Más de 340.000 denuncias por fraude vía SMS en los primeros meses de 2026 en España: esa es la cifra que convierte esta estafa en una emergencia de consumo. La OCU lleva tiempo documentando una campaña de smishing que suplanta a Correos, donde los ciberdelincuentes envían mensajes masivos avisando de un paquete retenido que necesita el pago de una tasa de menos de dos euros para ser liberado. La trampa no está en el importe, sino en la página falsa a la que lleva el enlace.
El mecanismo es tan sencillo como eficaz: el SMS aparece, en ocasiones, dentro del mismo hilo de mensajes legítimos de Correos gracias a la suplantación del remitente. El usuario baja la guardia, hace clic y aterriza en una web que imita con precisión el portal oficial de la empresa postal. Ahí introduce el número de tarjeta, el CVV y el código 3D Secure. En cuestión de minutos, los estafadores tienen todo lo que necesitan para vaciar una cuenta.
Qué dice la OCU sobre esta campaña de smishing
La OCU ha publicado múltiples alertas advirtiéndole al consumidor de que Correos jamás cobra tasas de aduana a través de un enlace por SMS ni solicita datos bancarios por ese canal. La organización recuerda que, ante cualquier mensaje de estas características, la primera acción debe ser no pulsar el enlace, aunque el remitente parezca completamente fiable.
Según la OCU, si ya has introducido tus datos, los pasos son claros e inmediatos: bloquear la tarjeta, llamar al banco y guardar las capturas del SMS como prueba. La entidad también insiste en que cualquier cargo no autorizado debe ser reclamado al banco, ya que la ley obliga a la entidad financiera a devolver el dinero en operaciones donde el usuario no ha autorizado conscientemente la transacción.
La OCU y el smishing: una batalla que se recrudece cada año
La OCU lleva años siendo el principal altavoz de estas alertas en España, y el smishing —la versión del phishing que opera por SMS— se ha consolidado como la modalidad de fraude digital de mayor crecimiento. Las cifras del INCIBE indican que este tipo de estafas aumentaron un 400% entre 2023 y 2025, y la tendencia no da señales de frenarse.
Lo que hace especialmente peligroso el smishing que suplanta a Correos es su verosimilitud: la empresa postal es la más contactada con los españoles en el contexto del comercio electrónico, lo que significa que casi cualquier persona espera un paquete en cualquier momento del año. Los delincuentes lo saben y lanzan oleadas masivas de mensajes al azar, contando con que la probabilidad de coincidir con alguien que aguarda una entrega es altísima.
Cómo reconocer el SMS falso de Correos
El mensaje fraudulento siempre comparte las mismas señales de alerta. El texto genera urgencia artificial, con frases como «su paquete será devuelto en 24 horas». El enlace adjunto no pertenece al dominio oficial correos.es, sino a una dirección inventada que puede incluir la palabra «correos» entre otros caracteres para engañar a un vistazo rápido. En algunos casos, aparecen errores ortográficos o caracteres extraños que un servicio oficial nunca cometería.
Otra señal inequívoca: Correos, como cualquier empresa de mensajería legítima, nunca solicita el número completo de tarjeta ni el CVV a través de un enlace externo. Si el formulario de pago al que accedes tiene esos campos, sal de ahí inmediatamente y denuncia el SMS ante la Policía Nacional o el INCIBE a través del 017.
Qué hacer si ya has caído en la trampa
Perder la cabeza no sirve de nada; actuar rápido, sí. La OCU y los expertos en ciberseguridad coinciden en un protocolo de cuatro pasos:
- Bloquea la tarjeta de inmediato llamando al teléfono de emergencias de tu banco, disponible las 24 horas.
- Cambia las contraseñas de tu banca online desde un dispositivo seguro y sin usar la misma red wifi.
- No borres el SMS ni cierres las páginas visitadas: son pruebas para la denuncia.
- Denuncia ante la Policía Nacional o Guardia Civil y reporta el incidente al INCIBE en el 017.
Cuándo el banco está obligado a devolverte el dinero
La ley protege al consumidor que actúa sin negligencia grave
La normativa española de servicios de pago establece que cualquier cargo derivado de una operación no autorizada debe ser reembolsado por la entidad financiera. Si los ciberdelincuentes usaron tus datos sin tu consentimiento real, el banco no puede escudarse en que «el pago fue autorizado con tu tarjeta». La OCU ha llevado al juzgado decenas de casos de smishing con resultado favorable para el consumidor.
Qué alega el banco y cómo rebatirlo
El argumento más común de las entidades es que el cliente «autorizó voluntariamente» la operación al introducir sus datos. Sin embargo, los tribunales han interpretado de forma reiterada que introducir datos en una web fraudulenta bajo engaño no equivale a una autorización libre y consciente. Documentar el SMS, la URL falsa y el momento de la denuncia refuerza enormemente cualquier reclamación ante el banco o ante el Banco de España.
El futuro del smishing: más sofisticado, pero con más herramientas para combatirlo
La buena noticia es que el escenario regulatorio está cambiando a favor del consumidor. A partir de 2026, el nuevo Registro de Alias de la CNMC empezará a bloquear los SMS con remitentes no verificados, lo que dificultará técnicamente la suplantación de identidad de empresas como Correos. La OCU lleva meses presionando para acelerar esta medida y para que las operadoras asuman más responsabilidad en el filtrado previo de mensajes fraudulentos.
Mientras esa protección se despliega del todo, la mejor defensa sigue siendo la misma: desconfiar de cualquier SMS que pida dinero o datos bancarios, aunque parezca absolutamente real. La regla de oro que la OCU repite en cada alerta es más vigente que nunca: si tienes dudas, llama directamente a Correos o consulta el estado de tu envío entrando a correos.es tecleando la dirección tú mismo, nunca siguiendo un enlace recibido por mensaje.
