BeValk Logo
estafas

Estafas bancarias por SMS y email: Cómo detectarlas en 2026

María Aperador

12/02/2026

13 min

Estafas bancarias por SMS y email: Cómo detectarlas en 2026

"Tu tarjeta ha sido limitada por motivos de seguridad. Verifica tu identidad aquí." Si has recibido un SMS así de tu "banco", no hagas clic. Es una estafa.

Los mensajes falsos que suplantan a bancos como Santander, BBVA o CaixaBank se han convertido en una de las estafas más denunciadas en España, junto con los SMS falsos de Correos y DHL

Que es el phishing bancario

El phishing bancario es una estafa donde los ciberdelincuentes se hacen pasar por tu banco para robar las credenciales de acceso, los datos de tu tarjeta o directamente tu dinero.

Utilizan principalmente tres canales:

  • SMS (smishing): Mensajes de texto que parecen del banco
  • Email (phishing clásico): Correos electrónicos con logos oficiales
  • Llamadas (vishing): Te llaman haciéndose pasar por el servicio de atención

Por qué funcionan tan bien

  1. Urgencia: "Tu cuenta será bloqueada en 24 horas"
  2. Miedo: "Hemos detectado un cargo sospechoso de 500 EUR"
  3. Autoridad: Usan logos, colores y lenguaje oficial del banco
  4. Familiaridad: Muchos tenemos cuenta en estos bancos
  5. Perfección técnica: Las webs falsas son casi idénticas a las reales

Según INCIBE, el phishing bancario supone el 40% de todos los incidentes de ciberseguridad reportados en España.

Ejemplos reales de SMS falsos de bancos

SMS falso de Santander

"SANTANDER: Su tarjeta ha sido limitada temporalmente. Para reactivarla verifique su identidad: https://santander.es-verificacion.com"

Por que es falso:

  • El dominio es es-verificacion.com, no santander.es
  • Santander nunca envía SMS con enlaces para "verificar"
  • El mensaje genera urgencia artificial

SMS falso de BBVA

"BBVA: Hemos detectado un acceso no autorizado a su cuenta. Confirme sus datos inmediatamente: https://bbva-seguridad.online/acceso"

Por que es falso:

  • El dominio bbva-seguridad.online no es de BBVA
  • BBVA nunca pide "confirmar datos" por SMS
  • Si hubiera un acceso real sospechoso, bloquearian la cuenta automáticament

SMS falso de CaixaBank

"CaixaBank: Movimiento sospechoso detectado. Importe: 489,00 EUR. Si no lo reconoce, cancele aqui: https://lacaixa.verificar-movimiento.es"

Por que es falso:

  • El dominio es verificar-movimiento.es, no caixabank.es
  • CaixaBank te notificaria por la app oficial
  • No te pedirán que "canceles" un movimiento por un enlace

SMS falso de ING

"ING: Tu cuenta ha sido suspendida por actividad inusual. Reactiva el acceso: https://ing-direct.clientes-es.com"

Por que es falso:

  • El dominio clientes-es.com no pertenece a ING
  • ING nunca suspende cuentas sin avisar por múltiples canales
  • El enlace no lleva a ing.es

SMS falso de Bankinter

"BANKINTER: Cargo de 250 EUR pendiente de autorización. Si no lo reconoce, pulse aqui: https://bankinter.cargo-pendiente.es"

Por que es falso:

  • El dominio es cargo-pendiente.es
  • Los cargos se autorizan en el momento de la compra, no después
  • Bankinter no envia enlaces para "autorizar" cargos

Cómo funciona la estafa paso a paso

Fase 1: El SMS o email

Recibes un mensaje que parece de tu banco. Tiene el logo correcto, el remitente parece legítimo y el lenguaje es formal.

