Cómo denunciar phishing en España: guía 2026

Cómo denunciar phishing en España: guía 2026

El phishing es la técnica de fraude por la que un delincuente suplanta a una entidad legítima para robar credenciales, datos bancarios o dinero. Denunciar phishing no es un trámite opcional: activa mecanismos legales que pueden recuperar fondos y proteger a otras víctimas. En España, más de 430.000 casos de fraude informático se registraron en 2025, con el smishing como modalidad dominante. Actuar con rapidez ante la Policía Nacional, la Guardia Civil, el INCIBE o tu banco marca la diferencia entre recuperar el dinero y perderlo definitivamente.


Cómo identificar un intento de phishing antes de caer en la trampa

El phishing explota la urgencia y el miedo para que actúes sin pensar. Reconocer sus señales antes de interactuar con cualquier mensaje es la primera línea de defensa.

Las señales de alerta más frecuentes son:

  • Urgencia artificial: mensajes que advierten de un cargo no reconocido, un paquete retenido o una multa de la DGT con plazo de horas para responder.
  • Remitente sospechoso: el número o dirección de correo no coincide con el canal oficial de la entidad, o incluye caracteres extraños.
  • Errores ortográficos y gráficos: logotipos pixelados, fuentes distintas o frases mal construidas que no corresponden a una comunicación corporativa real.
  • Enlace acortado o dominio falso: URLs como «correos-entrega.net» o «banco-seguro.es» en lugar del dominio oficial.
  • Solicitud de datos sensibles: ningún banco legítimo pide contraseñas completas ni códigos de verificación por SMS o llamada.

Los ejemplos más habituales en España en 2026 son SMS que imitan a Correos, la DGT, la Agencia Tributaria y entidades bancarias como CaixaBank o Santander. El smishing, es decir, el phishing por SMS, es especialmente peligroso porque los mensajes llegan al mismo hilo que las comunicaciones legítimas del banco.

Para verificar la autenticidad de un mensaje, accede directamente a la web oficial escribiendo la dirección en el navegador. No pulses ningún enlace del SMS ni llames al número que aparece en el mensaje.

Unas manos tecleando en el portátil para revisar un mensaje

Consejo profesional: Si recibes un SMS sospechoso, reenvíalo al INCIBE y llama a la línea gratuita 017 para recibir orientación inmediata. No respondas al mensaje ni hagas clic en ningún enlace.


Cómo recopilar pruebas antes de denunciar el fraude

Las pruebas son el pilar de cualquier reclamación. Borrar los mensajes fraudulentos es el error más común y el que más daño hace a la denuncia posterior.

Sigue estos pasos para documentar el caso correctamente:

  1. Haz capturas de pantalla del SMS, correo electrónico o notificación fraudulenta. Incluye la barra de dirección si es una web falsa.
  2. Conserva los mensajes originales en el dispositivo sin borrarlos ni restaurar el teléfono a valores de fábrica. La pericial forense digital puede necesitar el archivo original.
  3. Guarda los extractos bancarios que muestren el cargo no autorizado, con fecha, hora e importe exacto.
  4. Anota todos los datos del fraude: número de teléfono remitente, dirección de correo, URL del enlace y cualquier referencia de transacción.
  5. Conserva toda la comunicación escrita con el banco, incluyendo correos, chats y referencias de las llamadas de reclamación.

Consejo profesional: Para presentar una reclamación formal al banco, envía un burofax o entrega un escrito en la sucursal y solicita sello de entrada. Este registro escrito obliga al banco a responder en los plazos legales y crea evidencia de que actuaste con diligencia.

La pericial forense digital requiere que el dispositivo esté intacto. No restaures el móvil ni instales aplicaciones de limpieza hasta que un especialista lo autorice. Esta precaución puede ser determinante si el caso llega a los tribunales.


Dónde y cómo denunciar phishing correctamente en España

La denuncia policial es imprescindible para demostrar que actuaste de buena fe. Sin ella, el banco puede rechazar la reclamación argumentando falta de diligencia.

