La cadena de custodia debe ser ininterrumpida.

3. Licitud: La obtención debe respetar los derechos fundamentales.

4. Pertinencia: La prueba debe ser relevante para el caso.

El informe pericial garantiza el cumplimiento de estos requisitos.

Jurisprudencia relevante adicional

Prevención: guía definitiva para individuos y empresas

Para particulares: configuración del dispositivo

Android:

iOS (iPhone):

Para particulares: hábitos de verificación

• Regla de los 30 segundos: Antes de pulsar cualquier enlace en un SMS, dedica 30 segundos a verificar el remitente, la URL y la coherencia del mensaje con tus envíos reales.

• Consulta directamente la fuente: Si tienes dudas sobre un envío, entra manualmente en correos.es desde tu navegador (no desde el enlace del SMS) e introduce el número de seguimiento.

• Desconfía de la urgencia: Ningún paquete real se devuelve en 24 horas por impago de 1,99 €. Los plazos de retención de Correos son de 15 días naturales.

• Verifica el importe: Correos publica sus tarifas de aduanas en su web oficial. Si el importe del SMS no coincide con las tarifas publicadas, es una estafa.

• Nunca proporciones CVV por SMS: Ningún servicio legítimo solicita CVV ni códigos 3D Secure por SMS o a través de un enlace.

Para personas mayores: protocolo familiar

Las personas mayores de 65 años representan el 38 % de las víctimas de smishing postal, según datos de la Guardia Civil [1].

Si tienes familiares de edad avanzada:

Para empresas: protección de empleados

Las empresas también son objetivo del smishing, especialmente a través de SMS dirigidos a empleados que gestionan pagos y facturas.

Lo que viene: el Registro de Alias de la CNMC

A partir del 7 de junio de 2026, España implementará una medida que puede cambiar radicalmente la lucha contra el smishing [22]:

El Registro de Alias de la CNMC obligará a registrar todos los identificadores alfanuméricos (Sender IDs como «Correos», «BBVA», «Hacienda», etc.) que se utilicen como remitente en mensajes SMS, MMS o RCS enviados a números españoles.

Cómo funcionará:

1. Todas las empresas que envíen SMS con un Sender ID alfanumérico deberán registrarlo en la CNMC.

2. Los operadores de telefonía bloquearán los mensajes que:

   • Utilicen un alias no inscrito en el registro.
   • Procedan de proveedores no registrados o no habilitados por el titular del alias.
   • Provengan de empresas extranjeras no inscritas en España (salvo roaming).

3. La CNMC habilitará un portal público donde cualquier ciudadano podrá consultar qué alias están registrados y quién es su titular.

Limitaciones:

• No impedirá el smishing enviado desde números numéricos (no alfanuméricos).
• Los atacantes podrían enviar SMS desde números de teléfono comunes en lugar de usar el Sender ID «Correos».
• La medida solo protege números españoles; los SMS enviados desde redes extranjeras en roaming podrían eludir el bloqueo.

Aun con estas limitaciones, el Registro de Alias eliminará la técnica más efectiva de los atacantes: que sus SMS aparezcan en el mismo hilo de conversación que los mensajes legítimos de Correos.

Las 10 señales que delatan un SMS falso de Correos

Identificar un SMS fraudulento no siempre es fácil, pero existen patrones recurrentes:

1. Urgencia artificial: Frases como «último aviso», «su paquete será devuelto en 24 horas» o «pague antes de las 23:59» buscan que actúes sin pensar.

2. Cantidad insignificante: El importe de 1,99 € o 2,49 € está diseñado para parecer tan pequeño que no merece la pena desconfiar.

3. Enlace acortado o sospechoso: Correos utiliza su propio dominio. Cualquier enlace que no termine en correos.es es sospechoso. Atención especial a dominios con caracteres similares: correos vs c0rreos (con cero).

4. Remitente genérico o anómalo: Los SMS legítimos de Correos aparecen como «Correos» o «CorreosExpress». Los fraudulentos pueden mostrar números de teléfono o variaciones como «CORREOS INFO», «Correos-ES» o «Correos_».

5. Errores sutiles en el texto: Aunque la IA ha mejorado la redacción, aún se detectan inconsistencias: uso incorrecto de mayúsculas, espacios antes de signos de puntuación o mezcla de «tú» y «usted».