El mensaje siempre incluye:

  • Una alerta urgente (cargo, bloqueo, acceso sospechoso)
  • Una acción inmediata requerida
  • Un enlace para "solucionar" el problema

Fase 2: La web falsa

Al hacer clic, llegas a una web que imita a la perfección la del banco:

  • Mismo logo y colores
  • Misma estructura de navegación
  • Certificado HTTPS (el candado verde)
  • URL parecida pero no idéntica

Fase 3: El robo de datos

La web te pide:

  • Usuario y contraseña de banca online
  • Número de tarjeta, fecha y CVV
  • Codigo de verificacion por SMS (si lo recibes en ese momento)

Fase 4: El vaciado de cuenta

Con tus credenciales, los estafadores:

  • Acceden a tu banca online
  • Realizan transferencias a cuentas de "mulas"
  • Hacen compras con tu tarjeta
  • Solicitan préstamos a tu nombre

Todo esto puede ocurrir en minutos.

Señales para detectar phishing bancario

1. El remitente no es el número oficial

Los SMS legítimos de bancos suelen aparecer con el nombre del banco (BBVA, Santander), no con un número de teléfono. Pero cuidado: los estafadores también pueden falsificar el remitente.

2. La URL no es la oficial

Esta es la señal más clara. Memoriza los dominios reales:

Cualquier variacion (santander-es.com, bbva-seguridad.online, lacaixa.es-verificar.com) es falsa. Aprende a verificar si un enlace es seguro antes de hacer clic.

3. Pide datos que el banco ya tiene

Tu banco conoce tu DNI, tu número de tarjeta y tus datos personales. Si un mensaje te pide "verificar" esta información, es sospechoso.

4. Urgencia extrema

"Tienes 24 horas", "Actúa inmediatamente", "Tu cuenta sera bloqueada". Los bancos reales dan plazos razonables y múltiples avisos.

5. Errores de ortografía o gramática

Aunque cada vez son menos comunes, algunos mensajes falsos tienen errores sutiles que un banco real no cometería.

6. Te contactan por un canal inusual

Si normalmente tu banco te avisa por la app y ahora te escribe por SMS con un enlace, desconfía.

Qué hacer cuando recibes un SMS sospechoso

Paso 1: No hagas clic

Por mucho que te preocupe el mensaje, no pulses el enlace. Ni siquiera "para ver que pasa".

Paso 2: Verifica por tu cuenta

  1. Abre la app oficial de tu banco (la que ya tienes instalada)
  2. Comprueba tus movimientos: ¿Hay algun cargo extrano?
  3. Revisa notificaciones: ¿Hay alguna alerta real?
  4. Llama al banco: Usa el numero que aparece en tu tarjeta o en la web oficial

Paso 3: Reporta el intento

  1. Reenvia el SMS al 638 444 542 (numero de INCIBE)
  2. Reporta a tu banco: Muchos tienen canales para denunciar phishing
  3. Bloquea el numero en tu teléfono

Paso 4: Borra el mensaje

Una vez reportado, elimina el SMS para no hacer clic por error en el futuro.

Qué hacer si ya caiste en la trampa

Si introdujiste tus credenciales de banca online

Actúa en los proximos 5 minutos:

  1. Accede a tu banca online desde la app oficial o escribiendo tu la URL
  2. Cambia la contraseña inmediatamente
  3. Revisa movimientos de las últimas horas
  4. Llama al banco: Explica lo ocurrido y pide que revisen accesos
  5. Activa alertas de movimientos si no las tenias

Si diste datos de tarjeta

  1. Llama al banco para bloquear la tarjeta (número en el reverso)
  2. Revisa todos los movimientos desde que introdujiste los datos
  3. Denuncia los cargos fraudulentos
  4. Solicita nueva tarjeta con numeración diferente

Si hicieron transferencias desde tu cuenta

  1. Llama al banco inmediatamente: Hay un plazo de horas para intentar recuperar transferencias
  2. Denuncia en Policia Nacional o Guardia Civil
  3. Guarda todas las pruebas: Capturas del SMS, web, movimientos
  4. Presenta reclamación formal al banco

Si te pidieron una transferencia por Bizum, conoce también las estafas de Bizum

Posibilidades de recuperar el dinero

La normativa europea de servicios de pago establece que:

  • El banco debe devolverte el dinero si la operación no fue autorizada
  • Pero puede negarse si actuaste con "negligencia grave"
  • Cada caso se evalúa individualmente

Algunos bancos devuelven el dinero rápidamente, otros lo disputan. Tener pruebas de que el phishing era muy convincente puede ayudar.

