· Jonathan Izquierdo · Noticias seguridad ·
Estafa SMS bancario en España: alerta Guardia Civil marzo 2026
La Guardia Civil alerta de una oleada de smishing bancario que vacía cuentas en segundos. Modus operandi, SIM swap, IA y cómo actuar si eres víctima.
Miles de cuentas bancarias vaciadas en segundos por un simple SMS. La Guardia Civil ha lanzado en marzo de 2026 una alerta urgente sobre una nueva oleada de smishing — mensajes de texto fraudulentos que suplantan a tu banco — que ha afectado a miles de cuentas en toda España [1]. Los delincuentes ya no cometen errores ortográficos: utilizan inteligencia artificial para crear mensajes indistinguibles de los reales.
El Instituto Nacional de Ciberseguridad (INCIBE) ha registrado un incremento del 26% en ciberincidentes en 2025, con 25.133 casos de phishing y fraude online [2]. Y la tendencia en 2026 se acelera: la Guardia Civil de Almería ha alertado específicamente del repunte de smishing y spoofing bancario en su provincia [3].
TL;DR: lo esencial en 30 segundos
Alerta smishing bancario — marzo 2026
- Qué es: SMS fraudulento que suplanta a tu banco y te dirige a una web falsa para robar tus credenciales
- Riesgo: Vaciado completo de cuenta corriente en minutos, incluyendo transferencias y pagos con tarjeta
- Cómo detectarlo: Tu banco NUNCA te pedirá claves completas, códigos de verificación ni datos por SMS
- Si ya has caído: Llama a tu banco inmediatamente, denuncia en comisaría y contacta con un perito informático para preservar la evidencia digital
Qué es el smishing bancario
El smishing es una variante del phishing que utiliza mensajes SMS como vector de ataque. El término combina «SMS» y «phishing». A diferencia del phishing por correo electrónico, el smishing explota la confianza que los usuarios depositan en los mensajes de texto — un canal que tradicionalmente se ha percibido como más seguro y personal.
En 2026, el smishing bancario ha evolucionado drásticamente gracias a tres factores:
| Factor | Antes (2023-2024) | Ahora (2025-2026) |
|---|---|---|
| Redacción | Faltas de ortografía evidentes | IA genera textos perfectos en español [4] |
| URLs | Dominios sospechosos (.xyz, .top) | Dominios con typosquatting preciso (bankia-es.com) |
| Personalización | Mensajes genéricos | Datos filtrados de brechas previas (nombre, últimos dígitos de cuenta) |
| Timing | Envío aleatorio | Coordinado con horarios bancarios reales |
| Segundo factor | Solo SMS | Combinado con llamada telefónica (vishing) |
La evolución: del SMS al ataque multicanal
Los ataques más sofisticados de marzo de 2026 ya no se limitan a un único SMS. Según la Guardia Civil, el modus operandi actual combina múltiples canales de forma coordinada para superar los sistemas de autenticación de doble factor (2FA) de las entidades bancarias [1].
Modus operandi paso a paso
Envío del SMS fraudulento La víctima recibe un mensaje que simula proceder de su entidad bancaria. El texto advierte de una «operación sospechosa», «acceso no autorizado» o «bloqueo de cuenta» e incluye un enlace que dirige a una web falsa. En muchos casos, el SMS aparece en el mismo hilo de conversación que los mensajes legítimos del banco, gracias a técnicas de spoofing del remitente.
Web clonada con captura de credenciales El enlace conduce a una réplica exacta de la banca online de la víctima. La web fraudulenta solicita usuario, contraseña y, en algunos casos, el código de verificación. Todo lo introducido se transmite en tiempo real a los estafadores.
Llamada telefónica de refuerzo (vishing) En los ataques más elaborados, los estafadores llaman a la víctima haciéndose pasar por el departamento de seguridad del banco. Utilizan spoofing telefónico para que aparezca el número real de la entidad en la pantalla del teléfono. Solicitan los códigos de verificación enviados por SMS «para cancelar la operación fraudulenta».
Transferencias inmediatas Con las credenciales y los códigos de verificación, los atacantes realizan transferencias a cuentas de mulas bancarias o compran criptomonedas. El proceso completo — desde el SMS hasta el vaciado de cuenta — puede durar menos de 15 minutos.
