Abogados especializados en derecho bancario, Ley de Segunda Oportunidad, Préstamos ICO
Contratación online

Smishing: qué es, cómo detectar la estafa por SMS y cómo reclamar al banco tu dinero

Mujer utilizando su teléfono móvil y ordenador, representando un caso de smishing o fraude por SMS, una ciberestafa común que busca robar datos personales mediante mensajes fraudulentos.
Última actualización: 05/02/2026Escrito y revisado por: Diego Zapatero

El smishing se ha convertido en uno de los fraudes online más extendidos en España. Aunque se define como una técnica que utiliza mensajes SMS para suplantar identidades, la realidad legal va más allá: es un fallo en la seguridad de las entidades que permite a los delincuentes colarse en tu dispositivo móvil.

En Asoban Abogados no solo analizamos qué es smishing y cómo funciona el smishing, sino la posible responsabilidad de tu banco. Si has recibido un SMS fraudulento y te han vaciado la cuenta, hay posibilidades de recuperar tu dinero según la Ley de Servicios de Pago.

¿Has recibido un SMS sospechoso? Te ayudamos a verificar si es smishing y si el banco tiene responsabilidad para exigirle la devolución del dinero robado.
primera consulta gratis
Índice del artículo
  1. 1. Qué es el smishing
  2. 2. Fraude smishing: por qué ocurre y cuando es responsable la entidad bancaria
  3. 3. Cómo funciona el smishing: anatomía de un SMS fraudulento
    1. 3.1. Checklist: cómo identificar el smishing (la prueba del fraude)
  4. 4. Casos reales reclamables de Smishing en Santander, BBVA, CaixaBank y Correos.
    1. 4.1. Smishing Santander y la "falsa autorización"
    2. 4.2. Smishing CaixaBank / La Caixa: "Su cuenta será bloqueada"
    3. 4.3. Smishing BBVA y el mensaje de tarjeta suspendida
    4. 4.4. Smishing Correos y el pago de tasas de aduanas
  5. 5. Qué hacer si me han hecho smishing: guía legal para recuperar los fondos sustraídos
  6. 6. Preguntas frecuentes sobre smishing
    1. 6.1. ¿Cómo diferenciar smishing de phishing?
    2. 6.2. ¿Puedo recuperar mi dinero si autoricé la operación por SMS?
    3. 6.3. Cómo puede afectar un ataque de smishing a tus finanzas
    4. 6.4. Por qué ocurre el smishing
    5. 6.5. Qué hacer si caes en smishing del Santander

Qué es el smishing

El smishing es una modalidad de ciberfraude que combina «SMS» y «phishing«. Básicamente, es una estafa por SMS en la que recibes un mensaje de texto simulando ser de una entidad de confianza (tu banco, Correos o Hacienda) para robar tus credenciales.

⚠️ Importante: A efectos legales, el smishing se trata igual que cualquier otro fraude online. Aunque el canal sea el SMS en lugar del email, el objetivo es el mismo: obtener tus claves mediante ingeniería social. La diferencia crítica es que los SMS se perciben como "más seguros", lo que aumenta la tasa de éxito del fraude.

Fraude smishing: por qué ocurre y cuando es responsable la entidad bancaria

La respuesta es el SMS Spoofing. Los delincuentes utilizan herramientas para enmascarar su identidad y usar el nombre del remitente legítimo (por ejemplo, «Santander» o «BBVA»).

¿La clave legal? Los bancos conocen esta vulnerabilidad de las redes de telecomunicaciones. Si su sistema de seguridad permite que un tercero suplante su canal oficial de comunicación, existe una brecha de seguridad (culpa in vigilando). Esto es un argumento fundamental para exigir la devolución del dinero sustraído.

Cómo funciona el smishing: anatomía de un SMS fraudulento

El smishing funciona mediante el uso de mensajes SMS que permite a los estafadores enmascarar su identidad y colocar mensajes fraudulentos dentro del hilo de notificaciones reales de tu banco. Este ataque de ingeniería social sigue una secuencia de 4 fases diseñada para robar tus credenciales: suplantación, urgencia, la web espejo y la extracción de datos.

