El SMS spoofing es uno de los fraudes online que consiguen “colar” un SMS falso en el mismo hilo de mensajes oficial del banco, aunque también puede producirse spoofing telefónico. Esto hace que muchos usuarios acaben moviendo su propio dinero a cuentas controladas por los estafadores.
En Asoban Abogados, que hemos vuelto a ganar una sentencia en el Juzgado de Primera Instancia nº 9 de Alicante, vamos a explicarte qué es, cómo funciona y cómo el Real Decreto-ley 19/2018 de Servicios de Pago está de tu parte si has sufrido una estafa.
¿Qué es el SMS spoofing?
El SMS spoofing es una técnica de suplantación en la que los ciberdelincuentes envían mensajes de texto haciéndose pasar por tu banco u otra entidad legítima, utilizando el mismo identificador (“alias”) que la entidad real para que el mensaje aparezca en el mismo hilo de conversación del banco.
-
Características habituales del SMS spoofing
- El mensaje llega mezclado con otros SMS auténticos del banco.
- El remitente parece el mismo que el de los mensajes reales.
- Suele incluir: un enlace a una web falsa (smishing), un aviso de seguridad urgente (intento de acceso, cargo sospechoso, bloqueo de cuenta) e instrucciones para “verificar datos” o “proteger tu cuenta”.
⚠️ El objetivo del SMS spoofing es que introduzcas tus credenciales o sigas ciertas instrucciones (como realizar transferencias) pensando que actúas guiado por tu banco.
Spoofing telefónico: cuando la llamada del “banco” también es falsa
El spoofing telefónico (o phone spoofing, caller ID spoofing) consiste en falsificar el número que aparece en tu pantalla cuando recibes una llamada. Los estafadores consiguen que veas el número real del banco o el nombre de la entidad. Aquí es donde entra en juego el SMS spoofing.
Según el Instituto Nacional de Ciberseguridad (INCIBE), es una táctica cada vez más común: los ciberdelincuentes suplantan números de bancos, operadoras o compañías de suministros para ganarse la confianza del usuario y obtener datos sensibles o provocar que haga operaciones que en realidad benefician al estafador.
-
Lo que pasa en el spoofing telefónico
- Te llaman supuestamente del banco justo después de un SMS spoofing (en el mismo hilo real).
- La llamada se muestra como si fuese el número oficial.
- El falso empleado usa datos que ya han obtenido de ti o filtraciones previas.
- Te presionan con mensajes como “están intentando vaciar su cuenta ahora mismo” o “si no actúa en este momento, perderá su dinero”.
⚠️ Con el spoofing telefónico los estafadores buscan que la víctima termine dictando códigos que llegan a su móvil, que autorice operaciones inmediatas y que realice transferencias a suspuestas "cuentas seguras".
Caso real: sentencia ganada por Asoban Abogados contra Banco Sabadell por caso de SMS spoofing
En la Sentencia, el Juzgado de Primera Instancia nº 9 de Alicante da la razón a la víctima sufre SMS spoofing, y condena al banco a devolver la cantidad sustraída.
-
Claves del caso real de SMS spoofing:
- SMS spoofing: Recibe un SMS que aparece en el mismo hilo legítimo de Sabadell. El mensaje le informa de un supuesto cargo de más de 4.000 euros y le pide que pulse un enlace si no reconoce la operación.
- Acceso al enlace y llamada suplantada (spoofing telefónico): Tras pulsar el enlace, recibe una llamada de un número que su móvil identifica como Banco Sabadell. El supuesto “gestor” le indica que está sufriendo un ciberataque y que debe mover el dinero a un “fondo seguro”.
- Transferencias ordenadas por la víctima engañada: Guiada por ese falso empleado, realiza tres transferencias de diferentes cantidades.
- Demanda judicial y defensa del banco: La víctima de SMS spoofing reclama la devolución de esas cantidades, pero el banco alega que no ha habido brecha de seguridad, que ella misma autorizó las operaciones y que es la responsable de custodiar las claves de acceso. cantidades, pero el banco alega que no ha habido brecha de seguridad, que ella misma autorizó las operaciones y que es la responsable de custodiar las claves de acceso.
-
La decisión del Juzgado
El juzgado da la razón a la víctima representada por Asoban Abogados y condena al banco a devolver íntegramente la cantidad estafada más intereses legales y costas.
Estos son los puntos claves de la sentencia:
- El fraude se fundamenta en SMS spoofing y spoofing telefónico: el mensaje y la llamada parecían totalmente legítimos.