Cómo proteger tu cuenta bancaria

Activa todas las alertas

Configura en tu app bancaria:

  • Notificaciones push para cada movimiento
  • Alertas por email para operaciones grandes
  • Avisos de acceso desde nuevos dispositivos

Así detectarás cualquier movimiento extraño en segundos.

Usa autenticación de dos factores

Asegurate de que tu banco te pida:

  • Contraseña + SMS de confirmación
  • O mejor: Contrasena + biometria (huella, Face ID)
  • O mejor aun: Contraseña + app de autenticación

Nunca accedas por enlaces

Crea el hábito de:

  • Abrir la app del banco directamente
  • O escribir tu la URL en el navegador
  • Nunca hacer clic en enlaces de SMS o email

Verifica siempre la URL

Antes de introducir datos, mira la barra de dirección:

  • ¿Es el dominio correcto?
  • ¿Tiene HTTPS (candado)?
  • ¿Hay caracteres raros o subdominios sospechosos?

Casos reales en España

Caso 1: Campaña masiva contra clientes de Santander (enero 2026)

Miles de clientes recibieron SMS sobre "tarjeta limitada". La web falsa era tan convincente que muchos introdujeron sus datos. El banco detectó la campana y bloqueó accesos sospechosos, pero algunos clientes perdieron hasta 5.000 EUR antes de reaccionar.

Caso 2: Phishing de BBVA con llamada de seguimiento

Los estafadores enviaban un SMS y luego llamaban haciéndose pasar por el banco para "ayudar" a la víctima. Durante la llamada, guiaban a la persona para que introdujera datos en la web falsa. Combinar SMS + llamada hacia la estafa muy creíble.

Caso 3: Emails falsos de CaixaBank con archivos adjuntos

Correos que pedían "actualizar la app" descargando un archivo. El archivo era malware que espiaba el móvil y capturaba credenciales cuando la víctima accedñía a la app real del banco.

Preguntas frecuentes

¿Mi banco puede enviarme SMS con enlaces?

En general, los bancos españoles NO envían SMS con enlaces para gestores de seguridad. Pueden enviar SMS informativos (confirmación de operaciones, códigos de verificación) pero sin enlaces en los que hacer clic.

¿Cómo sé que la app de mi banco es la oficial?

Descarga siempre desde:

  • App Store (iPhone)
  • Google Play (Android)

Busca el nombre exacto del banco y verifica que el desarrollador sea el banco oficial. Nunca instales apps desde enlaces.

¿Los estafadores pueden ver mi saldo antes de atacarme?

No directamente. Pero pueden intuir que tienes fondos si:

  • Tu número esta en filtraciones de datos de bancos
  • Has interactuado con webs financieras hackeadas
  • Simplemente prueban con miles de números

¿Qué hago si mi familiar mayor cayo en la estafa?

  1. Ayudale a contactar con el banco inmediatamente
  2. Acompañale a poner la denuncia
  3. Cambia contraseñas de todas sus cuentas
  4. Instala BeValk en su móvil para futuras alertas

Protégete con BeValk

BeValk te ayuda a verificar mensajes bancarios sospechosos:

  1. Copia el enlace del SMS (sin abrirlo)
  2. Pegalo en BeValk para analizarlo
  3. Recibe un veredicto instantáneo: es el banco real o phishing
  4. Pregunta a MarIA si tienes dudas sobre el mensaje

Nuestra IA detecta:

  • Dominios que suplantan a bancos españoles
  • Patrones típicos de phishing bancario
  • URLs en listas negras de fraude

Descarga para iOS y Android  y protege tu dinero del phishing bancario.

Última actualización: febrero 2026