Recibir un SMS fraudulento que suplanta a tu banco, a Correos o a Hacienda se ha convertido en un evento cotidiano. El spam SMS ha desbancado al email como vector favorito de estafadores porque el móvil transmite urgencia y confianza inmediata. Los mensajes spam llegan disfrazados de notificaciones legítimas, con enlaces acortados y textos calcados de las comunicaciones reales. Aprender a bloquear SMS spam, identificar los SMS fraudulentos y denunciar SMS spam ante las autoridades competentes marca la diferencia entre perder 30 segundos borrando un mensaje o perder el acceso a tu cuenta bancaria. Esta guía recoge las técnicas actuales de los estafadores, las herramientas reales para filtrar smishing y el procedimiento oficial para reportar ante la AEPD, INCIBE y tu operador móvil.
Qué es el smishing y por qué ha explotado en 2026
El smishing es la versión SMS del phishing: mensajes diseñados para robar credenciales, instalar malware o suplantar identidades mediante un enlace o número de teléfono. El término combina "SMS" y "phishing" y lleva dos décadas en el diccionario de ciberseguridad, pero su despegue real llegó tras la pandemia con la popularización de los avisos de paquetería.
Los atacantes explotan tres ventajas del canal SMS frente al email. Primero, la tasa de apertura ronda el 98% según estudios de la industria publicitaria, muy por encima del correo. Segundo, los filtros antispam del operador son mucho menos sofisticados que los de Gmail o Outlook. Tercero, la pantalla pequeña oculta las URL sospechosas: un enlace bit.ly/xxyy parece legítimo cuando no ves el dominio completo.
Operadores y organismos como la CNMC han impulsado iniciativas para etiquetar como "No verificado" los SMS de remitentes alfanuméricos no registrados. La medida ayuda, pero los estafadores se han adaptado usando números móviles reales comprometidos.
Tipos de SMS fraudulentos más habituales
Identificar el patrón es el primer paso para neutralizarlo. Los SMS fraudulentos actuales se agrupan en estas familias:
- Paquetería fantasma: "Su paquete está retenido, pague 1,99€ de aduanas". Suplantan a Correos, SEUR, DHL o FedEx.
- Fraude bancario: "Detectamos un acceso sospechoso en su cuenta. Verifique aquí". El enlace lleva a una réplica pixel-perfect de la web del banco.
- Hacienda y multas: "Tiene una devolución pendiente de 289€" o "Multa de tráfico impagada". Se aprovechan del respeto institucional.
- Premios y sorteos: el clásico que promete un iPhone o una tarjeta regalo a cambio de "gastos de envío".
- Smishing del jefe: mensaje que simula venir del CEO de la empresa pidiendo una transferencia urgente. Variante móvil del CEO fraud.
- Códigos 2FA falsos: envían un código que nunca pediste, seguido de una llamada pidiendo que lo leas.
La Guardia Civil documentó en 2023 campañas masivas de falsa paquetería que distribuían el troyano bancario FluBot y afectaron a miles de víctimas españolas. El patrón se replica cada Black Friday con variantes nuevas.
Señales de alerta para detectar SMS fraudulentos
Los estafadores cometen errores repetidos. Revisa estos indicadores antes de pulsar cualquier enlace:
- Urgencia artificial: "última oportunidad", "en 24 horas", "se bloqueará su cuenta". El miedo anula el pensamiento crítico.
- Dominios sospechosos: correos-envio.info, bbva-seguridad.net, agenciatributaria-es.com. Las entidades reales usan dominios cortos y oficiales.
- Acortadores de URL: bit.ly, tinyurl o cutt.ly ocultan el destino real. Ninguna entidad seria los usa en comunicaciones oficiales.
- Faltas de ortografía: aunque cada vez menos frecuentes gracias a la IA generativa, siguen apareciendo.
- Petición de datos sensibles: ni tu banco ni Hacienda ni Correos te pedirán nunca el PIN, contraseñas o códigos SMS por mensaje.
- Remitente inconsistente: un SMS que dice ser de Correos pero llega desde un número móvil +34 6XX es una bandera roja.
Si el mensaje incluye un enlace y tienes dudas, copia la URL (sin pulsarla) y pégala en un verificador de enlaces seguro antes de abrirla. Herramientas como VirusTotal, URLVoid o Google Safe Browsing analizan el destino sin exponer tu dispositivo.
Cómo bloquear SMS spam en Android e iOS
Bloquear un número individual es útil pero insuficiente: los atacantes rotan números constantemente. Lo efectivo es activar el filtrado del sistema operativo y usar apps especializadas.
En iPhone (iOS 17 y superiores)
Apple incluye filtrado nativo. Ve a Ajustes → Mensajes → Filtrado de mensajes desconocidos y activa la opción. Los SMS de remitentes no guardados aparecerán en una pestaña separada. Para bloquear un número concreto, abre el mensaje, toca el nombre y selecciona "Bloquear este contacto".
En Android (Google Messages)
Google Messages incluye protección contra spam basada en aprendizaje automático. Actívala en Ajustes → Protección contra spam. Para denunciar, mantén pulsado el mensaje y toca "Denunciar spam". Esto mejora el algoritmo para todos los usuarios.
Apps antispam recomendadas
Varias soluciones añaden capas adicionales. Truecaller cruza el número con una base de datos colaborativa de más de 400 millones de usuarios según sus propias cifras. Hiya ofrece bloqueo de llamadas y SMS con clasificación por tipo de fraude. Lista Robinson, gestionada por Adigital en España, permite inscribirse gratuitamente para que las empresas adheridas no te contacten comercialmente.
Para una protección integral a nivel de red, configurar DNS privado y cifrado en el móvil añade una capa extra contra dominios maliciosos incluso si pulsas un enlace por error.