SIM swap (en ataques avanzados) En una variante más agresiva, los delincuentes solicitan un duplicado de la tarjeta SIM de la víctima (SIM swap). Con la SIM clonada, reciben directamente todos los códigos de verificación bancarios. La víctima nota que su teléfono se queda sin cobertura, pero para cuando reacciona, la cuenta ya ha sido vaciada.
Segunda estafa: la «recuperación» Semanas después, otra llamada contacta a la víctima ofreciendo «recuperar el dinero» a cambio de un pago inicial. Es la misma organización criminal extrayendo más dinero de la misma víctima [5].
Casos reales en España — marzo 2026
Macroperación contra SMS masivos
La Guardia Civil detuvo a un centenar de personas por estafar más de un millón de euros mediante SMS fraudulentos masivos. La operación reveló una infraestructura industrial: los detenidos lanzaban millones de mensajes diarios desde centros de operaciones equipados con decenas de dispositivos [6].
Alerta en Almería: repunte de smishing bancario
La Comandancia de la Guardia Civil de Almería emitió el 6 de marzo de 2026 una alerta específica por el incremento de estafas tecnológicas mediante smishing y spoofing que suplantan a entidades bancarias en la provincia [3].
Investigación por smishing en León
El 10 de marzo de 2026, la Guardia Civil investigó a un estafador por smishing tras la denuncia telemática de la víctima en la Cibercomandancia del INCIBE. El investigado había obtenido las credenciales bancarias a través de un SMS que suplantaba al banco de la víctima [7].
Disclaimer
Los casos mencionados proceden de comunicados oficiales de la Guardia Civil, el Ministerio del Interior e INCIBE. Los detalles pueden variar respecto a las resoluciones judiciales finales.
Cómo detectar un SMS fraudulento
| Señal de alerta | Por qué es sospechoso |
|---|---|
| Urgencia extrema («En 24 horas se bloqueará su cuenta») | Los bancos no amenazan con bloqueos por SMS |
| Enlace acortado o con dominio extraño | Tu banco siempre usa su dominio oficial |
| Solicita claves o códigos de verificación | Ningún banco pide claves completas por SMS |
| Errores sutiles en el remitente | «Bankla» en vez de «Bankia», «CaxaBank» en vez de «CaixaBank» |
| Aparece en el mismo hilo que SMS legítimos | El spoofing de remitente puede insertar mensajes en hilos reales |
| Te piden instalar una app o dar acceso remoto | Nunca instales aplicaciones sugeridas por SMS |
Regla de oro
Si recibes un SMS de tu banco que te genera duda, no pulses el enlace. Abre la app oficial de tu banco directamente o llama al número que aparece en tu tarjeta. Nunca uses el número de teléfono que aparece en el SMS sospechoso.
Qué hacer si has sido víctima
Contacta con tu banco inmediatamente Llama al número de atención al cliente que aparece en tu tarjeta bancaria o en la web oficial. Solicita el bloqueo inmediato de cuentas y tarjetas. Cada minuto cuenta: los estafadores operan en tiempo real.
No borres nada del teléfono Los SMS, el historial de llamadas, las capturas de pantalla del navegador y cualquier notificación son evidencia digital crítica. Si borras estos datos, dificultas enormemente la investigación posterior.
Denuncia en comisaría o en la web de la Policía/Guardia Civil Puedes denunciar presencialmente o a través de la sede electrónica de la Guardia Civil. Lleva contigo el teléfono con los SMS, el historial de navegación y los extractos bancarios que muestren las operaciones no autorizadas.
Contacta con un perito informático forense Un perito informático puede extraer y certificar la evidencia digital de tu dispositivo con cadena de custodia y validez judicial. Este informe pericial es fundamental para la denuncia penal y para reclamar al banco la devolución del dinero robado.
Reclama al banco por la vía de la PSD2 La Directiva de Servicios de Pago (PSD2) establece que el banco es responsable de las operaciones no autorizadas salvo que demuestre negligencia grave del cliente. Múltiples sentencias en España — incluyendo la STS 571/2025 — obligan a las entidades a devolver el dinero (ver análisis detallado).