Tienes dos vías para presentar la denuncia:

  • Presencial: acude a la comisaría de la Policía Nacional o al cuartel de la Guardia Civil más cercano. Lleva impresas las capturas de pantalla, el extracto bancario y cualquier dato del fraude.
  • Telemática: la Policía Nacional permite presentar denuncias por delitos informáticos en su sede electrónica. La Guardia Civil dispone del portal del Grupo de Delitos Telemáticos (GDT) para el mismo fin.
Canal Organismo Qué necesitas
Presencial Policía Nacional / Guardia Civil DNI, capturas, extracto bancario
Sede electrónica Policía Nacional Certificado digital o Cl@ve
Portal GDT Guardia Civil Formulario online y pruebas adjuntas
Línea 017 INCIBE Llamada gratuita, sin datos previos
Correo de reporte INCIBE incidencias@incibe-cert.es

Solicita siempre una copia sellada de la denuncia o el justificante electrónico. Ese documento es la prueba oficial que presentarás al banco y, si fuera necesario, ante el Banco de España o un juzgado.

Guía visual para reportar intentos de phishing paso a paso

Además de la denuncia policial, reportar el fraude al INCIBE facilita el bloqueo del dominio o número fraudulento y protege a otras personas que podrían recibir el mismo ataque. Los operadores móviles colaboran con las autoridades para bloquear números y dominios usados en campañas masivas de smishing, por lo que cada reporte cuenta.


Qué hacer después de denunciar para recuperar el dinero

La denuncia abre la puerta legal, pero las acciones que tomes en las horas siguientes determinan si recuperas los fondos.

El plazo legal máximo para reclamar una operación no autorizada al banco es de 13 meses. Sin embargo, actuar en las primeras 24–48 horas multiplica las posibilidades de éxito porque el banco puede intentar revertir la transferencia antes de que los fondos salgan del sistema financiero.

Pasos inmediatos tras la denuncia:

  • Llama al banco para bloquear la cuenta o tarjeta afectada y solicitar la reversión de la operación fraudulenta.
  • Cambia todas las contraseñas de banca online, correo electrónico y cualquier servicio vinculado. Activa la autenticación en dos pasos.
  • Presenta la reclamación formal al banco con la copia de la denuncia policial. El Real Decreto-ley 19/2018 obliga a las entidades a reembolsar el importe de operaciones no autorizadas en un máximo de un día hábil, salvo que demuestren negligencia grave del cliente.

Si el banco rechaza la reclamación, tienes dos opciones adicionales. La primera es presentar una queja ante el Banco de España a través de su servicio de reclamaciones. La segunda es acudir a la vía judicial, donde el banco debe demostrar que el cliente actuó con negligencia grave. En la práctica, la mayoría de demandas acaban a favor del cliente.

«Conservar los mensajes originales y no restaurar el dispositivo sin autorización puede ser determinante para la pericial forense digital. Una sola acción precipitada puede invalidar pruebas que habrían ganado el caso.»

Evita estos errores frecuentes que dificultan la recuperación: borrar los mensajes fraudulentos, no solicitar copia sellada de la denuncia, tardar más de 48 horas en contactar al banco, o aceptar verbalmente las explicaciones del banco sin dejar constancia escrita. Puedes consultar una lista completa de errores al denunciar para no cometer ninguno.


Puntos clave

Denunciar phishing con rapidez y documentación completa es la acción que activa la protección legal y maximiza las posibilidades de recuperar los fondos robados.

Punto Detalles
Actúa en 24–48 horas Contacta al banco y presenta la denuncia policial cuanto antes para intentar revertir la transferencia.
Conserva todas las pruebas No borres mensajes ni restaures el dispositivo; las capturas y originales son la base de la reclamación.
Denuncia ante Policía o Guardia Civil La copia sellada de la denuncia es el documento que activa la obligación legal del banco de reembolsar.
Usa la línea 017 de INCIBE Es gratuita y ofrece orientación especializada para afectados por phishing y smishing en España.
Reclama al Banco de España si es necesario Si el banco rechaza el reembolso, la vía regulatoria y judicial favorece al cliente en la mayoría de casos.

