Los mensajes de texto falsos que simulan notificaciones bancarias o de la Agencia Tributaria son una amenaza creciente. El smishing ya supera al phishing en tasa de éxito entre adultos mayores y usuarios poco familiarizados con ciberseguridad. Cada año, el Instituto Nacional de Ciberseguridad (Incibe) registra más de 120.000 denuncias relacionadas. Estas estafas generan pérdidas económicas superiores a 45 millones de euros anuales en España. La urgencia, la suplantación de entidades oficiales y los enlaces maliciosos son sus tres pilares.
¿Qué es el smishing y por qué es tan peligroso?
El smishing es una variante del phishing, pero ejecutada exclusivamente mediante mensajes SMS. A diferencia del correo electrónico, los SMS carecen de indicadores visuales de seguridad como remitentes verificables o certificados de dominio. Esto permite a los atacantes simular con alta fidelidad entidades como bancos, la Agencia Tributaria o la Seguridad Social.
Los ciberdelincuentes explotan la percepción de confianza que los usuarios tienen hacia los mensajes de texto. Un 68 % de los mayores de 65 años confía más en un SMS que en un email, según datos del Incibe 2025. Esa confianza se convierte en vulnerabilidad cuando el mensaje incluye una llamada a la acción urgente.
Cómo identificar un mensaje de smishing
- Contiene palabras clave de urgencia: «bloqueo inminente», «pago pendiente», «acción requerida en 24 horas».
- Incluye enlaces acortados o dominios sospechosos (ej. «agenciatributaria-esp[.]online»).
- No menciona tu nombre completo ni datos específicos de tu cuenta.
- Pide datos personales, códigos SMS o claves de acceso directamente.
¿Cómo actúan los estafadores con la suplantación de la Agencia Tributaria?
La Agencia Tributaria es una de las entidades más imitadas en campañas de smishing. Los mensajes suelen afirmar que hay un impago de IRPF, una devolución bloqueada o una notificación tributaria pendiente. El texto redirige a una web falsa que replica fielmente la interfaz oficial.
Estas páginas capturan NIF, contraseñas del sistema Cl@ve, y hasta códigos de verificación en tiempo real. Una vez obtenidos, los atacantes acceden a servicios tributarios reales o venden los datos en mercados clandestinos de la dark web.
El marco legal que protege al ciudadano
La Ley Orgánica 3/2018 de Protección de Datos y Garantía de los Derechos Digitales prohíbe expresamente la suplantación de entidades públicas con fines de obtención ilícita de datos. Además, el Real Decreto-Ley 24/2023 refuerza las sanciones para operadores que no implementen filtros anti-smishing en sus redes móviles.
¿Qué hacer si recibes un mensaje sospechoso?
Nunca hagas clic en el enlace. No respondas ni llames al número indicado. La Agencia Tributaria nunca solicita datos personales por SMS. Tampoco envía enlaces para resolver incidencias tributarias.
La vía oficial es acceder directamente a la web agenciatributaria.es, usando el navegador y escribiendo la URL manualmente. También puedes verificar notificaciones desde la app oficial Renta Web o mediante el sistema Cl@ve PIN.
Datos Clave
- El smishing representa el 37 % de todos los ciberataques reportados en 2025 (Incibe).
- El 82 % de las víctimas de smishing son mayores de 55 años.
- Las entidades bancarias y la Agencia Tributaria concentran el 74 % de los casos de suplantación.
- El tiempo medio entre clic en el enlace y robo de credenciales es de 92 segundos.
- Las denuncias por smishing aumentaron un 41 % interanual en el primer trimestre de 2026.
¿Qué medidas preventivas recomienda el Incibe?
El Instituto Nacional de Ciberseguridad recomienda activar la autenticación en dos pasos (2FA) en todos los servicios financieros y tributarios. También aconseja instalar aplicaciones oficiales de bancos y administraciones públicas —nunca desde enlaces recibidos— y desactivar la recepción de SMS comerciales no solicitados.
Además, los operadores móviles están obligados, desde enero de 2026, a ofrecer filtros gratuitos de mensajes sospechosos. Esta medida forma parte del Plan Nacional de Ciberseguridad 2025–2027, que prioriza la protección de grupos vulnerables y la coordinación entre sector privado y administraciones públicas.
