Voy a contarte algo que casi nadie te dice cuando buscas "denunciar phishing" a las dos de la mañana, con el corazón a mil y la cuenta a cero: la denuncia, por sí sola, casi nunca te devuelve el dinero. Lo que recupera el dinero es lo que haces alrededor de la denuncia, y en qué orden. Y ahí es donde la mayoría de víctimas pierde la partida sin saberlo.
Hace unos meses atendimos a un jubilado de Valencia que había recibido un SMS de "su banco" avisando de un acceso sospechoso. Pinchó, metió sus claves, confirmó un SMS de verificación. En once minutos le sacaron cuatro mil doscientos euros. Fue corriendo a comisaría, denunció, y se quedó tranquilo pensando que ya estaba todo en marcha. No avisó al banco hasta tres días después. Ese silencio de tres días fue lo que su entidad usó para alegar negligencia. Se pudo reconducir, pero costó mucho más de lo que habría costado una llamada el primer día.
Esta guía está pensada para que tú no cometas ese error. Vamos a ver qué es exactamente el phishing en sus variantes de 2026, dónde se denuncia, qué pruebas reunir, cómo reclamar al banco en paralelo y qué dice la ley sobre tu derecho a recuperar el dinero.
Qué es el phishing y por qué importa la variante
El phishing es un fraude de suplantación: alguien finge ser tu banco, Hacienda, Correos o una empresa de confianza para que entregues tus credenciales o autorices un pago. La palabra se usa como cajón de sastre, pero la variante concreta cambia tanto la prueba que tendrás que aportar como la responsabilidad del banco.
- Phishing clásico (correo): un email con un enlace a una web idéntica a la de tu banco. Cada vez más cuidado con el remitente: en 2026 muchos llegan desde dominios casi calcados al real.
- Smishing (SMS): el rey actual. "Tu paquete está retenido", "se ha detectado un acceso no autorizado". Lo peligroso es que el SMS se cuela en el mismo hilo que los mensajes legítimos de tu banco gracias a la suplantación del remitente (SMS spoofing).
- Vishing (llamada): te llaman haciéndose pasar por el departamento de fraude. Te meten prisa y miedo, y te piden que confirmes códigos. Si te ha pasado con PayPal en concreto, tenemos una guía específica de vishing en PayPal.
- Quishing (código QR): el más reciente. Un QR falso pegado encima de uno real en un parking, un restaurante o una multa, que lleva a una pasarela de pago fraudulenta.
¿Por qué te insisto tanto en la variante? Porque la negligencia se valora distinta. No es lo mismo que metieras tus claves en una web cuyo dominio era una imitación casi perfecta, que el banco no detectó, que el hecho de que dieras por teléfono a un desconocido el código de un solo uso. El primer caso es difícil de imputarte; el segundo, el banco intentará usarlo en tu contra. Guardar la prueba de cómo te engañaron es media batalla.
Lo primero, antes de denunciar: las cuatro acciones de las primeras horas
Te lo digo sin rodeos: las primeras horas valen más que las primeras semanas. Antes incluso de pisar la comisaría, haz esto, y en este orden.
- Llama al teléfono oficial de tu banco y bloquea. Pide el bloqueo de tarjetas y de la banca online, y la retrocesión o intento de devolución de las transferencias o cargos. Si el dinero todavía no ha salido de la entidad de destino, a veces se puede frenar.
- Comunica el fraude por escrito. Una llamada no deja rastro suficiente. Envía un correo o un mensaje desde la banca online dejando constancia con fecha y hora de que has sido víctima de phishing y de que no autorizaste las operaciones. Este documento será clave después.
- Cambia las contraseñas. La del banco, la del correo asociado y la de cualquier servicio que comparta credenciales. Activa la verificación en dos pasos donde no la tengas.
- Reúne y congela las pruebas. No borres nada. Haz capturas de pantalla del SMS o el correo (con remitente y hora visibles), de la web falsa si aún carga, de los movimientos no reconocidos y de cualquier conversación con el estafador.
El detalle que marca la diferencia
Guarda la cabecera completa del correo o el número desde el que llegó el SMS. Para la denuncia, ese dato técnico es oro: permite a las unidades de delitos telemáticos rastrear el origen, y al banco le quita el argumento de que "no había forma de saberlo".
Dónde denunciar el phishing: las cuatro vías
Aquí está la pregunta que te ha traído hasta esta página. Tienes cuatro canales, y no son excluyentes: lo ideal es combinar varios.
1. Denuncia presencial en Policía Nacional o Guardia Civil
Es la vía recomendada cuando ya hay dinero robado. Acude a cualquier comisaría o cuartel con tu DNI y todas las pruebas impresas. La Policía Nacional cuenta con la Unidad de Investigación Tecnológica y la Guardia Civil con el Grupo de Delitos Telemáticos, ambos especializados en fraude online. Te entregarán copia de la denuncia con un número de registro: guárdala, porque el banco y, en su caso, el juzgado te la van a pedir.
2. Denuncia online (sin autor conocido)
Para hechos sin autor conocido puedes denunciar por internet a través de las webs oficiales de la Policía Nacional y de la Guardia Civil. Es cómodo y genera resguardo, pero ten presente que algunos delitos exigen ratificación presencial en 72 horas. Si dudas, denuncia presencialmente directamente.
3. INCIBE y la Línea 017
El Instituto Nacional de Ciberseguridad (INCIBE) ofrece asesoramiento gratuito a través de la Línea de Ayuda en Ciberseguridad (017). No tramitan denuncias, pero te orientan sobre los pasos técnicos y te ayudan a entender qué te ha pasado. Útil sobre todo si todavía no hay pérdida económica.
4. Reclamación formal a tu banco
Y esta es la que de verdad recupera dinero. La denuncia penal persigue al estafador; la reclamación al banco persigue tu reembolso. Son cosas distintas y debes hacer las dos. Más abajo te explico por qué la ley está de tu lado.
Caso real cercano
Una clienta de Sevilla denunció online un smishing de 1.900 euros y, en paralelo, reclamó al banco por escrito el mismo día. El banco intentó alegar negligencia, pero la denuncia y el correo con fecha demostraban su diligencia. Recuperó el importe íntegro en menos de dos meses, por la vía del Banco de España, sin pleito. La clave no fue la denuncia: fue la simultaneidad.
Qué dice la ley: tu derecho a que el banco te devuelva
Mucha gente cree que si "metió sus claves voluntariamente" ya no hay nada que hacer. Es falso. El marco lo fija el Real Decreto-ley 19/2018, que traspuso la directiva europea de servicios de pago (PSD2). Su artículo 45 establece que, ante una operación no autorizada, el banco debe reembolsar el importe de inmediato, en principio a más tardar al final del día hábil siguiente.
El banco solo se libra de devolver si prueba que hubo fraude o negligencia grave por tu parte. Y ojo, la carga de la prueba es suya, no tuya. El Tribunal Supremo y numerosas audiencias provinciales han venido recordando que la sofisticación del engaño juega a favor de la víctima: si el phishing era tan bueno que cualquier persona razonable habría caído, no hay negligencia grave.
El plazo para reclamar al banco es de 13 meses desde el cargo. Si la entidad rechaza tu reclamación, tienes dos vías sucesivas:
- Servicio de reclamaciones del Banco de España: gratuito, resuelve en torno a cuatro meses y, aunque su informe no es vinculante, pesa mucho. Antes hay que haber reclamado al servicio de atención al cliente del propio banco.
- Vía judicial civil: si el banco persiste, se demanda. En reclamaciones de consumo el porcentaje de éxito frente a entidades es alto cuando hay denuncia y comunicación temprana.
Errores que arruinan una reclamación de phishing
Por experiencia, estos son los fallos que más casos hunden. Si los evitas, ya partes con ventaja.
- Tardar en avisar al banco. Cada día de retraso es munición para la entidad.
- Borrar los mensajes "por vergüenza". Sin las pruebas del engaño, demostrar la sofisticación es muy difícil.
- Aceptar la primera negativa del banco como definitiva. El "no" del primer empleado no es la última palabra; existen escalones por encima.
- No poner denuncia "porque ya he avisado al banco". El banco te pedirá el número de denuncia. Sin ella, tu reclamación pierde fuerza.
- Reconocer por escrito que diste un código de un solo uso a un tercero sin matizar el contexto del engaño. Aquí conviene que un abogado revise lo que comunicas.
Plazos clave que no debes pasar por alto
| Actuación | Plazo |
|---|---|
| Avisar al banco y pedir bloqueo | Inmediato (primeras horas) |
| Ratificar denuncia online (si procede) | 72 horas |
| Reclamar operación no autorizada al banco | Hasta 13 meses |
| Acudir al Banco de España (tras respuesta del banco) | Tras 1 mes sin solución |
| Prescripción del delito de estafa | 3 a 5 años según cuantía |
Phishing suplantando a la Administración: Hacienda, Correos, DGT y Seguridad Social
Una parte enorme del phishing de 2026 no suplanta a tu banco, sino a un organismo público. Funciona porque mezcla autoridad y miedo: nadie quiere problemas con Hacienda. Conviene que conozcas los más frecuentes para no morder el anzuelo.
- Falsa devolución de Hacienda: "tiene una devolución pendiente, introduzca los datos de su tarjeta para recibirla". La Agencia Tributaria nunca pide datos bancarios por correo ni envía enlaces para cobrar devoluciones.
- Correos / paquete retenido: "su envío requiere el pago de 1,79 euros de aduana". El importe ridículo es deliberado: lo pagas sin pensar y entregas los datos de la tarjeta.
- Multa de la DGT: un correo con una supuesta sanción de tráfico y un botón para "pagar con descuento". La DGT notifica por la Dirección Electrónica Vial, no por correos con enlaces de pago.
- Seguridad Social / SEPE: "actualice sus datos para no perder su prestación". Otro clásico que juega con la necesidad económica.
La regla de oro es siempre la misma: ningún organismo serio te va a pedir que metas los datos de tu tarjeta a través de un enlace recibido por SMS o correo. Si tienes dudas, entra tú mismo a la sede electrónica oficial escribiendo la dirección a mano, nunca pinchando.
Cómo redactar una denuncia de phishing que sirva de verdad
Una denuncia vale tanto como los datos que contiene. Las que se quedan en "me han estafado por internet" no llevan a ninguna parte. Cuando vayas a denunciar, intenta que tu relato incluya, de forma ordenada, lo siguiente:
- Cronología exacta: fecha y hora del mensaje recibido, momento en que pinchaste o llamaste, y hora de cada cargo no autorizado.
- El canal y el contenido del engaño: número de teléfono o dirección de correo del remitente, texto literal del mensaje y la URL de la web falsa si la conservas.
- Los importes y destinos: cada operación no reconocida, con su cantidad y, si aparece, el beneficiario o comercio.
- Las gestiones ya hechas: que avisaste al banco, a qué hora y por qué medio. Esto demuestra tu diligencia.
- La documentación que aportas: enumera las capturas, los justificantes bancarios y cualquier grabación.
Cuanto más concreto seas, más útil será para la investigación y más sólida será tu posición frente al banco. Un relato vago, en cambio, deja huecos que la entidad aprovechará.
Qué pasa después de denunciar: expectativas realistas
Voy a ser honesto contigo, porque prefiero eso a venderte humo. La denuncia penal por phishing rara vez termina con el estafador detenido y tu dinero devuelto por esa vía. Las redes operan desde el extranjero, usan cuentas mula y blanquean el dinero en cuestión de horas. La investigación existe y a veces da frutos, sobre todo cuando hay muchas víctimas del mismo grupo, pero no cuentes con que sea tu vía de recuperación.
¿Entonces para qué denunciar? Por tres motivos concretos: primero, porque el banco te exigirá el número de denuncia para tramitar tu reclamación; segundo, porque acumula casos que pueden destapar una trama mayor; y tercero, porque deja constancia oficial de que fuiste víctima, lo que protege tu posición si más adelante hay que ir a juicio. La vía rápida de recuperar el dinero sigue siendo la reclamación al banco, no el procedimiento penal.
Cómo blindarte para que no vuelva a pasar
Recuperar el dinero es la mitad del trabajo; la otra mitad es que no te vuelva a ocurrir. Estos hábitos sencillos cierran la mayoría de las puertas que usa el phishing.
- Activa la verificación en dos pasos en el banco, el correo y todas las apps de pago.
- Nunca pinches enlaces de SMS o correos para entrar a tu banco. Usa siempre la app oficial o teclea la dirección.
- Desconfía de la urgencia. Ningún banco te bloquea la cuenta en cinco minutos por no pinchar un enlace. La prisa es la firma del estafador.
- Configura alertas de movimientos por SMS o notificación para detectar cargos al instante.
- No compartas nunca un código de un solo uso. Ese código autoriza una operación; darlo equivale a firmar.
¿Necesitas un abogado para denunciar phishing?
Para poner la denuncia en sí, no. La puedes presentar tú. Pero recuperar el dinero es otra historia. Cuando el importe es relevante o el banco se atrinchera en la negligencia, contar con un abogado especializado cambia el resultado: sabe cómo redactar la reclamación para no darle argumentos a la entidad, conoce la jurisprudencia aplicable a tu variante de fraude y lleva el caso por la vía más rápida.
En estos casos colaboramos con el despacho RLex Abogados, especializado en reclamaciones bancarias y fraude online. La valoración inicial de tu caso es gratuita y sin compromiso: te dicen con franqueza si tienes opciones reales antes de que muevas un solo papel.
¿Te han hecho phishing y no sabes por dónde empezar?
Cuéntanos tu caso. Un abogado especializado lo valora gratis y te dice si puedes recuperar tu dinero.
Valoración gratuita del casoPreguntas frecuentes sobre denunciar phishing
Temas relacionados
- Denunciar phishing ante la Guardia Civil: el proceso concreto ante el Grupo de Delitos Telemáticos.
- Vishing en PayPal: cómo detectar el fraude telefónico que suplanta a PayPal.
- Recuperar dinero de una estafa online: las vías para reclamar tu importe.
Abogado · Derecho bancario y fraude online
Especialista en reclamaciones por phishing y operaciones bancarias no autorizadas. Acompaña a víctimas de fraude digital en todo el proceso, de la denuncia al reembolso.