España se enfrenta a una auténtica plaga de *smishing* y *vishing* en 2025, con un incremento de incidentes de phishing del 40 % en el primer trimestre con respecto al año anterior, según el Instituto Nacional de Ciberseguridad (INCIBE). Ahora bien, ¿en qué consisten exactamente? Sin duda, usted habrá recibido en su teléfono uno o varios mensajes de texto que le indican que Correos no puede entregar un paquete porque necesita más información suya, o que ha recibido una multa de la DGT y que debe pulsar “aquí” para obtener un descuento del 50 %. Para la mayoría, son simplemente una molestia cada vez más frecuente; para muchos, no obstante, constituyen una amenaza real.
Estas estafas por mensaje de texto y por voz se dirigen a clientes de bancos, agencias tributarias y establecimientos comerciales, aprovechando la alta penetración de la telefonía móvil. A continuación, desglosaremos la naturaleza de la amenaza, las respuestas oficiales y las medidas prácticas para recuperarse en caso de haber sido víctima.
¿Qué son el Smishing y el Vishing?
El *smishing* (SMS phishing) utiliza mensajes de texto fraudulentos para engañar a los usuarios y que hagan clic en enlaces maliciosos o compartan datos privados, como números de cuenta bancaria.
Lo Más Leído en Euro Weekly News
El *vishing* (phishing de voz) implica llamadas telefónicas falsas que presionan a las víctimas para que revelen códigos, credenciales o que digan “sí”. Un ejemplo paradigmático es el de alguien que se hace pasar por la compañía telefónica (generalmente la suya), llamando para decir que necesita cambiar su router de Internet por uno más moderno. La persona al otro lado del teléfono intenta que usted diga “Sí” para poder grabarlo y utilizar posteriormente esa grabación de su afirmación en transacciones fraudulentas, quizás utilizando su propia cuenta bancaria. En caso de duda, cuelgue. Solo mantenga este tipo de conversaciones cuando sea usted quien haya realizado la llamada, no cuando le llamen desde un número no identificado.
Ejemplos reales de mensajes de texto falsos, o “smishing“: SMS falsos del BBVA con enlaces bit.ly, o mensajes de la “DGT” que exigen un pago inmediato. Los organismos oficiales nunca solicitan datos mediante SMS o llamadas no solicitadas. Y Correos nunca envía mensajes de texto si no puede entregar un paquete.
Los habituales del *smishing* español en 2025
Suplantación de bancos: BBVA, Santander, ING
Estafas de la campaña de la Renta: Reembolsos falsos de Hacienda durante la Renta 2024
Fraude minorista: “Vales gratis” de Lidl o trampas del Black Friday
Estafas postapagón: Ayuda falsa del Ministerio tras el apagón de abril de 2025
Correos: Afirmaciones de que un paquete no se puede entregar porque se necesita información adicional o hay que abonar un pequeño cargo
Qué hacen la policía y las autoridades españolas
INCIBE, el Instituto Nacional de Ciberseguridad, es el organismo oficial del Gobierno de España para la ciberseguridad, que opera bajo el Ministerio de Transformación Digital y de la Función Pública. Creado en 2006 y con sede en León, protege a ciudadanos, empresas y administraciones públicas de amenazas cibernéticas como el *smishing*, *vishing*, *phishing*, *ransomware* y otras brechas de datos en línea. La línea de ayuda 017 de INCIBE recibió 98.546 llamadas relacionadas con fraudes en 2024 (un 21,8 % más), dominadas por el *smishing*/*vishing*. Está claro que se está convirtiendo en una plaga. La respuesta de España es contundente y multinivel:
Grandes Operaciones Policiales (2025)
Fénix (oct 2025) – Policía Nacional – 1 detenido, se frustró un fraude de más de 400.000 €
GoogleXcoder – Guardia Civil – Detenido un hacker brasileño; clausurados 35 sitios bancarios falsos
Red Osona – Operación conjunta (Mossos, Ertzaintza) – 23 arrestados, se recuperó más de 1 millón de euros
Ejemplos comunes de un ataque de *smishing*
En 2024, los usuarios recibieron un mensaje que supuestamente era de Movistar y siguieron las instrucciones de que debían hacer clic en un enlace porque su factura estaba impagada. Luego, se les incita a rellenar sus datos bancarios. El sitio web parece auténtico, pero ha suplantado al original con una mínima diferencia en la dirección y a pagar una cantidad pendiente en su factura. Una vez que uno se da cuenta de que ha sido engañado, desgraciadamente la estafa no termina ahí. Suelen desaparecer del cuenta pequeñas cantidades cada mes, inicialmente importes que normalmente no percibiríamos. Luego, esas cantidades aumentan poco a poco cada mes. Si esto ocurre, contacte con su banco lo antes posible para informarles de lo sucedido y cancelar cualquier transacción que se haya podido realizar.
1. Correos: Su paquete está retenido. Pague 1,95€ en el enlace para liberarlo
2. DGT: Multa de 360€ pendiente. Evite recargo del 50% pulsando aquí
3. Su cuenta BBVA/Caixa/Santander ha sido bloqueada. Verifique identidad
4. Amazon Prime: Tiene un reembolso de 28,40€. Confirme datos
5. WhatsApp: Su cuenta será desactivada. Verifique con el código
6. Hacienda: Tiene una devolución de 1.184€. Acceda para cobrar
7. Seguridad Social: Error en su nómina. Corrija antes de 24h
8. Su teléfono ha sido infectado con 7 virus. Limpie ahora
9. Lotería ONCE/Euromillones: Ha ganado 48.500€. Reclame premio
10. Shein/Temu: 500€ gratis por ser cliente VIP. Solo hoy
11. Bizum: Ha recibido 250€ de un desconocido. Acepte aquí
12. ING/Openbank: Nueva normativa. Actualice su tarjeta o será bloqueada
Qué hacer ante estos ataques
Para protegerse del *phishing*, *vishing* y *smishing* en España, nunca haga clic en enlaces ni comparta códigos de mensajes o llamadas no solicitadas. Los bancos legítimos, la DGT o Hacienda solo se comunican a través de aplicaciones oficiales o correo certificado, no mediante SMS aleatorios o exigencias telefónicas. Si recibe un mensaje sospechoso (ej.: “BBVA: Verifique ahora” o “Lidl: Reclame 500 €”), bloquee al remitente, reenvíelo al 017 (la línea gratuita de INCIBE) y verifique directamente en la aplicación o página web oficial de su banco. Active los filtros de spam en su teléfono, utilice la autenticación en dos pasos (2FA) con aplicaciones de autenticación (no por SMS) y, si le presionan en una llamada, cuelgue y llame usando el número oficial de la web. Reporte cada incidente al 017 (en inglés) y, si ha perdido dinero, presente una denuncia policial en línea inmediatamente para activar los reembolsos – actuar con rapidez recupera más del 40 % de las pérdidas. Mantenga la calma, verifique de forma independiente y recuerde: la urgencia y el apremio para que haga algo de lo que se arrepentirá son el arma del estafador.