Lo que nadie te dice sobre denunciar phishing

Llevo años acompañando a personas que han sufrido fraudes digitales y hay una verdad que se repite: la mayoría de las víctimas pierden el dinero no porque el fraude fuera irrecuperable, sino porque actuaron demasiado tarde o cometieron errores evitables en los primeros días.

El mayor error que veo es la parálisis. Cuando alguien recibe un cargo no autorizado, la reacción natural es esperar, confiar en que el banco lo resolverá solo o temer que denunciar sea complicado. Esa espera es exactamente lo que necesitan los estafadores para mover los fondos fuera del alcance de cualquier reversión.

Lo segundo que más daña los casos es la falta de documentación. He visto reclamaciones sólidas hundirse porque la víctima borró el SMS fraudulento «para no verlo más». Ese mensaje era la prueba principal. Conservar la evidencia digital intacta no es burocracia, es la diferencia entre ganar o perder.

Mi recomendación más práctica: trata la denuncia como si fuera una urgencia médica. Actúa en las primeras horas, documenta todo y busca asesoramiento especializado desde el primer momento. Recovera trabaja con víctimas de fraudes financieros y ofrece análisis técnico y acompañamiento legal para que el proceso no recaiga solo sobre ti. Puedes ver cómo funciona en la historia de Recovera.

Los fraudes evolucionan cada mes. El smishing de hoy es más sofisticado que el de hace dos años. Mantenerse informado y saber exactamente qué hacer en los primeros minutos es la mejor protección que existe.

— Cristian


Recovera, apoyo especializado para víctimas de fraude digital

Sufrir un fraude online genera confusión y urgencia a partes iguales. Recovera acompaña a las víctimas desde el primer momento con análisis forense, documentación técnica y asesoría legal para presentar reclamaciones sólidas ante bancos y autoridades.

https://recovera.es

El equipo de Recovera rastrea el flujo de fondos mediante análisis blockchain, genera informes técnicos con validez legal y coordina el proceso de recuperación de estafas financieras para que no tengas que enfrentarte solo al banco ni a los juzgados. Si el fraude involucra criptomonedas, Recovera aplica metodologías de trazabilidad usadas por organismos de seguridad para identificar el destino de los activos. Puedes consultar un caso de éxito real para entender cómo funciona el proceso en la práctica. Contacta con Recovera en recovera.es/contacto-recuperacion-estafas para una valoración inicial de tu caso.


Preguntas frecuentes

¿Qué es el phishing y cuáles son sus modalidades más comunes?

El phishing es una técnica de fraude que suplanta a entidades legítimas para robar datos o dinero. Sus variantes más frecuentes en España son el smishing (por SMS), el vishing (por llamada) y el correo electrónico fraudulento.

¿Dónde puedo denunciar sms fraudulentos en España?

Puedes denunciar en la comisaría de la Policía Nacional, el cuartel de la Guardia Civil o por vía telemática en sus portales oficiales. También puedes reportar el SMS al INCIBE llamando al 017 o enviando el mensaje a incidencias@incibe-cert.es.

¿Cuánto tiempo tengo para reclamar al banco tras un phishing bancario?

El plazo legal máximo es de 13 meses desde la operación no autorizada, pero actuar en las primeras 24–48 horas aumenta significativamente las posibilidades de recuperar el dinero.

¿Qué pasa si el banco se niega a devolver el dinero?

El banco debe demostrar negligencia grave del cliente para negarse al reembolso. Si rechaza la reclamación, puedes acudir al servicio de reclamaciones del Banco de España o iniciar una acción judicial, donde la mayoría de sentencias favorecen al cliente.

¿Debo conservar el SMS fraudulento aunque ya haya caído en la trampa?

Sí. Conservar el mensaje original sin borrar ni restaurar el dispositivo es fundamental para la pericial forense digital y para respaldar la denuncia policial y la reclamación bancaria.

Recomendación

Artículo generado por BabyLoveGrowth

Related Posts

Cómo Investigar y Trazar Estafas de Criptomonedas y Financieras | Albert (Recovera)

Escríbenos un Whatsapp

Te responderemos de inmediato

Tiempo de respuesta habitual: Menos de 24h