Smishing en España 2026: los 7 timos más frecuentes por SMS

El móvil vibra. Un SMS de remitente "BBVA" te avisa de que han bloqueado tu cuenta por un acceso sospechoso. Hay un enlace. Hay urgencia. Hay una excusa perfecta para que no pienses demasiado. Ese mensaje no lo ha mandado ningún banco: lo ha mandado alguien que lleva semanas perfeccionando este texto con docenas de víctimas reales. Bienvenido al smishing en España 2026, donde el timo más antiguo del mundo viaja en 160 caracteres.

Qué es el smishing y por qué sigue funcionando

El smishing es el fraude por SMS. Sin más misterio. Alguien te manda un mensaje haciéndose pasar por una entidad de confianza —tu banco, Correos, la Agencia Tributaria— con el objetivo de que pulses un enlace, entres tus datos o llames a un número de tarificación especial.

Funciona porque los SMS generan una confianza distinta al correo electrónico. Estamos entrenados a saber que el email puede ser basura; el SMS, en cambio, lo asociamos a alertas reales del banco, confirmaciones de paquetes y citas médicas. Los estafadores lo saben. De ahí que en 2025 el INCIBE registrara un aumento sostenido de campañas de smishing en España, con picos coincidiendo con la campaña de la Renta, el Black Friday y la época navideña.

El otro motivo por el que funciona: los SMS pueden falsificar el remitente. Ves "Correos" o "Santander" en el campo del remitente y el mensaje se cuela dentro del hilo de conversación legítimo que ya tienes con esa entidad. Tu cerebro no busca pruebas. Tu cerebro dice: ya conozco a este remitente.

Los 7 timos más frecuentes por SMS en España en 2026

1. El SMS bancario con cuenta bloqueada

BBVA ALERTA: Hemos detectado un acceso no autorizado a tu cuenta. Tu tarjeta ha sido suspendida temporalmente. Verifica tu identidad en 24h para evitar el bloqueo definitivo: bbva-seguridad.net/verificar

Es el rey del catálogo. Llega con nombre de banco real en el remitente, una amenaza de pérdida (bloqueo, cargo, acceso extraño) y un plazo corto para presionarte. El enlace lleva a una web clónica del banco donde introduces usuario, contraseña y, si te descuidas, el código de confirmación por SMS. Con esos tres datos, la cuenta se vacía en minutos.

Por qué funciona: mezcla autoridad (tu banco) con miedo (perder el dinero) y urgencia (24 horas). Tres palancas en un solo mensaje.

2. El paquete retenido de Correos

Correos: Tu paquete [ES8821043] no ha podido ser entregado. Abona 1,99 € de gastos de gestión antes del viernes o será devuelto al remitente: correos-entregas.net/pago

Aquí el gancho es distinto: no es miedo, es una cantidad pequeña. 1,99 euros. Nadie se levanta de la silla por dos euros. El problema es que el formulario de pago captura el número de tarjeta completo, el CVV y la fecha de caducidad. Con eso no te cobran dos euros: te cobran todo lo que pueden hasta que bloquees la tarjeta.

Señal inequívoca: Correos nunca cobra gastos de gestión a posteriori por SMS. Si hay un coste real de aduana, llega por carta certificada.

3. La devolución de Hacienda

Agencia Tributaria: Tienes una devolución pendiente de 347,80 €. Para recibirla, confirma tu cuenta bancaria antes del 30/06: aeat-devolucion.net/confirmar

Aparece cada año en primavera, justo cuando empieza la campaña de la Renta. La cantidad es siempre verosímil: ni diez euros ni diez mil. Entre 200 y 500 euros. Suficiente para que parezca real, insuficiente para que te pongas en guardia. El link lleva a un formulario que pide IBAN, nombre completo y, en versiones más elaboradas, copia del DNI.

La Agencia Tributaria no notifica devoluciones por SMS ni pide datos bancarios por ningún enlace externo. Las devoluciones van directamente a la cuenta que declaraste. Sin formularios intermedios.

4. La subvención falsa del Gobierno o de la comunidad autónoma

SEPE: Has sido seleccionado para recibir una ayuda de 600 € del Plan de Empleo 2026. Solicítala antes de que caduque tu plaza: sepe-ayudas.net/solicitar

Este timo se reinventa con cada plan de ayudas real que publican los medios. Cuando el Gobierno anuncia una subvención para familias, al día siguiente circulan SMS que la suplantan. El formulario recoge datos personales, número de cuenta y a veces exige un "pago de tramitación" de entre 20 y 50 euros para "activar la ayuda".

Las ayudas públicas no se solicitan por SMS ni requieren pago previo. Nunca.

5. El falso premio o sorteo

Enhorabuena. Has sido seleccionado como ganador del sorteo semanal de Mercadona. Tu premio es un vale de 500 €. Recógelo aquí antes de las 23:59: mercadona-premios.net/canjear

Mercadona, El Corte Inglés, Amazon: cualquier marca con alta frecuencia de compra sirve como disfraz. El enlace lleva a una encuesta corta (para parecer legítimo) y al final pide datos de tarjeta para "cubrir los gastos de envío del premio". Spoiler: no hay premio. Hay un cargo mensual a una suscripción que no pediste.

