El SMS que finge ser tu banco ya tiene nueva versión en 2026 (y es casi imposible de detectar)

Si en los últimos días has recibido un SMS de tu banco pidiéndote que verifiques una operación o que accedas a un enlace urgente, para. No hagas nada todavía. Hay una nueva oleada de mensajes fraudulentos circulando por España que imita con una precisión alarmante las comunicaciones reales de los bancos más grandes del país. No es el típico mensaje chapucero con faltas de ortografía. Es otra cosa. Y antes de que caigas, conviene que sepas exactamente cómo funciona. En alertas de estafas financieras llevamos meses documentando este tipo de ataques, y este es el más sofisticado que hemos visto hasta ahora.

Qué tiene de diferente esta nueva estafa respecto a las anteriores

La versión anterior del smishing, que es el nombre técnico de las estafas por SMS, era relativamente fácil de identificar si sabías qué mirar: un número desconocido, un enlace con una URL rara llena de guiones, y un texto con alguna errata. La nueva versión ha corregido casi todos esos fallos. Los mensajes llegan dentro del mismo hilo de conversación donde tu banco real te ha enviado notificaciones anteriores. Sí, dentro del mismo hilo. Eso es lo que hace que tanta gente caiga.

¿Cómo consiguen colocarse en ese hilo? Los atacantes utilizan una técnica llamada spoofing de SMS, que les permite falsificar el nombre del remitente para que aparezca exactamente igual que el de tu entidad bancaria. No necesitan hackear nada: explotan una vulnerabilidad en cómo los teléfonos agrupan mensajes por nombre de remitente. El resultado es que el mensaje fraudulento queda visualmente mezclado con los avisos legítimos de tu banco.

El contenido del mensaje también ha evolucionado. Ya no dicen cosas como 'has ganado un premio'. Ahora simulan alertas de seguridad creíbles: un acceso no autorizado desde otro dispositivo, una transferencia retenida pendiente de verificación, o un bloqueo preventivo de tu tarjeta. Generan urgencia sin que suene a timo. Y adjuntan un enlace que, a primera vista, tiene toda la pinta de ser legítimo. Como detalla el análisis que publicamos sobre esta nueva versión, los dominios fraudulentos están registrados con variaciones mínimas del dominio real del banco, a veces con una letra cambiada que nadie ve en el móvil.

Las señales que sí puedes ver antes de hacer clic

Aunque la estafa es sofisticada, no es perfecta. Hay detalles que la delatan si sabes dónde mirar. El primero y más importante: tu banco nunca te va a pedir que introduzcas tu contraseña, tu PIN ni tu clave de firma a través de un enlace que llega por SMS. Nunca. Esa es la regla de oro y no tiene excepciones. Si el mensaje te lleva a una página donde te piden esos datos, es una estafa sin importar lo convincente que parezca.

El segundo indicador: fíjate en la URL antes de tocarla. En el móvil, los enlaces se acortan y no se ve bien el dominio completo. Antes de hacer clic, mantén pulsado el enlace en iPhone o Android para ver la URL completa. Si el dominio no es exactamente el oficial de tu banco, sin subdominios extraños ni extensiones raras, no entres. Un ejemplo orientativo: si tu banco es 'mibancoejemplo.es', un dominio como 'seguridad-mibancoejemplo-verificacion.com' es una señal de alarma clara.

El tercer elemento a revisar es la urgencia artificial. Los mensajes legítimos de los bancos no te presionan con frases como 'tienes 30 minutos para verificar o perderás el acceso'. Esa presión temporal es una técnica psicológica deliberada para que no pienses y actúes impulsivamente. Si sientes esa presión, es precisamente el momento de frenar, cerrar el mensaje y llamar directamente a tu banco por el número que tienes en la parte de atrás de tu tarjeta o en la app oficial.

💬 ¿Qué opinas tú sobre esta noticia? Comenta más abajo →

Qué hacer si ya has hecho clic (o algo peor)

Si has pinchado el enlace pero no has introducido ningún dato, lo más probable es que no haya pasado nada grave. Aun así, conviene que cambies las contraseñas de tu banca online por precaución y actives la autenticación en dos pasos si no la tienes. También es recomendable revisar los movimientos de tu cuenta durante los días siguientes con más atención de lo habitual.