6. Ausencia de número de seguimiento real: Si compruebas el número de seguimiento proporcionado en la web oficial de Correos, verás que no existe o corresponde a un envío diferente.

7. Solicitud de datos bancarios: Ningún servicio postal legítimo solicita CVV ni códigos 3D Secure por SMS o a través de un enlace.

8. Ausencia de tu nombre: Correos conoce tu nombre porque lo tiene asociado al envío. Un SMS genérico que no te llama por tu nombre es sospechoso (aunque algunos SMS legítimos de Correos tampoco incluyen nombre, así que esta señal es orientativa).

9. Horario inusual: Correos envía notificaciones en horario comercial. Un SMS recibido a las 3 de la mañana es sospechoso.

10. Enlace que no se puede previsualizar: Si mantienes pulsado el enlace y tu teléfono no muestra una previsualización del dominio correos.es, es una señal de alerta.

Preguntas frecuentes

¿Correos cobra tasas de aduana por SMS?

No. Correos gestiona los pagos de tasas aduaneras exclusivamente a través de su web oficial (correos.es), su aplicación móvil o presencialmente en oficina. Nunca envía SMS con enlaces de pago para cobrar tasas [9].

Si tienes un envío internacional pendiente de aduanas, Correos te notifica por carta postal certificada o a través de su web, nunca por SMS con un enlace de pago.

¿Puedo recuperar el dinero si ya pagué?

Sí, en la mayoría de casos.

El primer paso es contactar con tu banco para solicitar la devolución (chargeback).

La normativa PSD2 obliga al banco a reembolsar las operaciones no autorizadas de forma inmediata, salvo que demuestre negligencia grave del cliente [17].

Si el banco se niega, un informe pericial que demuestre la sofisticación del ataque refuerza tu reclamación, tanto administrativa (ante el Banco de España) como judicial.

La STS 571/2025 del Tribunal Supremo establece que la carga de la prueba de la negligencia recae sobre el banco, no sobre el cliente.

¿Qué hago si he dado mis datos pero no he pagado?

Aunque no hayas introducido datos bancarios, tus datos personales (nombre, dirección, teléfono, email) ya están comprometidos.

Medidas inmediatas:

• Vigila movimientos sospechosos en todas tus cuentas.
• Activa alertas de operaciones en tu app bancaria.
• Cambia contraseñas de servicios donde uses el mismo email/teléfono.
• Reporta al INCIBE (017).
• Denuncia igualmente ante las FCSE.

Los datos personales robados se revenden en la dark web y pueden usarse para:

• Ataques dirigidos futuros (spear phishing con tu nombre y dirección reales).
• Suplantación de identidad para contratar servicios a tu nombre.
• Estafas del «hijo en apuros» dirigidas a tus contactos.

¿El SMS puede instalar malware en mi teléfono?

En la campaña de marzo de 2026 se han detectado variantes que descargan un APK malicioso en dispositivos Android cuando la víctima pulsa el enlace [7].

Este malware puede:

• Interceptar SMS de verificación bancaria (OTP).
• Acceder a la agenda de contactos.
• Reenviar el SMS fraudulento a todos tus contactos.
• Capturar credenciales de aplicaciones bancarias.
• Registrar pulsaciones del teclado.
• Activar la cámara o el micrófono.

En iPhone el riesgo es significativamente menor debido a las restricciones de iOS, pero no inexistente.

Si el enlace lleva a una web que solicita instalar un «perfil de configuración» en iOS, NO lo instales: podría dar al atacante control sobre tu dispositivo.

¿Cuánto cuesta un informe pericial para estos casos?

El coste de un informe pericial informático para un caso de smishing oscila entre 400 y 800 euros, dependiendo del volumen de evidencia a analizar.

Es una inversión que se recupera ampliamente si se logra la devolución bancaria o la indemnización judicial.

El informe incluye:

• Extracción forense del dispositivo.
• Análisis del SMS y la infraestructura.
• Análisis de malware (si aplica).
• Correlación temporal.
• Cadena de custodia documentada.
• Conclusiones con validez judicial.

¿Puedo denunciar si la cantidad estafada es pequeña?