Cambia todas tus contraseñas Modifica las credenciales de acceso a la banca online, correo electrónico asociado, y cualquier servicio que utilice la misma contraseña. Activa la autenticación de doble factor con app (no por SMS) donde sea posible.
Alerta a INCIBE Reporta el incidente al teléfono 017 (línea gratuita de ayuda en ciberseguridad) o a través de la web de INCIBE. Tu reporte ayuda a detectar patrones y emitir alertas a otros ciudadanos.
El papel del perito informático forense
Un perito informático forense aporta tres elementos clave en casos de smishing bancario:
1. Preservación de la evidencia digital
El perito extrae los SMS, metadatos del mensaje (número remitente real, timestamp, SMSC), historial de navegación, cookies y capturas de las webs fraudulentas. Todo ello con metodología ISO 27037 y cadena de custodia documentada, garantizando la admisibilidad de la prueba en juicio.
2. Análisis técnico del ataque
El informe pericial detalla el modus operandi: si hubo SIM swap, si se empleó spoofing del remitente, si la web fraudulenta estaba alojada en un servidor específico, y cómo se exfiltraron las credenciales. Este análisis técnico es fundamental para demostrar ante el juez que la víctima actuó con la diligencia debida.
3. Soporte en la reclamación bancaria
Las entidades financieras tienen la obligación de reembolsar las operaciones no autorizadas salvo negligencia grave del cliente (artículo 44 del Real Decreto-ley 19/2018). El informe pericial demuestra que el ataque fue sofisticado y que un usuario medio no podría haberlo detectado — argumento que ha sido determinante en sentencias favorables al cliente [8].
Marco legal en España
El smishing bancario está tipificado como delito en varias disposiciones:
| Norma | Artículo | Delito | Pena |
|---|---|---|---|
| Código Penal | Art. 248-249 | Estafa informática | 6 meses - 3 años de prisión (mayor de 400 €) |
| Código Penal | Art. 197 | Descubrimiento y revelación de secretos | 1 - 4 años de prisión |
| Código Penal | Art. 264 | Daños informáticos | 6 meses - 3 años de prisión |
| RDL 19/2018 | Art. 44 | Responsabilidad del proveedor de servicios de pago | Reembolso obligatorio salvo negligencia grave |
| PSD2 (Directiva UE 2015/2366) | Art. 73 | Operaciones de pago no autorizadas | Reembolso inmediato al ordenante |
| RGPD | Art. 32-33 | Medidas de seguridad y notificación de brechas | Multas hasta 20M € o 4% facturación |
La jurisprudencia reciente del Tribunal Supremo (STS 571/2025) ha reforzado la posición de las víctimas, estableciendo que la sofisticación de los ataques de smishing e ingeniería social no puede considerarse negligencia grave del usuario [8].
Medidas de protección recomendadas
| Medida | Nivel de protección | Implementación |
|---|---|---|
| No pulsar enlaces en SMS bancarios | Alta | Inmediata |
| Activar 2FA con app (no SMS) | Alta | 10 minutos en la app del banco |
| Desactivar desvíos de llamadas | Media | Ajustes del teléfono |
| Usar PIN/biometría para la SIM | Alta | Ajustes de la tarjeta SIM |
| Limitar transferencias online diarias | Media | Configuración bancaria |
| Verificar periódicamente movimientos | Media | Hábito diario |
| Registrar tu número en la Lista Robinson | Baja | listarobinson.es |
Preguntas frecuentes
1. ¿Cómo es posible que el SMS aparezca en el hilo de mi banco real?
Los estafadores utilizan técnicas de spoofing del identificador de remitente (sender ID). Los SMS no tienen un mecanismo de autenticación del remitente — cualquier persona puede enviar un mensaje con el nombre «BBVA» o «CaixaBank» como remitente. El teléfono lo agrupa automáticamente con los mensajes legítimos del banco.
2. ¿Puede el banco negarse a devolverme el dinero?
El banco solo puede negarse si demuestra negligencia grave del cliente. Sin embargo, la jurisprudencia española viene interpretando de forma restrictiva este concepto. Un informe pericial que acredite la sofisticación del ataque es la mejor herramienta para demostrar que actuaste con diligencia razonable.
