El Banco de España recuerda que los delincuentes no solo imitan a las entidades: también pueden suplantar el identificador del mensaje. Eso hace que un SMS fraudulento llegue, en algunos casos, dentro del mismo hilo donde antes aparecían avisos reales del banco.
Ese detalle cambia mucho la lectura. El problema ya no es solo recibir un mensaje mal escrito o sospechoso, sino creer que es legítimo porque aparece junto a comunicaciones anteriores de la entidad. En temporada de reservas, cuando el usuario paga hoteles, vuelos, alquileres o experiencias, esa urgencia juega a favor del fraude.
La regla sigue siendo sencilla: el banco no debe pedir por SMS claves completas, datos de tarjeta, PIN, contraseñas ni códigos de verificación. Si el mensaje incluye un enlace y pide actuar deprisa, conviene entrar a la banca digital desde la app oficial o escribiendo la dirección manualmente, no desde el enlace recibido. Quien opere mucho desde el móvil puede revisar también opciones de cuentas online y banca digital, pero siempre con el foco puesto en seguridad, no solo en comodidad.
El cambio regulatorio que no elimina el riesgo este verano
España tiene en marcha medidas contra las estafas de suplantación por llamadas y SMS. La Orden TDF/149/2025 fijó obligaciones para bloquear determinadas comunicaciones fraudulentas y creó el marco del Registro de Alias, gestionado por la CNMC, para controlar los remitentes alfanuméricos usados en mensajes SMS, MMS y RCS.
La novedad relevante es que el BOE publicó el 5 de junio de 2026 una modificación de esa orden. La obligación de bloqueo ligada a los alias no registrados, que debía producir efectos el 7 de junio de 2026, pasa al 15 de septiembre de 2026. El motivo oficial es dar más tiempo al proceso técnico y operativo de inscripción y verificación de alias legítimos.
Para el cliente, esto no significa que todos los SMS sean inseguros ni que todos los mensajes bancarios sean falsos. Significa algo más concreto: no conviene confiar solo en el nombre que aparece como remitente, especialmente antes de pagar una reserva o confirmar una operación. Las medidas públicas ayudan, pero no sustituyen la comprobación básica del usuario.
Qué debe mirar el cliente antes de pagar una reserva
INCIBE ha advertido de que las vacaciones concentran riesgos digitales porque aumentan las reservas online, las prisas, la búsqueda de precios atractivos y el uso de apps para alojamiento, transporte o actividades. Ese contexto facilita páginas falsas, ofertas inexistentes y mensajes que presionan para pagar cuanto antes.
Si el SMS dice que la tarjeta ha sido bloqueada, que hay un cargo pendiente o que hay que validar una reserva, el cliente debería comprobarlo por un canal independiente. Lo prudente es abrir la app del banco, llamar al número oficial de la entidad o entrar en la web escribiendo la dirección. No hay que reutilizar el enlace recibido.
También importa el medio de pago. En tarjetas, cargos no reconocidos y operaciones no autorizadas tienen un tratamiento distinto al de una transferencia realizada voluntariamente a un supuesto alojamiento falso. Si se autorizó el pago de buena fe, recuperar el dinero puede depender del beneficiario, de la investigación del banco y de las circunstancias del caso. Por eso, antes de mover dinero, conviene revisar destinatario, comercio, importe, web y mensajes de confirmación. Lo mismo aplica a pagos rápidos o servicios asociados a neobancos con Bizum, donde la rapidez no debe sustituir la verificación.
Si ya has caído, la rapidez cuenta
Si el cliente ha introducido claves, datos de tarjeta o ha autorizado una operación tras un SMS sospechoso, lo primero es contactar con el banco por canales oficiales para bloquear tarjeta, banca digital o movimientos posteriores. Después conviene cambiar contraseñas, conservar capturas, guardar justificantes y presentar denuncia si hay indicios de fraude.
El Banco de España señala que, ante pagos con tarjeta no autorizados, la entidad debe responder y devolver el importe de las operaciones que considere no autorizadas al final del siguiente día hábil desde la comunicación, salvo que aprecie fraude del titular o negligencia grave. En tarjetas, además, el cliente debe poder comunicar pérdida, robo o uso no autorizado, y el banco se hace cargo de operaciones posteriores a esa comunicación que no haya realizado el usuario.
La letra pequeña está en la prueba y en el tipo de operación. No es lo mismo un cargo no reconocido que una transferencia enviada por el propio cliente tras ser engañado. Por eso, si el banco rechaza la reclamación o no responde en plazo, el siguiente paso puede ser acudir al servicio de reclamaciones correspondiente. Comparar bancos y cuentas sin comisiones puede ayudar en otros contextos, pero ante un fraude lo urgente no es cambiar de entidad: es cortar el acceso, documentar lo ocurrido y reclamar por la vía adecuada.
El aviso útil para este verano es claro: un SMS con nombre de banco no basta para fiarse. Antes de pagar una reserva o validar una operación, hay que comprobar la orden desde la app oficial, desconfiar de enlaces y no entregar claves completas ni códigos. La seguridad bancaria empieza muchas veces antes del cargo.
