¿De verdad sigues pensando que si un SMS llega mezclado con los mensajes de tu banco no puede ser un fraude, aunque la Guardia Civil lleve meses avisando de lo contrario? Los estafadores ya han aprendido a colarse en ese mismo hilo de mensajes, a copiar el tono de tu entidad y a imitar esos avisos rutinarios de “operación pendiente” o “entrega suspendida” que lees casi sin pensar.
Lo inquietante es que ya no hablamos de un riesgo teórico, sino de casos en España en los que un solo clic ha permitido a una banda acceder a la banca online de la víctima y encadenar transferencias en cuestión de minutos. En este artículo te explico cómo funciona exactamente este SMS, qué pistas lo delatan, qué pasos debes seguir si lo tienes en tu móvil y cómo blindarte para que tu dinero no dependa de un despiste de dos segundos.
Este es el SMS que está usando la Guardia Civil como ejemplo
El patrón se repite con pequeñas variaciones: recibes un mensaje que avisa de un cargo sospechoso, una firma digital activada en un dispositivo desconocido o una entrega de paquete suspendida, acompañado de un enlace que promete solucionar el problema. El texto suele incluir expresiones tipo “si no reconoce esta operación, pulse aquí” o “reactive su cuenta ahora”, jugando con el miedo a perder dinero o quedarse sin acceso al banco.
La clave es que estos SMS pueden aparecer en el mismo hilo donde lees las comunicaciones reales de tu entidad bancaria, porque los delincuentes usan técnicas de suplantación para que el remitente parezca idéntico. En el momento en que pinchas y facilitas datos de acceso, códigos de firma o números de tarjeta, los estafadores pueden entrar en tu banca online, generar transferencias, hacer compras o incluso contratar préstamos rápidos a tu nombre sin que te des cuenta hasta que revisas los movimientos.
Cómo actúa la banda cuando haces clic en el enlace
Detrás de ese SMS no hay un gestor preocupado de tu banco, sino grupos organizados que automatizan envíos masivos y operan casi como una pequeña empresa delictiva. En muchos casos, su objetivo es llevarte a una web que imita la de tu entidad, donde introduces usuario, contraseña y los códigos que te van llegando por mensaje pensando que bloqueas una operación sospechosa.
Con esa información, controlan tu sesión de banca online desde sus propios dispositivos y encadenan operaciones en minutos: transferencias a cuentas “mula”, envíos a plataformas de criptomonedas, cambios de límites de tarjeta o autorizaciones de Bizum de altas cantidades. Si además consiguen duplicar tu tarjeta SIM o interceptar los SMS de verificación, pueden seguir actuando incluso mientras tú sigues viendo tu móvil “normal”, sin cobertura o con fallos puntuales de red.
Señales claras para detectar el smishing antes de que vacíe tu cuenta
Aunque los mensajes sean cada vez más creíbles, hay varios detalles que te ayudan a plantar sospechas desde el primer vistazo. Fíjate en si el SMS incluye un enlace acortado raro, faltas de ortografía, prisas exageradas (“en 10 minutos se bloqueará su cuenta”) o peticiones que tu banco nunca hace por esta vía, como introducir tu PIN completo o claves de firma.
También es una señal de alarma que el mensaje te hable de un cargo o una incidencia que no puedes comprobar en la app oficial del banco, o que te exija pinchar en un enlace en lugar de indicarte que accedas a tu aplicación como haces siempre. La recomendación que repite la Guardia Civil es simple: nunca pulses en enlaces incluidos en SMS de este tipo, entra tú mismo en la app o en la web oficial escribiendo la dirección manualmente y verifica allí si hay algún aviso real.
Qué hacer si ya has recibido o has abierto el SMS fraudulento
Si el mensaje está en tu móvil pero no has pulsado el enlace ni has dado ningún dato, lo primero es borrarlo y bloquear el número si es visible, además de marcarlo como spam en tu aplicación de mensajes. Es buena idea avisar a personas mayores de tu entorno o a familiares menos digitales, reenviándoles capturas sin el enlace y explicando que no deben pulsarlo bajo ningún concepto.
En cambio, si ya has hecho clic, has introducido datos o has confirmado operaciones con códigos, el tiempo juega en tu contra y cada minuto cuenta. Debes contactar de inmediato con tu banco por los canales oficiales, pedir el bloqueo de la cuenta y de las tarjetas, revisar movimientos recientes, cambiar contraseñas y recopilar capturas del SMS, de la web falsa y de cualquier aviso que te haya llegado para adjuntarlos en la denuncia ante la Guardia Civil o la Policía Nacional.
| Paso crítico tras un SMS sospechoso | Qué hacer de inmediato | Quién te puede ayudar |
|---|---|---|
| Recibir un SMS con enlace bancario | No pulsar, borrar y avisar a tu entorno | Banco, canales de atención al cliente |
| Haber hecho clic pero sin dar datos | Cerrar la página, limpiar historial y analizar el móvil | Soporte del banco y servicio técnico de confianza |
| Haber introducido usuario y códigos | Llamar al banco, bloquear cuentas y tarjetas | Departamento antifraude de tu entidad |
| Haber detectado cargos o transferencias | Guardar capturas y denunciar cuanto antes | Guardia Civil o Policía Nacional |
Cómo adelantarte al próximo aviso de la Guardia Civil
El objetivo no es vivir con miedo a cada SMS que recibes, sino configurar tu entorno digital para que estos intentos tengan menos opciones de salir bien. Mantener activados los sistemas de verificación de dos pasos en tus cuentas, revisar periódicamente los movimientos bancarios y usar solo apps oficiales reduce el margen de maniobra de los delincuentes aunque consigan enviarte el mensaje perfecto.
La experiencia de las últimas operaciones de la Guardia Civil contra bandas de smishing demuestra que los ciudadanos que reaccionan rápido, documentan lo ocurrido y denuncian aumentan mucho las posibilidades de recuperar parte del dinero y de frenar al grupo antes de que siga atacando a otros. Si hoy revisas tus SMS, configuras tus alertas de seguridad y hablas de este tema en casa, estarás un paso por delante del próximo “aviso urgente” que te llegue al móvil.