Si has llegado a introducir tu contraseña, tu número de tarjeta o cualquier código de verificación, actúa en los próximos minutos, no en las próximas horas. Llama de inmediato a tu banco para bloquear el acceso y la tarjeta. Cuanto antes lo hagas, más probabilidades tienes de que no se haya ejecutado ninguna operación fraudulenta. Los bancos tienen equipos de fraude disponibles las 24 horas y están obligados a atenderte. Si hay cargos no autorizados, debes reclamarlos por escrito: la normativa europea obliga a los bancos a devolver el importe en la mayoría de estos casos si demuestras que no actuaste de forma negligente.

Además de actuar con tu banco, denuncia el intento de estafa. Puedes hacerlo ante la Policía Nacional, la Guardia Civil o a través de sus respectivos portales online. Aunque el dinero ya esté a salvo, la denuncia es importante porque ayuda a que las autoridades tengan un registro actualizado de estas campañas y puedan actuar contra ellas. Si tienes dudas sobre a qué otras situaciones de fraude financiero estás expuesto, puedes consultar nuestra sección de alertas de estafas financieras donde actualizamos los casos más activos en España.

El vínculo entre esta estafa y las matrículas universitarias de junio

Junio tiene una particularidad financiera que los estafadores conocen perfectamente: es el mes en que muchas familias mueven más dinero de lo habitual. Matrículas universitarias, pagos de cursos de verano, reservas de vacaciones, el fin del curso escolar. Hay más transferencias, más operaciones, más momentos en los que uno espera recibir confirmaciones o alertas de su banco. Y eso crea el caldo de cultivo ideal para que un SMS fraudulento parezca completamente normal.

Si este mes estás gestionando el pago de una matrícula universitaria y necesitas liquidez adicional, hay opciones legítimas y seguras que conviene conocer antes de tomar decisiones apresuradas. Algunas universidades permiten fraccionar el pago en cuotas sin coste. Otras aceptan aplazamientos con justificación económica. Y si necesitas un respaldo financiero externo, existen opciones como los préstamos sin intereses para nuevos clientes o los microcréditos online diseñados para cubrir gastos puntuales de este tipo. También puedes leer nuestra guía sobre cómo financiar los gastos universitarios sin recurrir a opciones que te puedan salir caras a largo plazo.

Lo que nunca deberías hacer es facilitar datos bancarios en una página a la que hayas llegado desde un SMS, aunque sea para pagar la matrícula. Las plataformas legítimas de pago universitario siempre tienen sus propias pasarelas de pago accesibles desde la web oficial de la universidad, no desde un enlace en un mensaje. Si recibes un SMS que te pide pagar la matrícula o actualizar datos de cobro, verifica siempre accediendo directamente a la web de la universidad, no a través del enlace recibido. Y si tienes dudas sobre si un mensaje es real, la única llamada que vale es la que haces tú al número oficial, no la que te piden que hagas ellos. También puedes revisar los riesgos de financiar la matrícula con tarjetas revolving para tener una visión completa de las trampas financieras más comunes en esta época del año.

Preguntas frecuentes

No. Ningún banco legítimo te pedirá contraseñas, PIN, claves de firma ni datos de tarjeta a través de un enlace en un SMS. Si un mensaje te lleva a una página donde te piden eso, es una estafa. Ante cualquier duda, llama directamente a tu banco por el número oficial.

Depende de cómo actuaste. La normativa europea de servicios de pago obliga a los bancos a reembolsar operaciones fraudulentas no autorizadas en la mayoría de los casos, salvo que demuestren que fuiste negligente de forma grave. Si reportas el fraude de inmediato y no compartiste tus claves voluntariamente, tienes muchas posibilidades de recuperar el dinero. Actúa rápido: cada hora cuenta.

En el móvil, mantén pulsado el enlace (sin soltarlo) para ver la URL completa antes de abrirla. Comprueba que el dominio sea exactamente el oficial de tu banco, sin palabras extra, guiones añadidos ni extensiones distintas. Si tienes la más mínima duda, no hagas clic y contacta con tu banco directamente.