Smishing: definición, funcionamiento, riesgos y guía completa para protegerte de la estafa por SMS

Última actualización: 26/11/2025Escrito y revisado por: Diego Zapatero

El smishing se ha convertido en una de las ciberestafas más extendidas en España. La Guardia Civil alerta periódicamente de esta nueva ciberestafa: el smishing, una técnica que utiliza mensajes SMS para engañar a usuarios de banca digital, servicios de paquetería o plataformas estatales. El Instituto Nacional de Ciberseguridad (INCIBE) confirma que los ataques de smishing aumentan en los periodos de mayor actividad comercial, especialmente coincidiendo con campañas de compras como Black Friday o Navidad.

En Asoban Abogados analizamos en profundidad qué es el smishing, cómo funciona, por qué ocurre, cuáles son sus riesgos y qué hacer si eres víctima. Esta guía completa sobre smihing resolverá todas tus dudas sobre qué es el smishing, sus diferencias con otros tipos de fraude, así como consejos para evitar caer en esta ciberestafa o cómo defenderte si fuiste víctima de la misma o alguna persona de tu entorno.

¿Has recibido un SMS sospechoso? Te ayudamos a verificar si es smishing y a proteger tus cuentas antes de que sea tarde.

primera consulta gratis

Qué es el smishing

El smishing es un tipo de fraude digital que combina “SMS” y “phishing”. En términos simples, es una estafa por SMS en la que un ciberdelincuente envía un mensaje que parece proceder de una entidad legítima para que la víctima pulse un enlace y entregue información sensible.

⚠️ En definitiva, el smishing es una estafa basada en SMS que busca robar datos o dinero engañando al usuario mediante una comunicación aparentemente auténtica.Es un ataque de ingeniería social que pretende robar credenciales bancarias, números de tarjetas, códigos OTP y otra información crítica

Cómo funciona el smishing: procedimiento paso a paso

El ciberdelincuente envía mensajes masivos haciéndose pasar por bancos, la Seguridad Social, Correos, operadores telefónicos o empresas reconocidas. Es lo que se conoce como campañas de smishing o ataques smishing.

El texto del SMS suele indicar un bloqueo de cuenta, un cargo no autorizado, un paquete retenido o un acceso indebido. Este componente emocional explica por qué el smishing es tan común.

El SMS incluye un enlace a una falsa web que imita con precisión a la original. Esto permite identificar smishing si el usuario analiza el dominio: la URL no coincide exactamente con la misma que la de su banco oficial, los elementos tardan en cargarse, etc.

La web falsa pide claves, números de tarjeta, DNI, contraseñas o códigos de verificación. Piensa que tu entidad bancaria jamás te pediría estos datos de forma online y que sólo deberías darles si eres tú quien llamas por el canal oficial de tu banco.

Los ciberdelincuentes utilizan la información para vaciar cuentas o ejecutar compras online

Algunas campañas emplean smishing app, apps falsas o notificaciones push que aumentan la efectividad del ataque.

Por qué ocurre el smishing y causas del smishing

Las causas del smishing y su origen están vinculadas a la facilidad con la que los SMS pueden ser suplantados.

Por un lado, los estafadores disponen de herramientas que permiten manipular el remitente. Por otro, los SMS siguen generando una falsa sensación de seguridad.

Entre los motivos principales:

Ejemplos de smishing: casos reales y campañas habituales

Los ejemplos de smishing permiten entender cómo operan los delincuentes, a identificar patrones comunes en los mensajes falsos, pues todas las campañas siguen una estructura similar: un aviso urgente, un enlace fraudulento y una petición de datos. A continuación, se explican las campañas más frecuentes que están sufriendo los ciudadanos últimamente.

En este tipo de fraude, la víctima recibe un SMS que afirma que “su paquete está retenido” o que debe pagar una pequeña cantidad para liberarlo. Incluye un enlace que conduce a una página muy similar a la de Correos, donde se piden datos personales y número de tarjeta. En las campañas más recientes, incluso se solicita instalar una app falsa que permite el control remoto del móvil.

Aquí el mensaje alerta de un acceso no autorizado, un bloqueo de cuenta o la necesidad urgente de actualizar datos. El enlace lleva a una copia exacta del panel de acceso del Santander. Se solicita usuario, contraseña y, en ocasiones, códigos de firma electrónica. Con ellos, los estafadores realizan transferencias inmediatas.

Las campañas imitan la estética corporativa de CaixaBank y utilizan textos como “seguridad reforzada”, “verifique su identidad” o “actividad sospechosa detectada”. El objetivo es conseguir credenciales de banca digital y, en casos recientes, solicitan también obtener también el DNI por ambas caras para completar verificaciones fraudulentas.