Cómo denunciar SMS spam ante las autoridades
Denunciar no solo te protege a ti: alimenta las bases de datos que usan operadores y fuerzas de seguridad para desarticular campañas. Estas son las vías oficiales en España:
| Organismo | Qué denunciar | Cómo contactar |
|---|---|---|
| INCIBE | Smishing, fraude, malware | Línea 017 o incibe.es |
| AEPD | Uso indebido de datos personales, spam sin consentimiento | sedeagpd.gob.es |
| Policía Nacional | Estafas con pérdida económica | Denuncia presencial o policia.es |
| Guardia Civil (GDT) | Delitos telemáticos | gdt.guardiacivil.es |
| Operador móvil | Reenviar SMS al 7726 (SPAM) | Código gratuito universal |
El código 7726 es una iniciativa internacional de la GSMA (deletrea "SPAM" en el teclado alfanumérico). Reenviando el SMS sospechoso a este número, tu operador recibe el mensaje para análisis y posible bloqueo del remitente en su red. El servicio es gratuito y no consume saldo.
Si has facilitado datos bancarios o credenciales, contacta inmediatamente con tu banco, cambia contraseñas desde un dispositivo limpio y considera activar alertas en servicios como Have I Been Pwned para detectar filtraciones futuras de tu email y teléfono.
Marco legal: qué dice la ley sobre el spam SMS
El envío masivo de comunicaciones comerciales no solicitadas está regulado por varias normas. La Ley 34/2002 de Servicios de la Sociedad de la Información (LSSI), en su artículo 21, prohíbe el envío de publicidad por SMS sin consentimiento previo y expreso del destinatario. La sanción puede alcanzar los 150.000 euros según la gravedad.
El Reglamento General de Protección de Datos (RGPD) y la LOPDGDD refuerzan esta obligación exigiendo base legal para tratar el número de teléfono con fines comerciales. La AEPD publica sanciones periódicamente: según estimaciones públicas, en 2023 impuso multas por varios millones de euros relacionadas con envíos masivos no consentidos.
Para el smishing con intención fraudulenta, aplica el Código Penal (artículos 248 y siguientes sobre estafa informática), con penas de prisión de seis meses a tres años en los supuestos básicos. La cooperación judicial europea vía Europol ha permitido desarticular redes completas, aunque muchas operan desde jurisdicciones fuera del alcance comunitario.
Para equipos que necesitan implementar protocolos corporativos contra smishing o desplegar campañas legítimas de SMS cumpliendo RGPD, empresas especializadas en soluciones de inteligencia artificial para empresas pueden auditar la configuración de filtros y la base legal del tratamiento.
Qué hacer si has picado en un SMS fraudulento
El pánico es el peor consejero. Sigue este protocolo por orden:
- Desconecta el dispositivo de internet si sospechas instalación de malware. Activa modo avión.
- Contacta con tu banco por el teléfono oficial impreso en la tarjeta, no el del SMS. Solicita bloqueo de tarjetas y revisión de movimientos.
- Cambia contraseñas desde un dispositivo limpio, empezando por email y banca.
- Activa 2FA en todos los servicios críticos, preferiblemente con app autenticadora (Aegis, Google Authenticator) en lugar de SMS.
- Formatea el móvil si has instalado alguna APK o app sospechosa. La restauración de fábrica elimina la mayoría del malware.
- Denuncia formalmente ante Policía o Guardia Civil con capturas del SMS, hora de recepción y cualquier movimiento económico detectado.
- Documenta todo: conserva capturas, justificantes bancarios y correspondencia. Son pruebas clave para recuperar el dinero.
La recuperación de fondos mediante chargeback bancario suele ser posible si se reclama en las primeras 48-72 horas. Pasado ese plazo, las probabilidades bajan significativamente.
Preguntas frecuentes
¿Cobran por reenviar un SMS al 7726?
No. El servicio 7726 es gratuito en los operadores españoles adheridos a la iniciativa GSMA. Reenviar el SMS sospechoso no consume saldo ni genera cargos, aunque estés en roaming dentro de la UE.
¿Cómo saben los estafadores mi número de móvil?
Lo obtienen de filtraciones de datos, brechas de seguridad de empresas, bases de datos vendidas en foros clandestinos o generación aleatoria con prefijos móviles españoles. Comprobar si tu número aparece en filtraciones conocidas en Have I Been Pwned es un primer diagnóstico útil.
¿Es delito reenviar un SMS de estafa a contactos para avisarles?
Reenviarlo con finalidad informativa no es delito, pero incluir el enlace original expone a los receptores al riesgo de que pulsen por error. Mejor compartir una captura de pantalla sin el enlace activo y explicar que se trata de un fraude.
¿Puede un SMS infectar mi móvil solo con recibirlo?
En general no: la infección requiere pulsar el enlace e instalar algo. Sin embargo, han existido vulnerabilidades críticas como Stagefright (CVE-2015-1538) que permitían comprometer el dispositivo solo con recibir el mensaje. Mantener el sistema operativo actualizado es la mejor defensa.
¿Sirve de algo bloquear el número del SMS fraudulento?
Parcialmente. Bloquear impide que ese número concreto vuelva a contactarte, pero los estafadores usan números desechables y rotan constantemente. Combina el bloqueo con filtrado automático del sistema y la denuncia al 7726 para un efecto real.
El siguiente paso
Activa ahora mismo el filtrado de mensajes desconocidos en tu móvil: Ajustes → Mensajes → Filtrar remitentes desconocidos en iOS, o la protección antispam de Google Messages en Android. Es un cambio de 30 segundos que reduce drásticamente el ruido y la exposición a campañas de smishing activas.