6. El SMS del operador de telefonía con reembolso pendiente

Movistar: Detectamos un cobro duplicado en tu factura de mayo por valor de 23,40 €. Para recibir el reembolso, accede a: movistar-reembolso.net/solicitar

La cantidad pequeña y la lógica del reembolso hacen que la guardia baje. El formulario pide confirmación de datos bancarios para "procesar la devolución". Resultado: los datos quedan expuestos y el reembolso nunca llega.

7. La multa de tráfico pendiente

DGT: Tienes una notificación de multa pendiente de 90 €. Si no la gestionas en 72h, se añadirán recargos. Consulta y paga: dgt-notificacion.net/multa

Este timo explota el miedo a las consecuencias legales. El enlace lleva a una pasarela de pago falsa. Pagas 90 euros que no debías, los estafadores se quedan con los datos de tu tarjeta, y la supuesta multa no existe en ningún registro oficial. La DGT notifica las multas por correo postal o a través de la Dirección Electrónica Vial, no por SMS con enlace de pago directo.

Las 6 señales que delatan cualquier smishing

• El dominio no es el oficial. Si el SMS dice ser del banco y el enlace lleva a banco-seguro.net en lugar de bancosantander.es, es un timo. Los dominios falsos imitan a los reales con guiones, palabras añadidas o extensiones distintas (.net, .info, .xyz en lugar de .es o .com).
• Te piden actuar en menos de 48 horas. La urgencia artificial es la herramienta más usada. Ninguna entidad legítima bloquea tu cuenta de forma irreversible en 24 horas por falta de respuesta a un SMS.
• El mensaje pide datos que la entidad ya tiene. Tu banco ya sabe tu IBAN. Hacienda ya tiene tu cuenta. Si te los piden, es porque el que pregunta no es quien dice ser.
• Hay un pago previo para recibir algo. Premios, ayudas, reembolsos: ninguno requiere pago de tramitación. Si pagas para cobrar, estás perdiendo dinero, no ganándolo.
• El enlace acortado no deja ver el destino. Los SMS legítimos de entidades grandes usan sus propios dominios, no servicios de acortamiento como bit.ly o tinyurl.com. Si no ves adónde vas antes de pulsar, no pulses.
• El remitente coincide pero el texto tiene errores o un tono extraño. Faltas de ortografía, acentos que faltan, frases con estructura rara: son indicios de que el texto ha pasado por un traductor automático o lo ha redactado alguien que no escribe en español de forma nativa.

Qué hacer ahora mismo si recibes uno

1. No pulses el enlace. Ni para ver adónde lleva. Los enlaces de smishing a veces instalan código malicioso con solo cargar la página.
2. No llames al número que aparece en el SMS. Puede ser un número de tarificación especial o puede llevarte a un operador falso que recoge más datos.
3. Verifica por el canal oficial. Si el SMS dice ser de tu banco, llama al número que está en el reverso de tu tarjeta o entra directamente en la app que ya tienes instalada. Nunca desde el enlace del mensaje.
4. Reporta el SMS. En España, puedes reportar smishing al INCIBE a través del portal de la OSI (osi.es) o directamente a la Policía Nacional y la Guardia Civil. También puedes reenviar el SMS al número de tu operador habilitado para spam.
5. Bloquea el remitente en tu móvil para que no pueda enviarte más mensajes desde ese número o alias.
6. Si ya has pulsado y has introducido datos, llama de inmediato a tu banco para bloquear la tarjeta o cambiar las credenciales de acceso. El tiempo es el factor crítico aquí: cuanto antes actúes, menos margen tienen.

Decálogo anti-smishing: las 10 reglas que aplicas hoy

1. Ningún banco, operador ni organismo público te pide datos por SMS con un enlace. Ninguno.
2. La urgencia en un SMS es una señal de alarma, no una razón para actuar deprisa.
3. Antes de pulsar cualquier enlace, comprueba el dominio completo. Si no reconoces el dominio, no entres.
4. Los premios que no has solicitado no existen. Si hay un formulario de cobro, es un timo.
5. Las ayudas públicas se tramitan en sedes electrónicas oficiales, no en formularios enviados por SMS.
6. Hacienda no manda devoluciones por SMS. La Renta va a la cuenta que tú declaraste, sin pasos intermedios.
7. DGT, Correos y SEPE tienen canales oficiales verificables. Comprueba siempre en su web directamente.
8. Activa las alertas de movimiento de tu banco. Te avisan en tiempo real de cargos no reconocidos.
9. Denuncia cada SMS fraudulento. No es burocracia: cada denuncia aporta datos a las investigaciones de la Policía Nacional y la Guardia Civil.
10. Comparte esta información con quien no lea sobre fraudes. La persona más vulnerable de tu entorno no es la menos inteligente: es la que nadie le ha explicado cómo funciona este timo.