  • Suplantación del remitente: Es el factor clave. Los delincuentes usan software para enmascarar su número real con una etiqueta de texto (por ejemplo: "Banco Santander"). Esto provoca que el mensaje fraudulento entre en el mismo hilo de conversación que los SMS legítimos de tu banco, otorgándole una apariencia de veracidad casi indiscutible.
  • Ingeniería de la urgencia: El texto siempre genera una reacción visceral: miedo ("Cargo no autorizado de 900€") o necesidad ("Paquete retenido en aduanas"). El objetivo es anular tu capacidad de análisis crítico para que actúes rápido.
  • La web espejo: Al pulsar el enlace, no vas a una página poco profesional, sino a una perfecta clonación de la web de tu entidad. Los ciberdelincuentes copian logotipos, tipografías y menús para que te sientas en un entorno seguro.
  • Extracción de datos en tiempo real: En la web falsa, te pedirán usuario y contraseña, y a menudo el DNI o el PIN. Lo más peligroso es que, mientras tú introduces esos datos, un bot los está usando en segundo plano en la web real del banco para iniciar una transferencia. Cuando te piden el código SMS (OTP) para "cancelar la operación", en realidad estás autorizando esa salida de dinero.

🚩 Checklist: cómo identificar el smishing (la prueba del fraude)

Aunque el ataque esté muy bien hecho, existen pequeños detalles técnicos que demuestran que no fue una comunicación legítima. Fíjate en esto para detectar la estafa:

  • La URL no coincide: El enlace dice «banco-santander-seguridad.com» en lugar de «bancosantander.es». Los dominios oficiales nunca usan guiones extraños ni terminaciones diferentes a la oficial.

  • Petición de claves completas: Tu banco nunca te pedirá por SMS que introduzcas tu contraseña completa o firma electrónica.

  • Urgencia irracional: Si el mensaje te da «10 minutos para actuar» o amenaza con un bloqueo inminente, es ingeniería social.

Casos reales reclamables de Smishing en Santander, BBVA, CaixaBank y Correos.

Los ejemplos de smishing más frecuentes se dan en entidades como Banco Santander, BBVA, CaixaBank o Correos. Analizarlos no solo sirve para prevenir, sino para identificar si tu caso es viable para una reclamación bancaria.

Representación de un ataque de smishing en móvil detectado por abogado smishing Pontevedra experto en ciberestafas.

  • Smishing Santander y la "falsa autorización"

El Smishing Banco Santander es uno de los más perfeccionados. La víctima recibe un SMS (a menudo dentro del mismo hilo de mensajes legítimos de la entidad bancaria) alertando de un «cargo no autorizado» o un «acceso sospechoso». El enlace lleva a una web idéntica a la del banco donde se solicitan las claves y la firma electrónica.

El argumento de defensa: Lo crítico aquí es que los ciberdelincuentes suelen dar de alta un nuevo «dispositivo de confianza» para operar. Si el Banco Santander permitió vincular un móvil ajeno sin exigir una verificación biométrica estricta o ignorando la geolocalización anómala del estafador, existe una brecha de seguridad reclamable por falta de custodia de los fondos.

  • Smishing CaixaBank / La Caixa: "Su cuenta será bloqueada"

En el Smishing CaixaBank, los estafadores juegan con el pánico al bloqueo inminente. El SMS advierte: «Para evitar el bloqueo de su cuenta, verifique su identidad ahora». En el proceso, no solo roban las credenciales de CaixaBankNow, sino que a menudo solicitan fotos del DNI.

¿Por qué se puede reclamar? Al obtener el control de la banca digital, los delincuentes vacían la cuenta mediante transferencias inmediatas. La reclamación se sustenta en que el sistema antifraude de la entidad debió detectar y bloquear operaciones masivas que vacían el saldo en minutos (vaciado de cuenta), especialmente si el patrón de gasto del cliente no tiene nada que ver con esas transferencias repentinas.

  • Smishing BBVA y el mensaje de tarjeta suspendida

El smishing BBVA es uno de los fraudes más sofisticados. La víctima recibe un SMS dentro del propio hilo de notificaciones reales del banco con un texto alarmante: «BBVA: su tarjeta ha sido suspendida temporalmente por motivos de seguridad». El enlace redirige a una clonación de la web del banco donde piden reactivarla.

¿Dónde está el fallo del banco? Muchos afectados denuncian que, tras dar sus claves, los ciberdelincuentes vinculan la tarjeta a sistemas de pago móvil (Apple Pay o Google Pay) o realizan transferencias inmediatas. La defensa legal se basa en que el banco no activó mecanismos antifraude ante una operación anómala (vaciar la cuenta minutos después de «reactivar» una tarjeta) y, a menudo, no exigió la autenticación reforzada (SCA) correcta para vincular el dispositivo del estafador.

  • Smishing Correos y el pago de tasas de aduanas

En la variante de Sminshing Correos, el gancho no es el miedo, sino la necesidad. Recibes un SMS indicando: «Su paquete sigue retenido en aduanas por impago de las tasas (2,64€)». Al ser una cantidad pequeña, la víctima accede a pagar con tarjeta sin sospechar.

La trampa oculta y la reclamación: El objetivo real no son los 2€, sino capturar la numeración completa de tu tarjeta en la pasarela de pago falsa. Días después, los estafadores usan esos datos para compras masivas o suscripciones. Si tu banco autorizó esos cargos posteriores sin enviarte un SMS de confirmación específico para cada operación, ha incumplido la normativa PSD2 y es responsable de devolverte el dinero.

Si has caído en el smishing, llama al banco, recaba pruebas, denuncia a la policía y busca ayuda especializada. No te limites a cambiar la contraseña, sino que debes constituir pruebas para una futura demanda.

Para saber qué hacer si me han hecho phishing o smishing BBVA o de cualquier otro banco, sigue estos pasos:

  • Llama al banco para bloquear: Detén la sangría inmediatamente.
  • Captura todo: Haz pantallazos del SMS (especialmente si sale en el hilo original del banco), de la web falsa si aún puedes, y de los movimientos bancarios.
  • Denuncia policial: Acude a Policía Nacional o Guardia Civil.
  • Reclamación experta: La mayoría de bancos rechazan la primera queja alegando "negligencia del usuario". No aceptes ese NO por respuesta. Contacta con un despacho especialista para redactar una reclamación basada en la Ley de Servicios de Pago.
¿El banco se niega a devolverte
el dinero del Smishing? Que hayas dado tus claves engañado no exime al banco de responsabilidad. Analizamos la viabilidad de tu caso. Primera llamada gratuita.
Recuperar mi dinero

Preguntas frecuentes sobre smishing

  • ¿Cómo diferenciar smishing de phishing?

Aunque ambos buscan robar datos, la diferencia técnica es el canal: el phishing usa el correo electrónico y el smishing usa los mensajes de texto (SMS). Legalmente, ambos son fraudes de ingeniería social y la responsabilidad bancaria se rige por la misma normativa de pagos.

  • ¿Puedo recuperar mi dinero si autoricé la operación por SMS?

Sí. La ley exige que el consentimiento sea «libre y consciente». Si fuiste manipulado por una suplantación técnica del canal bancario y el banco no activó alertas antifraude ante una operación anómala, la operación puede considerarse no autorizada y ser reembolsable.

  • Cómo puede afectar un ataque de smishing a tus finanzas

Un ataque de smishing puede provocar vaciado de cuentas, compras no autorizadas o incluso contratación de créditos a tu nombre. Al obtener tus claves de acceso y códigos de verificación, los delincuentes pueden operar como si fueran tú, generando daños económicos que pueden alcanzar miles de euros.

  • Por qué ocurre el smishing

El smishing ocurre porque los SMS siguen pareciendo un canal seguro y fácil de imitar. Los delincuentes pueden falsificar remitentes sin dificultad y crear mensajes urgentes que empujan a los usuarios a actuar impulsivamente. Esta combinación convierte al smishing en una de las estafas más efectivas.

  • Qué hacer si caes en smishing del Santander

Si recibes un SMS sospechoso supuestamente del Santander, no pulses el enlace y accede sólo desde la app o web oficial. Ponte en contacto con el banco para verificar el aviso y, si has facilitado datos, bloquea tus tarjetas y presenta denuncia cuanto antes. Y si ya has caído, recopila la información, denuncia ante la Policía y acude a un abogado especialista en fraudes online.

Sobre el autor:
Diego Zapatero, socio de Asoban Abogados especialista en phishing, fraude bancario, suplantación de identidad y préstamos ICO
Diego Zapatero
  • Socio en Asoban Abogados especializado en Procesal Civil, Estafas Bancarias y Ciberseguridad. Hablo sobre préstamos ICO Covid y Phishing.
  • Colegiado no 124.776 en ICAM
Primera consulta GRATIS
Primera consulta GRATIS
También puede interesarte

SMS Spoofing: qué es y cómo recuperar tu dinero con sentencia ganada por Asoban Abogados

Estafa BBVA SMS: cómo reconocerla y qué hacer si te han estafado

Qué hacer si me han clonado la tarjeta SIM y cómo saber si está duplicada

Ya hemos ayudado a eliminar +16M€ en deudas
Miles de personas estaban al límite. Hoy respiran tranquilas gracias a nuestras estrategias legales.
VER CASOS REALES
Entradas relacionadas