Smishing: cómo protegerte de los SMS fraudulentos de paquetería, la DGT y Hacienda

El comercio electrónico se ha popularizado de forma masiva a lo largo de la última década y, gracias a plataformas como Amazon, eBay o Wallapop, las compras por internet forman parte de la vida cotidiana de millones de personas. Casi siempre hay alguien esperando un paquete. Los ciberdelincuentes lo saben y utilizan precisamente ese contexto como gancho en sus envíos masivos por SMS.

Su paquete de SUPERENVÍOS referencia 6447865f6556 no ha podido ser entregado con éxito. Dispone de 72 horas antes de que sea devuelto al almacén de origen. Gestione su cita para entrega o recogida a través de este link que le facilitamos a continuación: supreenvios.com/tracking/6447865f6556

Pero los SMS fraudulentos no se limitan a la paquetería. También imitan organismos públicos, aprovechando que una sola mención de la Agencia Tributaria o la DGT genera en muchas personas una reacción inmediata de alarma.

La Agencia Tributaria le ha abierto un procedimiento de comprobación limitada. Consulte el estado de su expediente nº 784578346 en el siguiente enlace: agenciadetributar.es/expediente:784578346.

DGT: Dispone de 24 horas restantes para pagar su multa del 11-9-2025. Consulte en el siguiente enlace: https://rebrand.ly/multicasDGT.

DGT: Último recordatorio antes del aumento de su multa pendiente de pago. Consulte su expediente: qrco.de/DEGETEsanciones875657.

Qué ocurre cuando picas en el enlace de un SMS fraudulento

En cuanto se accede al enlace, la exposición al riesgo es inmediata. El escenario más habitual es que la víctima, presa de los nervios y con urgencia por resolver el problema, acabe facilitando datos personales o introduciendo los datos de su tarjeta para abonar la supuesta sanción, convencida de que así evitará recargos o consecuencias peores.

La otra posibilidad es que el enlace descargue malware en el dispositivo: un programa que permite a los ciberdelincuentes acceder a datos bancarios, contraseñas almacenadas, o incluso registrar todo lo que se escribe mediante un keylogger. En cualquiera de los dos casos, al pulsar sobre ese enlace se le abre la puerta de la privacidad a organizaciones criminales cuyo único objetivo es apropiarse de tu dinero.

Si ya has pulsado sobre un enlace de este tipo en un iPhone, Apple recomienda formatear el teléfono y reinstalar el sistema operativo de fábrica, incluyendo todas las aplicaciones. Es el único modo de garantizar que un posible malware, troyano o virus haya sido completamente eliminado. El mismo criterio se aplica a dispositivos de otras marcas.

Smishing en los tribunales: qué dice la jurisprudencia española sobre la responsabilidad bancaria

El aumento de este tipo de fraudes ha generado una litigiosidad notable en los últimos años, con pronunciamientos relevantes tanto en Audiencias Provinciales como en el Tribunal Supremo.

La Audiencia Provincial de Lleida resolvió en 2024 un asunto en el que la víctima, inducida por un SMS engañoso, introdujo sus datos en la aplicación legítima de su banco, sin saber que un ciberdelincuente estaba monitorizando la sesión y capturó también el código de autenticación. El Tribunal estimó que no había negligencia grave por parte del usuario.

La Audiencia Provincial de Asturias, también en 2024, se pronunció sobre un supuesto en el que la víctima recibía mensajes que simulaban proceder de su banco, alertándole de accesos no autorizados. Al responder a través de ese canal, facilitó sin saberlo sus datos bancarios directamente al defraudador.

Por su parte, la Sala Segunda del Tribunal Supremo sentó jurisprudencia en 2024 con un caso en el que la víctima sufrió operaciones no autorizadas contra su cuenta bancaria a través de Bizum como consecuencia de un ataque de smishing.

Cómo detectar un SMS falso y no caer en la trampa

El smishing es una técnica de ingeniería social: su eficacia no depende de la sofisticación técnica, sino de la capacidad para generar urgencia, miedo o curiosidad en el receptor. Los mensajes suelen imitar el formato de comunicaciones legítimas y están diseñados para que se actúe deprisa, sin pensar.

La regla más útil es también la más sencilla: antes de pulsar sobre cualquier enlace recibido por SMS, comprueba que la referencia que aparece en el mensaje coincide con la que tienes en el correo de confirmación del pedido o en el resguardo de la notificación oficial.

Si no hay coincidencia, o si el mensaje llega sin que hayas iniciado ningún trámite relacionado, lo más prudente es no interactuar con él y contactar directamente con el organismo o empresa supuestamente remitente a través de sus canales oficiales.