El BBVA es uno de los bancos cuyos más casos de suplantación salen en prensa. Los mensajes incluyen frases como “suspensión temporal”, “hemos detectado actividad inusual” o “validación pendiente”. Las páginas falsas replican la app del banco y piden claves de acceso, números de tarjeta y códigos OTP enviados al móvil de la víctima.

Las operadoras son objetivo habitual: Vodafone, Movistar, Orange o Yoigo. Los SMS anuncian supuestos impagos o actualizaciones de contrato. En los casos más recientes, los ciberdelincuentes incluyen enlaces a webs donde solicitan tarjetas para “actualizar la forma de pago”, lo que termina en cargos fraudulentos.

Los delincuentes envían mensajes sobre devoluciones de billetes o incidencias con reservas. El enlace lleva a una página que solicita datos bancarios «para recibir el reembolso». Estas campañas suelen coincidir con periodos vacacionales, cuando los usuarios tienen más reservas activas.

Muy extendido en épocas de promociones tanto en esta cadena de supermercados como en otras. El SMS indica que la víctima ha ganado un premio o un cheque regalo y pide pulsar un enlace para reclamarlo. La página falsa solicita datos personales que luego se usan para fraude y suplantación.

Diferencia entre smishing y phishing

Mientras el phishing utiliza el correo electrónico como vía principal para engañar al usuario, el smishing emplea mensajes SMS para lograr el mismo objetivo: robar datos, claves bancarias y dinero. Es decir:

Phishing = email
Smishing = SMS

⚠️ Sin embargo, aunque el canal cambia, el propósito es idéntico: manipular al usuario mediante ingeniería social. El smishing es más peligroso porque los SMS siguen percibiéndose como un canal más confiable, lo que aumenta la tasa de éxito de estos fraudes y explica su crecimiento en campañas recientes.

Qué datos buscan en un ataque de smishing

Las campañas de smishing están diseñadas para obtener:

Tener claros qué datos buscan con el smishing es clave para evitar caer en la ciberestafa.

Cómo identificar un SMS de smishing

Puedes identificar un SMS de smishing fijándote en varias señales claras. Los fraudes suelen incluir enlaces acortados o dominios extraños, textos con faltas de ortografía o traducciones poco naturales, y mensajes que buscan generar urgencia para que actúes sin pensar. También es habitual que pidan claves, datos bancarios o números de tarjeta, algo que ninguna entidad solicita por SMS. Además, muchos de estos mensajes proceden de un número de teléfono sospechoso o desconocido. Si detectas cualquiera de estas señales, no pulses el enlace y verifica siempre la información desde la app o web oficial de tu banco o servicio.

⚠️ La Guardia Civil y el INCIBE recuerdan que ninguna entidad pide datos sensibles por SMS. Jamás procures ningún dato personal ni por mensaje, ni por llamada, ni por email.

Cómo evitar el smishing: prevención y protección

Para prevenir smishing o evitar smishing, sigue estas recomendaciones:

Estas medidas forman parte de la protección smishing recomendada por los expertos.

Qué hacer si has sido víctima de smishing

Si has sido víctima de smishing, es fundamental actuar rápido para limitar el daño y recuperar tu dinero. Lo primero es llamar a tu banco para bloquear tarjetas y operaciones abiertas. Después, cambia todas tus contraseñas sensibles y asegúrate de que ningún ciberdelincuente pueda volver a acceder. Guarda todas las pruebas del SMS y de la página web fraudulenta, ya que serán necesarias para denunciar. Presenta denuncia en la Policía Nacional o Guardia Civil detallando lo ocurrido. Y, por último, busca asesoramiento legal especializado para reclamar las operaciones no autorizadas y conseguir que el banco reintegre los importes sustraídos.

¿Has sido víctima de smishing? Analizamos tu caso totalmente gratis, te guiamos en la denuncia y reclamamos al banco para recuperar tu dinero con la mayor rapidez posible.

primera consulta gratis

Preguntas frecuentes sobre smishing

Un ataque de smishing puede provocar vaciado de cuentas, compras no autorizadas o incluso contratación de créditos a tu nombre. Al obtener tus claves de acceso y códigos de verificación, los delincuentes pueden operar como si fueran tú, generando daños económicos que pueden alcanzar miles de euros.

El smishing ocurre porque los SMS siguen pareciendo un canal seguro y fácil de imitar. Los delincuentes pueden falsificar remitentes sin dificultad y crear mensajes urgentes que empujan a los usuarios a actuar impulsivamente. Esta combinación convierte al smishing en una de las estafas más efectivas.

Si recibes un SMS sospechoso supuestamente del Santander, no pulses el enlace y accede sólo desde la app o web oficial. Ponte en contacto con el banco para verificar el aviso y, si has facilitado datos, bloquea tus tarjetas y presenta denuncia cuanto antes. Y si ya has caído, recopila la información, denuncia ante la Policía y acude a un abogado especialista en fraudes online.

Sobre el autor: