Los mensajes de texto no solicitados no son solo una molestia: el sms spam suele ser la antesala de suplantaciones bancarias, falsas entregas de paquetería y enlaces pensados para robar datos. En este artículo te explico cómo diferenciar el ruido comercial de un ataque de smishing, qué señales me hacen desconfiar en segundos y qué pasos sigo si ya he abierto un enlace o he dado datos. También verás qué está cambiando en España para cortar estas campañas y qué puedes hacer tú para bajar el riesgo de inmediato.
Lo esencial para no caer en mensajes fraudulentos
- El problema real no es solo la publicidad molesta, sino los SMS que suplantan a bancos, paqueterías o administraciones para robarte dinero o credenciales.
- La urgencia, los enlaces raros, las solicitudes de códigos o tarjetas y los remitentes que “parecen” conocidos son las señales que más me hacen frenar.
- Si no has tocado nada, no respondas, borra el mensaje, bloquea el remitente y repórtalo como sospechoso.
- Si ya has pulsado o has introducido datos, actúa rápido: banco, bloqueo de tarjetas, cambio de contraseñas y pruebas guardadas.
- En España, la CNMC ha actualizado el calendario del registro de alias y fija la plena aplicación del bloqueo de alias no registrados para el 15 de septiembre de 2026.
- Si dudas, llama al 017 de INCIBE: es gratuito, confidencial y atiende todos los días del año.
Qué hay detrás de un SMS no solicitado
Yo separo siempre dos cosas: el mensaje molesto que solo quiere venderte algo y el mensaje que intenta empujarte a clicar, pagar o entregar credenciales. En el primer caso hablamos de publicidad invasiva; en el segundo, de smishing, una forma de phishing por SMS que usa ingeniería social para hacerse pasar por una entidad legítima.
La razón por la que funciona es sencilla: el móvil crea sensación de inmediatez. Un SMS entra en un canal que mucha gente percibe como más directo y confiable que el correo, así que el atacante aprovecha la prisa, la autoridad aparente y una excusa creíble para saltarse tu filtro mental.
Los ganchos que más repiten
- Entrega de paquete retenido o con datos incompletos.
- Bloqueo de cuenta, tarjeta o acceso a una app.
- Devolución de impuestos, multa o aviso de una administración pública.
- Familiar que ha cambiado de número y pide ayuda urgente.
Cuando el anzuelo funciona, el objetivo no es el mensaje en sí, sino llevarte a una web falsa o a una llamada donde te sacan información paso a paso. Por eso el siguiente filtro no es el tecnicismo, sino las señales de alarma.
Señales que me hacen desconfiar de un mensaje
Hay indicios que se repiten casi siempre, aunque el remitente parezca legítimo. Yo no me fijo solo en el texto: miro el enlace, el contexto y el momento en que llega.
| Señal | Qué suele significar | Qué haría yo |
|---|---|---|
| Urgencia extrema | Quieren que actúes sin verificar nada | Paro y compruebo el canal oficial antes de mover un dedo |
| Enlace raro o acortado | Puede redirigir a una web falsa o a una descarga maliciosa | No abro el enlace desde el SMS y reviso el dominio manualmente |
| Piden contraseña, código o tarjeta | Buscan credenciales, pagos o acceso a tus cuentas | No comparto nunca datos sensibles por ese canal |
| Remitente que parece conocido | Puede haber suplantación del nombre o del alias | No me fío del nombre que veo en pantalla |
| Mensaje fuera de contexto o a horas raras | Campaña masiva, automatizada o mal adaptada | Compruebo si realmente esperaba ese aviso |
Un nombre conocido en la pantalla no basta. Si algo me pide resolverlo fuera de la app o de la web que yo mismo abrí, lo trato como sospechoso hasta confirmar lo contrario. Esa duda sana vale más que cualquier truco de apariencia.
Si detectas una de estas señales, lo importante es no improvisar y pasar a una respuesta ordenada.
Qué hacer en los primeros minutos si has recibido uno
La diferencia entre una molestia y un fraude serio suele estar en los primeros diez minutos. Yo actuaría así, en este orden.
Si no has pulsado nada
- No respondas, ni siquiera para pedir que te eliminen.
- Borra el mensaje y bloquea el número o el alias si tu móvil lo permite.
- Marca el SMS como spam o como remitente sospechoso si la app lo ofrece.
- No abras el enlace “por curiosidad” desde otro dispositivo.
