Más de 25.000 españoles cayeron en una trampa de phishing el año pasado sin haber hecho nada raro: simplemente leyeron un mensaje en el móvil y pulsaron un enlace. El INCIBE certificó en su balance anual de 2025 que el fraude online creció un 19% respecto a 2024, con 45.445 casos registrados, y que el phishing bancario fue la modalidad que más daño causó en términos de volumen. Detrás de cada estadística hay alguien que perdió sus ahorros en cuestión de minutos.
La banca concentró el 34% de los incidentes en operadores esenciales, la categoría más afectada por encima del transporte o la energía. Lo que preocupa a los expertos no es solo la cantidad, sino la sofisticación creciente de los ataques: los SMS fraudulentos de hoy no tienen faltas de ortografía, conocen tu nombre y, en algunos casos, aparecen en el mismo hilo de conversación que los mensajes reales de tu banco.
Cómo funciona el phishing bancario hoy en España
El ciclo de un ataque de phishing bancario sigue una lógica de presión calculada. Primero llega un SMS alarmante —»Se ha detectado un acceso no autorizado a tu cuenta»— con un enlace que lleva a una página web idéntica a la de tu banco. El usuario introduce sus credenciales creyendo que está cancelando una operación fraudulenta y, en ese preciso instante, los datos llegan en tiempo real al estafador, que los usa para entrar y vaciar la cuenta.
Lo que hace especialmente peligrosa la versión actual de este fraude es una técnica llamada SMS spoofing: los delincuentes manipulan el identificador del remitente para que el mensaje aparezca con el nombre de tu banco, integrado en el mismo hilo donde están tus códigos de verificación reales. Ver ese SMS junto a una alerta legítima de Santander o CaixaBank desactiva cualquier sospecha inicial.
El phishing y el smishing: dos caras del mismo delito
El phishing y el smishing comparten el mismo principio —engañar a la víctima suplantando una entidad de confianza— pero se diferencian en el canal. El phishing tradicional usa el correo electrónico; el smishing llega por SMS y es hoy la variante más activa en España porque los mensajes de texto generan una sensación inmediata de urgencia que el email ya no consigue.
Los estafadores combinan con frecuencia ambas técnicas en una secuencia: primero el SMS para alarmar, luego una llamada del supuesto «departamento de seguridad» del banco para rematar. Cuando el usuario recibe un código OTP real de su entidad durante esa llamada —porque el criminal acaba de iniciar una operación—, lo interpreta como prueba de que la conversación es legítima y lo dicta en voz alta. En ese momento, la cuenta está comprometida.
Las señales que delatan un SMS bancario falso
Distinguir un mensaje real de uno fraudulento requiere fijarse en detalles que la prisa hace invisibles. La urgencia artificial es el primer indicador: ningún banco real exige que actúes en los «próximos 15 minutos» ni amenaza con bloquear tu cuenta si no pulsas un enlace ahora mismo. Las entidades financieras españolas comunican sobre seguridad con tono informativo, nunca con presión de tiempo.
El segundo factor clave es la URL. Si el SMS incluye un enlace, hay que revisar el dominio con atención: los estafadores usan direcciones como bbva-seguridad.online o santander.es-verificacion.com, donde la parte relevante —el dominio real— queda camuflada. Tu banco nunca va a enviarte un SMS con un enlace que no sea su dominio oficial; si hay dudas, cierra el mensaje y accede a la app directamente.
Qué hacer si recibes un SMS sospechoso
No pulses el enlace bajo ninguna circunstancia
La regla es tan sencilla como difícil de cumplir cuando el miedo activa los instintos: si el mensaje genera pánico, ese pánico es parte del diseño. Los investigadores en ciberseguridad llaman a esto ingeniería social de precisión, y funciona precisamente porque apela a la emoción, no a la lógica. Cuando recibes un SMS alarmante de tu banco, la acción correcta es cerrar el mensaje, abrir la app oficial desde tu pantalla de inicio y comprobar si hay alguna alerta real en tu cuenta.
Denuncia y reporta siempre
Si detectas un intento de smishing, reenvía el SMS al número de fraude de tu banco —el Santander, por ejemplo, dispone del 638 444 542 para este fin— y denuncia también al INCIBE a través del teléfono 017, gratuito y confidencial. Guardar una captura de pantalla del mensaje fraudulento es fundamental: si finalmente eres víctima, esa prueba puede ser determinante para que el banco responda y cubra los daños según lo establecido en la normativa PSD2.
Cuatro señales de alerta que nunca debes ignorar
- Urgencia extrema: frases como «actúa ahora» o «tu cuenta será bloqueada» son diseño del fraude, no comunicación bancaria real.
- Enlace con dominio sospechoso: si el enlace no termina exactamente en el dominio oficial del banco, no lo abras.
- Solicitud de código OTP por teléfono: ningún banco pide que dictes en voz alta el código que acaba de llegar a tu móvil.
- Número de remitente desconocido o internacional: aunque el smishing puede falsificar el nombre, a veces el número real queda visible.
El phishing bancario en 2026: IA y nuevas defensas
El panorama de amenazas no va a mejorar por sí solo. En 2026, el phishing asistido por inteligencia artificial ya genera mensajes personalizados con datos reales de la víctima obtenidos de filtraciones previas, sin errores gramaticales y adaptados al estilo comunicativo de cada banco. Lo que antes delataba a los estafadores —la redacción chapucera, los acentos mal puestos— ha desaparecido casi por completo de las campañas de smishing más sofisticadas.
La buena noticia es que las entidades financieras y el propio INCIBE están respondiendo con más medios: colaboración con Red.es para cerrar dominios fraudulentos, sensores de detección en redes de telecomunicaciones y una línea 017 que en 2025 atendió casi 143.000 consultas, un 45% más que el año anterior. La tecnología de los estafadores mejora, pero también lo hace la capacidad de respuesta. Mientras tanto, la primera línea de defensa sigue siendo el criterio del usuario: parar, no pulsar y llamar directamente al banco.