Absolutamente sí.

Denunciar es imprescindible independientemente del importe.

Cada denuncia individual alimenta la investigación policial y puede vincularse a una operación más amplia.

La Guardia Civil ha desarticulado redes gracias a la acumulación de denuncias de importes pequeños que sumaban millones [2].

Además, la denuncia es requisito imprescindible para reclamar al banco la devolución del importe defraudado.

¿Cómo puedo verificar si un SMS de Correos es auténtico?

¿Pueden hackear mi teléfono solo por abrir el enlace?

En la mayoría de casos, abrir el enlace en el navegador no compromete tu dispositivo por sí solo.

El peligro real viene si introduces datos en la web o si descargas e instalas un archivo (APK en Android).

Sin embargo, existen vulnerabilidades tipo «zero-click» que podrían comprometer el dispositivo solo con visitar una web, aunque son extremadamente raras y se reservan para ataques dirigidos de alto valor, no para campañas masivas de smishing.

Recomendación: si abriste el enlace pero no introduciste datos ni descargaste nada, el riesgo es bajo. Aun así, verifica que no se haya instalado nada en tu dispositivo y monitoriza su comportamiento.

¿Qué responsabilidad tiene mi banco si me estafaron?

La responsabilidad del banco es alta, según la normativa PSD2 y la jurisprudencia reciente [17]:

• El banco debe reembolsar las operaciones no autorizadas de forma inmediata.
• La carga de la prueba de la negligencia del cliente recae sobre el banco.
• El mero uso de credenciales correctas no demuestra autorización del cliente.
• El banco tiene la obligación de detectar operaciones anómalas y bloquearlas proactivamente.
• La negligencia grave del cliente no exime del reembolso inmediato (el banco debe devolver y luego reclamar judicialmente).

¿Qué pasa si el malware reenvió el SMS a mis contactos?

Si el malware instalado en tu dispositivo reenvió el SMS fraudulento a todos tus contactos:

1. Avisa a todos tus contactos inmediatamente (por llamada o mensaje de WhatsApp, no por SMS) de que no abran ningún SMS sospechoso que hayan recibido desde tu número.

2. Contacta con tu operadora para que bloqueen el envío de SMS desde tu número temporalmente.

3. Denuncia el incidente especificando que tu dispositivo fue usado como vector de distribución involuntaria.

4. Haz un restablecimiento de fábrica del dispositivo (después de preservar evidencias con un perito si es necesario).

¿Correos puede demandarme si no pago una tasa real?

Correos puede retener un paquete si las tasas aduaneras no se pagan, y eventualmente devolverlo al remitente tras 15 días naturales.

Pero Correos nunca cobra por SMS ni amenaza con devolución inmediata.

Si tienes un envío internacional pendiente de aduanas, Correos te contactará por carta postal o a través de su web, indicándote los pasos a seguir para liquidar las tasas.

¿Cómo se que no me van a cobrar la suscripción mensual?

Si ya has proporcionado tus datos bancarios y te han activado una suscripción fraudulenta:

1. Revisa los cargos recurrentes en tu extracto bancario de los últimos meses.
2. Solicita al banco la anulación de cualquier domiciliación o cargo recurrente que no reconozcas.
3. Bloquea la tarjeta y solicita una nueva con numeración diferente.
4. Contacta con tu banco para que active la denegación automática de cargos desde el comercio fraudulento.

¿Se puede rastrear a los estafadores?

Sí, pero es complejo.

La investigación requiere cooperación internacional (Europol, Interpol), análisis de infraestructura digital (dominios, IPs, hosting) y seguimiento de la cadena de dinero (cuentas bancarias, exchanges cripto).

Las operaciones policiales como POSTAL-26, DRAGO y ESAVALLE demuestran que es posible identificar y detener a los responsables, aunque la naturaleza internacional y descentralizada de las redes hace que el proceso sea largo.

El informe pericial contribuye aportando datos técnicos (IPs, dominios, timestamps) que la policía puede usar en su investigación.