3. ¿Cuánto tiempo tengo para reclamar al banco?
Dispones de 13 meses desde la fecha de la operación no autorizada para notificarlo al banco (artículo 43 del RDL 19/2018). No obstante, se recomienda actuar en las primeras 24-48 horas para maximizar las posibilidades de recuperar el dinero mediante la reversión de la transferencia.
4. ¿Qué diferencia hay entre smishing, phishing y vishing?
El phishing usa correo electrónico como canal, el smishing usa SMS, y el vishing usa llamadas telefónicas. En los ataques de marzo de 2026, se combinan los tres canales de forma coordinada: SMS para obtener credenciales, vishing para obtener códigos de verificación, y en algunos casos phishing por email como refuerzo.
5. ¿Si tengo activada la verificación en dos pasos estoy protegido?
Depende del tipo de 2FA. Si tu banco envía los códigos de verificación por SMS, un ataque de SIM swap puede interceptarlos. La recomendación es activar la verificación mediante la propia app del banco o un autenticador como Google Authenticator, que no depende de la línea telefónica.
6. ¿Cuánto cuesta un peritaje informático para estos casos?
Un informe pericial de smishing bancario parte desde 350 € para la certificación de la evidencia digital y desde 600 € para un informe completo con análisis del modus operandi, que es el que se presenta en juicio o en la reclamación bancaria.
Referencias y fuentes
- Moncloa.com. “La Guardia Civil alerta sobre la estafa del SMS que vacía tus ahorros en segundos.” 3 de marzo de 2026. https://www.moncloa.com/2026/03/03/guardia-civil-alerta-estafa-sms-3363756/
- INCIBE. “Balance de ciberseguridad 2025: 122.223 incidentes gestionados.” Enero 2026. https://www.incibe.es/
- La Noción. “La Guardia Civil de Almería alerta del incremento de estafas tecnológicas mediante smishing y spoofing.” 6 de marzo de 2026. https://www.lanocion.es/almeria/20260306/la-guardia-civil-de-almeria-alerta-del-increm-2f8fz.html
- Revista Ciberseguridad. “Cibercrimen 2026: cuando los delincuentes funcionan como una multinacional y usan IA mejor que tú.” Diciembre 2025. https://www.revistaciberseguridad.com/2025/12/cibercrimen-2026/
- Ministerio del Interior. “Operación Humo Digital: golpe a organización criminal en callcenters de Barcelona.” 2025. https://www.interior.gob.es/
- Ministerio del Interior. “Macroperación contra estafas de SMS masivos: detenidas cien personas.” https://www.interior.gob.es/
- El Buscador. “La Guardia Civil investiga a un estafador por smishing tras denuncia en la Cibercomandancia del INCIBE (León).” 10 de marzo de 2026. https://www.periodicoelbuscador.com/
- INCIBE. “Campaña de smishing que suplanta a entidades bancarias solicitando que les llames.” Marzo 2026. https://www.incibe.es/ciudadania/avisos/campana-de-smishing-que-suplanta-entidades-bancarias-solicitando-que-les-llames
- Banco Santander. “Qué es el smishing: evita la estafa del SMS.” 2026. https://www.bancosantander.es/glosario/smishing
- Computing.es. “Tendencias de ciberseguridad 2026: IA, ransomware, credenciales.” Enero 2026. https://www.computing.es/seguridad/tendencias-ciberseguridad-2026/
- Seguridad PY. “Cibercrimen 2026: un ecosistema industrializado que acelera el riesgo para las empresas españolas.” Marzo 2026. https://seguridadpy.info/2026/03/cibercrimen-ecosistema-riesgo/
- Que.es. “INCIBE y la Guardia Civil alertan: el aviso urgente sobre un paquete que nunca pediste.” 11 de marzo de 2026. https://www.que.es/2026/03/11/ordenadores-smishing-estafa-paquete-espana/
¿Has sido víctima de una estafa por SMS?
Analizamos tu dispositivo, certificamos la evidencia digital con validez judicial y elaboramos el informe pericial que necesitas para reclamar al banco o denunciar. Consulta gratuita por videollamada.
Más información
