Más de 340.000 denuncias por fraude por SMS registradas en España solo en los primeros meses de 2026: detrás de buena parte de ellas está un mensaje que finge ser de la DGT avisando de una multa pendiente. No importa lo oficial que parezca el remitente ni lo convincente que luzca el enlace; es una estafa diseñada para vaciarte la cuenta bancaria en minutos. La Guardia Civil, el INCIBE y la propia DGT llevan meses repitiendo el mismo aviso, y aun así las víctimas siguen cayendo.
La clave de este timo es la urgencia artificial: el mensaje asegura que tienes 24 o 48 horas para pagar antes de que la sanción se agrave o se inicie un embargo. Ese reloj invisible es el que apaga el pensamiento crítico y lleva a la gente a pulsar sin comprobar. Saber que ese mecanismo existe es ya la mitad de la defensa.
Por qué la DGT nunca te notificará una multa por SMS
La DGT tiene dos únicos canales oficiales para comunicar sanciones: el correo postal certificado y la Dirección Electrónica Vial (DEV), un buzón al que solo acceden los conductores que se han dado de alta de forma voluntaria. Cualquier mensaje de texto que llegue reclamando el pago de una infracción es, sin excepción, falso. El organismo lo ha repetido en múltiples ocasiones: «Jamás notificamos sanciones por SMS ni correo electrónico».
Este fraude lleva más de un año activo y cada cierto tiempo muta para esquivar los filtros de spam. Las bandas que lo operan compran bases de datos masivas con números de teléfono reales y lanzan envíos de millones de mensajes, sabiendo que basta con que un pequeño porcentaje de destinatarios pulse el enlace para que la operación resulte rentable. La DGT no tiene ninguna forma de evitar que alguien use su nombre; la defensa está, por tanto, en el usuario.
Así funciona el smishing que suplanta a la DGT paso a paso
El mensaje llega con el remitente «Sede Electrónica DGT» y un texto que indica una multa de entre 30 y 200 euros pendiente de pago. Esa técnica tiene nombre propio: smishing, una modalidad de fraude que combina SMS con ingeniería social para manipular las emociones de la víctima y hacerle actuar sin pensar.
Al pulsar el enlace, el usuario llega a una web que copia el diseño oficial de dgt.es pero cuyo dominio nunca coincide con «dgt.gob.es». Allí se solicitan nombre, matrícula y, en el paso final, los datos completos de la tarjeta bancaria. En cuestión de minutos esas credenciales se usan para hacer cargos no autorizados o se revenden en mercados ilegales de la red oscura.
Las señales que delatan el SMS falso antes de que hagas clic
El primer indicador es el remitente del mensaje: si aparece un número desconocido o cualquier variación de «Sede DGT» que no sea verificable, ya hay motivo suficiente para desconfiar. La DGT no usa pasarelas de SMS masivos para comunicarse con los conductores.
El segundo elemento es la URL del enlace. Antes de pulsar, mantén pulsado el link para previsualizar la dirección: si ves guiones en lugar de puntos, un dominio «.com» o «.net» en vez de «.gob.es», o letras extra junto a «dgt», cierra el mensaje de inmediato. Los ciberdelincuentes usan dominios como «infracciones-dgt.com» o «www-dgt-es.com» para engañar a primera vista.
Qué hacer si ya has pulsado el enlace de la DGT falsa
Si has introducido tus datos bancarios en la web fraudulenta, la velocidad de reacción lo es todo. Llama a tu banco en el acto para bloquear la tarjeta y reportar el fraude; la entidad puede revertir cargos recientes si actúas con rapidez. Guarda capturas de pantalla del SMS y de la web falsa como prueba documental antes de borrar nada.
A continuación, denuncia ante la Policía Nacional o la Guardia Civil aportando todas las evidencias guardadas. También puedes llamar al 017, la Línea de Ayuda en Ciberseguridad de INCIBE, que orienta a las víctimas sobre los pasos legales y técnicos a seguir. En los meses siguientes, practica egosurfing —busca tu nombre y DNI en Google— para detectar si tus datos personales han sido usados sin tu permiso.
| Señal de alerta | Qué indica | Acción recomendada |
|---|---|---|
| Remitente no oficial o número desconocido | SMS de smishing fraudulento | Borrar y bloquear el remitente |
| URL con guiones o dominio .com/.net | Página falsa que suplanta a la DGT | No hacer clic, cerrar mensaje |
| Urgencia de pago en menos de 24-48 horas | Presión para anular el juicio crítico | Ignorar y verificar en dgt.gob.es |
| Solicitud de datos de tarjeta bancaria | Robo de credenciales financieras | Contactar con el banco de inmediato |
| Faltas de ortografía o ausencia de tildes | Mensaje generado de forma automatizada | Denunciar al INCIBE llamando al 017 |
La DGT y el INCIBE refuerzan la lucha contra el smishing en 2026
La escalada de estas campañas ha llevado a la DGT y al INCIBE a colaborar más estrechamente con los operadores de telecomunicaciones para dar de baja los dominios fraudulentos con mayor rapidez. Los especialistas en ciberseguridad advierten de que el smishing seguirá creciendo porque los ciberdelincuentes adaptan sus mensajes a eventos estacionales —vacaciones de verano, campaña de la renta, renovación del carnet— para maximizar el impacto emocional.
El consejo definitivo es tan sencillo como eficaz: ante cualquier SMS que mencione a la DGT y exija un pago urgente, ignora el enlace y accede directamente a dgt.gob.es o a la app oficial miDGT para comprobar si realmente tienes alguna sanción pendiente. La información oficial siempre estará ahí, sin prisas ni amenazas. Esa calma es tu mejor escudo frente al smishing.
