Saltar al contenido
Estafas online - Especialistas en fraudes digitales y criptomonedas.
Reserva servicio
Portada » Estafa smishing: guía legal para víctimas y cómo recuperar el dinero

Estafa smishing: guía legal para víctimas y cómo recuperar el dinero

    La estafa smishing es una ciberestafa diseñada para vaciar cuentas en minutos, aprovechando tu urgencia, tu confianza en tu banco y el hecho de que el móvil lo llevas siempre encima.

    Ocurre mucho más de lo que parece. Según los balances de criminalidad del Ministerio del Interior correspondientes a 2025, la cibercriminalidad representó alrededor del 20% de todas las infracciones penales registradas entre enero y septiembre de ese año, con un 8% de incremento respecto a 2024.

    Paralelamente, organizaciones especializadas como el Instituto Nacional de Ciberseguridad (INCIBE), han alertado de campañas de smishing bancario que simulan operaciones “sospechosas” y empujan a la víctima a llamar o seguir instrucciones para “proteger” el dinero.

    Estos datos muestran que el delito de estafa a través de mensajes SMS fraudulentos no es una anécdota: forma parte de un fenómeno estructural en España que afecta a empresas, particulares y sobre todo a usuarios de banca electrónica y pago móvil.Si has caído, o estás a tiempo de frenarlo, este artículo está pensado para ti.

    Estafa smishing: qué es y cómo funciona

    Qué es el smishing

    El smishing es una modalidad de phishing por SMS. El delincuente suplanta a una entidad reconocida (un banco, empresa de paquetería, la DGT o la Seguridad Social) y te envía un mensaje con un gancho: un cargo, un bloqueo, un acceso desde otro dispositivo o una transferencia “en curso” que tienes que autorizar.

    Lo peligroso no es solo el enlace. A veces el ataque se integra con una llamada -vishing- o con instrucciones para que tú mismo autorices movimientos desde la app “oficial”. El SMS capta, emite una alerta y facilita un código y un teléfono, que se completa con una locución “del banco” y un operador que guía a la víctima hasta que el dinero sale a una “cuenta segura”.

    Similitudes y diferencias con el phishing

    El smishing y el phishing se parecen en el núcleo: suplantación + urgencia + captura de credenciales o autorización de operaciones.

    Sin embargo, se diferencian sutilmente en el canal y en el contexto:

    • En el phishing clásico suele haber correo electrónico y una web clonada.
    • En el smishing, el SMS puede llegar en el mismo hilo real del banco por técnicas de suplantación del remitente, lo que aumenta tu credibilidad y reduce tus defensas.
    • En el smishing bancario, muchas veces buscan que la operación parezca “legítima” desde los sistemas de autenticación, para discutir luego si hubo o no “negligencia”.

    Por qué es importante actuar rápido

    En estafas smishing el tiempo manda. Los delincuentes encadenan operaciones, vinculando dispositivos, activando tarjetas en apps de pago, haciendo compras y transferencias en ráfaga.

    Un juzgado llegó a condenar a un banco a devolver 2.122,99€ porque, tras el aviso del cliente, la entidad no reaccionó con eficacia y permitió múltiples transacciones en poco tiempo. La sentencia consideró que había quedado probada la falta de medidas de ciberseguridad por parte del banco.

    Qué dice la ley en España sobre la estafa smishing

    Encaje penal: estafa “tradicional” y estafa informática

    El Código Penal castiga la estafa cuando existe engaño suficiente que provoca error y un acto de disposición con perjuicio (art. 248 CP).

    Pero en el entorno digital, muchas conductas encajan mejor en la estafa informática (art. 249.1.a CP): cuando, con ánimo de lucro, se interfiere o manipula un sistema o datos para lograr una transferencia no consentida de activos.

    En la práctica, el smishing mezcla ambas capas:

    • Hay un engaño inicial, que se logra mediante el SMS y la suplantación de identidad
    • Suele haber una fase de operación tecnológica, que termina en transferencias o pagos no consentidos.

    Una idea clave: no siempre hace falta “engaño personal” para la estafa informática

    En el delito de estafa informática, la jurisprudencia ha explicado que no siempre es necesario un engaño en términos tradicionales. El Tribunal Supremo ha destacado que este tipo penal protege el patrimonio frente a ataques tecnológicos y gira sobre la manipulación informática o artificio semejante, sin exigir necesariamente el engaño interpersonal propio.

    Esto es relevante porque muchas víctimas creen que, por haber “pinchado en un enlace” o por haber “autorizado ellas mismas la operación”, el caso no tiene recorrido penal y la responsabilidad es exclusivamente suya. Sin embargo, el sistema penal castiga el cómo se provoca la operación, el artificio tecnológico o engaño utilizado, siguiendo el rastro que dejan los sistemas informáticos y bancarios. Es ahí donde se determina si existe una estafa penalmente relevante y quién debe responder por el perjuicio causado.