- Para un usuario medio, es razonable confiar en un SMS que aparece en el mismo hilo que los mensajes auténticos del banco.
- No se aprecia negligencia grave de la clienta; actuó de buena fe pensando que protegía su dinero.
- El banco no acredita haber implantado medidas de seguridad suficientes frente a este tipo de ataques.
- El juzgado habla de un déficit en el sistema de seguridad de la entidad y aplica la normativa de servicios de pago que obliga al banco a devolver las operaciones no autorizadas, salvo prueba de fraude o negligencia grave del cliente.
Esta resolución se suma a la jurisprudencia del phishing bancario en donde otras sentencias condenan a bancos a devolver cantidades importantes a clientes estafados mediante SMS y llamadas suplantadas.
Marco legal: qué dice la Ley de servicios de pago
En España, el régimen actual de operaciones no autorizadas se recoge en el Real Decreto-ley 19/2018, de servicios de pago y otras medidas urgentes en materia financiera, que sustituyó a la anterior Ley 16/2009.
Puntos esenciales de la normativa:
- El banco debe garantizar que las credenciales de seguridad (claves, códigos, etc.) solo sean accesibles al usuario autorizado.
- Si el cliente niega haber autorizado una operación, corresponde al banco probar que la operación fue autenticada correctamente, que no hubo fallos técnicos.y, si quiere exonerarse, que el cliente actuó con fraude o negligencia grave
- Si no logra probarlo, el banco debe devolver inmediatamente el importe de la operación no autorizada y restablecer el saldo anterior.
⚠️ En resumen: la norma está pensada para que el usuario de banca online no quede desprotegido ante estafas digitales cada vez más sofisticadas.
Qué hacer si eres víctima de SMS spoofing o spoofing telefónico
Si sospechas que has caído en una estafa de sms spoofing o spoofing telefónico, contacta con tu banco, solicita por escrito la devolución de las operaciones no autorizadas, denuncia a la Policía y busca una defensa legal sólida.
-
Corta la comunicación de inmediato
En cuanto sospeches que puedes estar ante un fraude, cuelga la llamada, deja de responder mensajes y no vuelvas a pulsar enlaces ni a seguir instrucciones que te lleguen por ese canal. No facilites ningún dato adicional, especialmente claves, códigos SMS o información personal o bancaria.
-
Contacta tú con tu banco por canales oficiales
Una vez cortada la comunicación con el posible estafador, llama tú mismo al banco utilizando el número que figura en el reverso de tu tarjeta, en la web oficial o en la app de la entidad. Explica con detalle lo ocurrido y solicita de inmediato el bloqueo de operaciones sospechosas, tarjetas y accesos a banca online.
-
Solicita por escrito la devolución de las operaciones no autorizadas
Tras el primer aviso telefónico, presenta una reclamación formal por escrito pidiendo la devolución de todas las operaciones que no reconozcas. Exige que te faciliten un número de referencia o registro de la reclamación y conserva copia de todo lo que entregues, incluidos pantallazos de SMS, correos, movimientos bancarios y justificantes.
-
Presenta denuncia ante la Policía o la Guardia Civil
Acude a una comisaría o cuartel de la Guardia Civil y presenta denuncia detallando fechas, importes, mensajes y llamadas recibidas. Adjunta toda la documentación de la que dispongas (capturas de pantalla, extractos bancarios, correos, número de reclamación en el banco), porque servirá de apoyo tanto en la investigación penal como en una eventual reclamación frente a la entidad.
-
Recaba asesoramiento jurídico especializado
Contacta con un abogado experto en derecho bancario y fraudes online para que analice tu caso. El profesional valorará si existe base legal para reclamar, si el banco ha incumplido la normativa de servicios de pago y cuál es la viabilidad de presentar una demanda judicial para recuperar el dinero estafado.
Cómo te ayuda Asoban Abogados en este tipo de fraudes
En nuestro despacho especialista en estafas, llevamos años defendiendo a usuarios estafados por SMS spoofing y otros tipos de estafas digitales.
Nuestro método consiste en revisión gratuita de tu caso, por eso es muy importante recabar toda las pruebas posibles. Además, exigimos el reintegro a través de una reclamación extrajudicial a la entidad y si este se niega, diseñamos una estrategia procesal y aportamos informes y pruebas tecnológicas para defender tu caso hasta la sentencia.
Contáctanos sin compromiso rellenando tus datos en el formulario. ¡Cuenta con Asoban Abogados!