Referencias y fuentes

1. Guardia Civil. «Alerta sobre nueva oleada de smishing suplantando a empresas de paquetería.» Nota de prensa, 3 de marzo de 2026. guardiacivil.es

2. La Moncloa. «Desarticulada red de ciberestafadores que operaba mediante SMS fraudulentos suplantando a Correos.» 24 de marzo de 2026. lamoncloa.gob.es

3. INCIBE. «Balance de ciberseguridad 2025 — 122.223 incidentes gestionados (+26 %).» Instituto Nacional de Ciberseguridad, febrero 2026. incibe.es

4. CNMC. «Informe anual del sector postal 2025.» Comisión Nacional de los Mercados y la Competencia. cnmc.es

5. Gartner. «SMS Open Rates vs Email: Mobile Marketing Statistics.» Datos de referencia sector marketing móvil.

6. Palo Alto Networks, Unit 42. «The Smishing Deluge: China-Based Campaign Flooding Global Text Messages.» 2025. unit42.paloaltonetworks.com

7. OSI (Oficina de Seguridad del Internauta). «Detectada nueva campaña de SMS fraudulentos suplantando a Correos con suscripciones ocultas.» Marzo 2026. osi.es

8. Europol. «Operation POSTAL-26: dismantling of cross-border smishing network.» Press release, March 2026. europol.europa.eu

9. Correos. «Información sobre fraudes y suplantación de identidad.» Página oficial de seguridad. correos.es

10. Netcraft. «AI-enabled darcula-suite makes phishing kits more accessible, easier to deploy.» Abril 2025. netcraft.com

11. Banco de España. «Guía sobre reclamaciones por operaciones de pago no autorizadas.» 2025. bde.es

12. Guardia Civil — Operación DRAGO. «Desarticulado entramado criminal de delincuencia informática que utilizaba criptomonedas para el blanqueo de capitales.» Marzo 2026. eldiario.es

13. Guardia Civil — Operación ESAVALLE. «Golpe a las ciberestafas: cae una red criminal que operaba en toda España desde Salamanca.» Marzo 2026. esdiario.com

14. Policía Nacional. «Detenidas 8 personas en España y 1 en EE. UU. por estafar mediante phishing, smishing y spoofing.» 2024. policia.es

15. Ministerio del Interior. «Intervenidos 17.000.000 de dólares en criptomonedas procedentes de estafas y fraudes tecnológicos.» interior.gob.es

16. Ministerio del Interior. «Detenidas seis personas por estafar más de 19 millones de euros usando inteligencia artificial.» interior.gob.es

17. STS 571/2025, Sala 1.ª, de 9 de abril de 2025. Responsabilidad del proveedor de servicios de pago en fraudes digitales. Abogacía Española: abogacia.es

18. Google. «Demanda contra la operación Lighthouse phishing-as-a-service.» Dark Reading: darkreading.com

19. The Hacker News. «Telegram Marketplaces Fuel Phishing Attacks with Easy-to-Use Kits and Malware.» 2024. thehackernews.com

20. Código Penal español (LO 10/1995), arts. 197, 248, 249, 264, 264 bis y 301. Texto consolidado: boe.es

21. Real Decreto-ley 19/2018, de 23 de noviembre, de servicios de pago y otras medidas urgentes en materia financiera. Art. 45. boe.es

22. CNMC. «Registro de Alias para remitentes de SMS, MMS y RCS — Circular 2026.» zonamovilidad.es

23. SAP Pontevedra 45/2026, Sección 1.ª, de 12 de febrero de 2026. Responsabilidad del proveedor de servicios de pago en caso de smishing.

24. Infosecurity Magazine. «Darcula Phishing as a Service Operation Snares 800,000+ Victims.» 2025. infosecurity-magazine.com

25. BleepingComputer. «Phishing platform Lucid behind wave of iOS, Android SMS attacks.» 2025. bleepingcomputer.com

26. ADSLZone. «Adiós a las estafas por SMS: los mensajes no identificados serán bloqueados a partir de junio.» Marzo 2026. adslzone.net

Artículos relacionados que pueden interesarte:

• Balance INCIBE 2025: 122.000 ciberincidentes en España
• Análisis forense digital: qué es y para qué sirve
• Informes periciales informáticos
• Análisis de fraudes digitales
• Glosario: Smishing
• Glosario: Phishing
• Glosario: Spoofing telefónico
• Glosario: Dark web