El smishing —phishing por SMS— es la variante de fraude bancario que más crece en España. Los estafadores envían mensajes de texto que se camuflan en el hilo de comunicaciones legítimas del banco, haciendo prácticamente imposible para el usuario detectar que se trata de un fraude. La sentencia de la Audiencia Provincial de Madrid 4955/2026 (caso Caja Rural) es un ejemplo perfecto de cómo funciona esta estafa y de por qué el banco es quien debe responder.

Qué es el smishing y cómo funciona

El smishing (SMS + phishing) es un tipo de ciberestafa en la que el atacante envía un mensaje de texto al teléfono de la víctima haciéndose pasar por su banco. El SMS suele alertar de una supuesta incidencia —bloqueo de cuenta, cargo no autorizado, acceso sospechoso— e incluye un enlace a una página web que imita la del banco.

Cuando el usuario pulsa el enlace e introduce sus credenciales, el estafador las captura en tiempo real y las utiliza para ejecutar transferencias u otras operaciones desde la cuenta de la víctima.

¿Por qué el SMS aparece en el hilo del banco?

Esta es la característica más peligrosa del smishing: en muchos casos, el SMS fraudulento aparece dentro del mismo hilo de conversación que los mensajes legítimos del banco. Esto ocurre porque los atacantes falsifican el remitente del mensaje (el campo «sender ID»), haciendo que el teléfono lo agrupe con los SMS reales del banco.

El usuario, al ver que el mensaje aparece junto a códigos de verificación y notificaciones auténticas de su entidad, confía en su legitimidad. Esta técnica se conoce como spoofing de SMS y es el factor que los tribunales consideran determinante para descartar la negligencia grave del consumidor.

Caso real: SAP Madrid 4955/2026 (Caja Rural)

La Sentencia de la Audiencia Provincial de Madrid 4955/2026, de 17 de abril de 2026 (ponente: Agustín Manuel Gómez Salcedo, rec. 1587/2024), resuelve un caso típico de smishing bancario que ilustra tanto el funcionamiento de la estafa como la responsabilidad del banco.

Los hechos

El 1 de marzo de 2021, la demandante —cliente de Caja Rural— recibió un SMS que suplantaba la identidad de su banco. Tras acceder al enlace fraudulento, los estafadores obtuvieron sus credenciales y, entre los días 4 y 5 de marzo, ejecutaron tres transferencias fraudulentas por importes de 1.997, 999 y 2.040 euros, un total de 5.036 euros.

La clienta reclamó al banco, que denegó la solicitud. Reclamó después al Banco de España, cuyo Departamento de Conducta de Entidades tampoco apreció quebrantamiento de normas por parte de la entidad. Solo la vía judicial le dio la razón.

El argumento de Caja Rural

Caja Rural argumentó que las transferencias fueron válidamente autenticadas mediante un sistema de doble factor (credenciales + códigos OTP enviados por SMS) y que no existió fallo técnico alguno en sus sistemas. Según la entidad, la responsabilidad recaía sobre la clienta, que facilitó sus credenciales al estafador, incumpliendo sus obligaciones de custodia.

La resolución del tribunal

El Juzgado de Primera Instancia estimó la demanda. Caja Rural apeló. La Audiencia Provincial de Madrid desestimó el recurso y confirmó la condena, aplicando la doctrina de la STS 571/2025.

El tribunal razona que la conducta de la consumidora «no puede ser calificada de negligencia o culpa grave», al haber «actuado inducida por un engaño complejo, sin iniciativa propia, y con la diligencia exigible a una persona media». La mera existencia de registros técnicos o de una validación formal de la operación «no equivale, por sí sola, a la prueba del consentimiento del ordenante, ni permite desplazar automáticamente la responsabilidad al usuario».

El dato revelador: Openbank sí detectó el fraude

Un detalle particularmente significativo del caso: los estafadores también intentaron ejecutar operaciones desde una cuenta que la demandante tenía en Openbank. Pero Openbank detectó el fraude y bloqueó las operaciones inmediatamente.

Caja Rural, en cambio, no detectó nada. El tribunal toma nota de esta diferencia, que evidencia que existen soluciones tecnológicas eficaces para la detección de fraude —como exige el Reglamento Delegado (UE) 2018/389— y que Caja Rural no las tenía implementadas o no funcionaron.

Marco legal: por qué el banco debe devolver el dinero

El artículo 45 del Real Decreto-ley 19/2018 establece que el banco debe devolver «de forma inmediata» el importe de las operaciones no autorizadas. Solo queda exonerado si demuestra que el usuario actuó con fraude o negligencia grave (artículo 46).

La STS 571/2025 del Tribunal Supremo establece que esta responsabilidad es cuasi-objetiva: el banco responde con independencia de culpa, y el simple hecho de que se utilizaran las credenciales del usuario no prueba ni su consentimiento ni su negligencia. La carga de probar la negligencia grave recae sobre el banco.

Más información sobre el marco legal completo en el artículo sobre phishing bancario y jurisprudencia.

Cómo detectar un SMS fraudulento

Aunque los SMS de smishing son cada vez más sofisticados, hay señales que pueden alertarte:

Enlace en el SMS: tu banco nunca te enviará un enlace por SMS para que introduzcas tus credenciales. Si recibes un SMS con un link, no lo pulses. Accede a la banca digital directamente desde la app o escribiendo la URL en el navegador.

Urgencia o amenaza: los mensajes fraudulentos suelen crear sensación de urgencia («su cuenta ha sido bloqueada», «se ha detectado un acceso no autorizado»). Los bancos comunican incidencias reales de forma más pausada.

Solicitud de datos: el banco ya tiene tus datos. Si un SMS te pide que confirmes tu DNI, número de tarjeta o credenciales, es una estafa.

Errores ortográficos o de formato: aunque cada vez son menos frecuentes, muchos SMS fraudulentos contienen pequeños errores gramaticales o de puntuación.

Qué hacer si has sido víctima de smishing

Si has recibido un SMS sospechoso y has proporcionado tus datos, actúa rápidamente siguiendo los pasos de nuestra guía completa de reclamación: bloquea la cuenta, denuncia ante la policía y reclama al banco.

¿Quieres saber si tu caso tiene viabilidad? Haz nuestro test gratuito de phishing bancario o contacta directamente a través de la consulta preliminar gratuita. También puedes consultar la página de servicio de phishing y fraude bancario.

Jose Manuel Dominguez Gonzalez

José Manuel Domínguez González

Abogado en Madrid. Especializado en litigación civil, mercantil y contencioso-administrativa.

Colegiado ICAM nº 137.813