    El proceso para reclamar tras una estafa smishing (paso a paso)

    1) Detener el avance de la estafa

    1. Llama o comunícate con el banco utilizando solo canales oficiales. Bloquea tarjetas y banca digital.
    2. Cambia tus contraseñas y activa una autenticación fuerte si no la tenías.
    3. Revisa el móvil. Elimina apps sospechosas y valora un reseteo si instalaste algo.

    Lo importante es que guardes todas las evidencias (capturas del SMS, registros de llamadas, apps y movimientos).

    2) Asegura la prueba

    En smishing la prueba se evapora fácilmente, los enlaces caducan, los números cambian y los chats se borran.

    Recopila:

    • Captura del SMS completo (incluye el remitente y el hilo).
    • Captura del enlace o página web (si aún existe) y del número de teléfono.
    • Extracto de operaciones, hora y concepto.
    • Comunicaciones con el banco (incidencia, número de caso, emails).
    • Si llamaste, registra fecha, duración y lo que te dijeron.

    Un abogado puede pedir diligencias para apuntalar trazas digitales y evitar que el caso se quede en “tu palabra contra la suya”. En investigaciones tecnológicas, la LECrim prevé medidas con control judicial (arts. 588 bis y ss.), útiles para identificar autores y rutas de comunicación cuando procede.

    3) Denuncia penal: concreta, cronológica y con anexos

    Presentar la denuncia ante el organismo correspondiente, es la pieza central de la investigación. En el relato se debe aportar:

    • Cronología de los hechos: fechas del SMS y llamadas, qué se hizo después, etc.
    • Operaciones no autorizadas, que desencadenaron en la disposición patrimonial.
    • Reacción del banco y tiempos.

    Esto no se limita a decir “me estafaron”, se trata de fijar un hecho típico y una trazabilidad del delito.

    4) Reclamación del dinero: dos vías que deben coordinarse

    Aquí es donde muchas reclamaciones fracasan por optar por “el camino fácil” sin una estrategia clara.

    La vía penal permite identificar a los responsables, perseguir el delito y recuperar el dinero a través de la responsabilidad civil, además de solicitar bloqueos o embargos cuando se consigue localizar el destino de los fondos.

    La vía civil, de consumo o de servicios de pago, por su parte, puede resultar eficaz para exigir la devolución del importe cuando la entidad bancaria no acredita una autorización válida de la operación o incurre en falta de medidas de seguridad o de reacción.

    La clave está en no solaparse ni contradecirse. Una estrategia bien coordinada evita incoherencias que, en la práctica, suelen ser utilizadas en tu contra y pueden arruinar una reclamación perfectamente viable.

    5) Si hay “mula” o cuenta receptora, no lo dejes pasar

    Muchos smishing terminan en cuentas de terceros. Existen múltiples resoluciones judiciales que condenan por participación cuando alguien facilita su cuenta para recibir lo defraudado en un smishing.

    Esto abre puertas útiles para identificar receptores, pedir bloqueos y seguir el rastro del dinero.

    Cómo puede ayudarte un abogado experto en estafa smishing

    En una estafa smishing gana quien prueba mejor y elige bien el camino. Un abogado especializado suele marcar la diferencia en cuatro puntos:

    Diagnóstico penal correcto desde el minuto uno

    No todos los smishing encajan igual. A veces hay estafa del art. 248 CP, otras veces, estafa informática del art. 249 CP. Es importante señalar correctamente el tipo penal según el tipo de investigación que se quiera llevar a cabo.

    Construcción de prueba digital y preservación

    La prueba no es solo a través de “capturas”. Hay trazabilidad bancaria, vinculación de dispositivos, logs, solicitudes a operadores y diligencias de investigación. Un buen planteamiento evita que el asunto muera por falta de soporte técnico-jurídico.

    Estrategia para recuperar el dinero sin dispararte en el pie

    La devolución no depende solo de “tener razón”. Depende de:

    • tiempos,
    • comunicaciones,
    • carga de la prueba,
    • y cómo presentas la ausencia de autorización o la falta de medidas adecuadas.

    Acompañamiento real, sin culpabilizarte

    El smishing está pensado para personas normales. No hace falta “ser ingenuo”, basta con que el ataque llegue en el momento exacto y con el texto justo. Hasta el más hábil puede caer ante semejante engaño.

    Qué hacer ahora si has sido víctima de estafa smishing

    Si te han robado dinero por estafa smishing, no intentes resolverlo con parches. Reúne pruebas y determina una estrategia legal completa desde el principio.

    Si quieres, puedes contactarnos y contarnos tu caso brevemente: cuándo ocurrió, cuánto se movió y qué te ha dicho el banco. Te diremos qué vías tienes en España y qué pasos conviene dar hoy para maximizar la recuperación del dinero y sostener la denuncia.

    Final form
    Resumen de privacidad

    Esta web utiliza cookies para que podamos ofrecerte la mejor experiencia de usuario posible. La información de las cookies se almacena en tu navegador y realiza funciones tales como reconocerte cuando vuelves a nuestra web o ayudar a nuestro equipo a comprender qué secciones de la web encuentras más interesantes y útiles.