Si has abierto el enlace pero no has dado datos
- Cierra la página y no instales ninguna app ni permitas permisos extraños.
- Revisa si se ha descargado algún archivo y elimínalo.
- Comprueba que no hayas concedido acceso a notificaciones, contactos o instalación de apps desconocidas.
- Si el mensaje hablaba de un pedido, entra tú mismo en la app o web oficial, no desde el enlace recibido.
Si ya has introducido datos o una tarjeta
- Llama de inmediato al banco para bloquear la tarjeta y vigilar movimientos.
- Cambia la contraseña de la cuenta afectada desde la web o app oficial.
- Revisa si reutilizabas esa contraseña en otros servicios y cámbiala también.
- Guarda capturas del SMS, del enlace, de la web falsa y de cualquier cargo sospechoso.
- Si hubo un cargo, pide a tu banco un justificante o certificado de los movimientos fraudulentos para la denuncia.
Si tienes dudas sobre cómo seguir, el 017 de INCIBE te orienta de forma gratuita y confidencial, todos los días del año, de 8:00 a 23:00. Yo lo veo como una ayuda útil cuando el caso no está claro o cuando necesitas confirmar si ya has hecho algo que requiera una respuesta urgente.
Responder bien en esos minutos marca la diferencia, pero la prevención a medio plazo es la que realmente recorta el riesgo.
Qué está cambiando en España para frenar estas estafas
En 2026 el escenario ya no es el mismo que hace un año. El refuerzo regulatorio apunta a cortar dos vías de abuso muy usadas: los números o identificadores imposibles y los alias que imitan marcas, bancos o servicios conocidos.
| Medida | Qué cambia | Impacto real |
|---|---|---|
| Bloqueo de mensajes con alias no registrados | Los nombres de remitente de empresas y administraciones deben estar validados | Reduce la suplantación de marcas en SMS, MMS y RCS |
| Bloqueo de mensajes internacionales que aparentan ser españoles | Se cierra parte del fraude que entra desde fuera con apariencia local | Dificulta campañas masivas con remitentes engañosos |
| Bloqueo de numeración no asignada | Se cortan mensajes desde números claramente anómalos | Menos mensajes “imposibles” llegan al usuario final |
| Registro público de alias | Se gana trazabilidad sobre quién usa cada identificador | Más transparencia para distinguir un remitente legítimo de uno falso |
Estas barreras ayudan, pero no sustituyen la verificación manual cuando el mensaje juega con la prisa o con el miedo.
Cómo reducir el ruido y las oportunidades de fraude en tu móvil
Si yo tuviera que bajar el riesgo sin complicarme, empezaría por hábitos muy concretos. No eliminan todos los mensajes, pero sí reducen muchísimo la superficie de ataque.
- Activa el filtro antispam de la app de mensajes si tu móvil lo incluye.
- Bloquea y reporta los remitentes sospechosos en lugar de limitarte a borrarlos.
- Consulta pedidos, bancos y avisos solo desde la app oficial o entrando tú mismo a la web.
- Cuando una cuenta lo permita, usa una app de autenticación o una llave física en vez de depender solo de códigos por SMS.
- No compartas tu número en formularios dudosos, sorteos opacos o registros que no necesitas.
- No respondas para “darte de baja” si el SMS ya te huele a fraude; contestar solo confirma que tu número está activo.
Mi regla práctica aquí es simple: si un aviso me obliga a salir del canal oficial para “resolver” un problema, lo trato como sospechoso. Esa disciplina, repetida dos o tres veces, vale más que confiar ciegamente en un filtro.
Con estos ajustes, el móvil deja de ser un blanco tan fácil y tu margen de error baja mucho.
La regla práctica que yo usaría desde hoy
- Si el SMS mezcla urgencia, enlace y petición de datos, no interactúes.
- Si toca dinero o credenciales, entra siempre por el canal oficial que tú conozcas.
- Si ya has pinchado o has rellenado algo, asume riesgo real y actúa sin esperar.
- Si hubo cargos o robo de datos, banco primero, pruebas después y denuncia a continuación.
La combinación de filtros del operador, bloqueo de alias y hábitos básicos ya está mejorando la situación en España, pero no sustituye el criterio del usuario. Yo me quedo con una norma muy simple: si un SMS me empuja a actuar antes de verificar, lo trato como fraude hasta que demuestre lo contrario.
