El phishing es el tipo de fraude online mas frecuente en Espana. La Guardia Civil tiene el Grupo de Delitos Telematicos (GDT) especializado. Denunciar temprano y con pruebas solidas es clave.
¿Quieres que un abogado estudie tu caso?
Valoración inicial sin coste · respuesta en menos de 24 horas laborables.
Phishing: emails o SMS que suplantan identidad de bancos/Hacienda para que entres credenciales. Smishing: por SMS. Vishing: por llamada de voz. Quishing: por QR. En 2026 las variantes mas frecuentes son SMS de 'tu paquete ha sido retenido' y emails de 'tu cuenta sera bloqueada'.
(1) Denuncia PRESENCIAL en Guardia Civil o Policia: para estafas con dinero ya robado (>400 euros). (2) Denuncia online via policia.es o Guardia Civil online: para intento de phishing sin perdida economica, avisos previos. (3) INCIBE (incibe.es) para asesoramiento tecnico previo. (4) Tu banco si el dinero ya esta perdido.
Capturas/impresiones de: email o SMS recibido (con cabeceras completas), pagina web falsa, transacciones sospechosas, comunicaciones con el estafador. Justificantes bancarios de operaciones no autorizadas. DNI. Si hay llamada grabada, la grabacion. Cuanto mas material aportes, mas efectiva la investigacion.
Si el phishing logro retiros de tu cuenta, tienes 13 meses para reclamar al banco (Ley de Servicios de Pago 2018). El banco debe devolver el dinero en 10 dias habiles SI NO puede probar que hubo negligencia grave por tu parte. Esta es la via mas rapida y efectiva de recuperacion.
Si el banco rechaza la devolucion, hay dos vias: (1) Servicio de reclamaciones del Banco de Espana (gratuito, 4 meses). (2) Demanda judicial civil (si >400 euros + si el asunto es claramente fraude). La via Banco de Espana resuelve el 60% de casos favorablemente.
Es la primera bifurcacion y conviene tenerla clara. La denuncia online de la Guardia Civil y de la Policia Nacional existe para hechos sin autor conocido y es comoda: la haces desde casa y obtienes un resguardo con numero de registro. Pero tiene un limite importante. Algunos delitos exigen ratificacion presencial en un plazo de 72 horas, y cuando ya hay dinero robado lo razonable es acudir en persona para que la denuncia recoja todos los detalles tecnicos.
La denuncia presencial ante el Grupo de Delitos Telematicos (GDT) de la Guardia Civil te permite explicar la cronologia, aportar las pruebas en mano y resolver dudas con un agente especializado. Si tuviera que elegir por ti: si hay perdida economica, presencial; si fue solo un intento sin cargo, la via online es suficiente para dejar constancia.
Te lo digo por experiencia con muchos casos: el factor que mas dinero hace perder no es el engano en si, sino el tiempo que tarda la victima en avisar al banco. Cada hora cuenta. Si el dinero todavia no ha salido de la entidad de destino, a veces se puede frenar la transferencia. Y, sobre todo, la comunicacion temprana es la prueba de tu diligencia, que es justo lo que el banco necesitaria para no devolverte.
Llama al telefono oficial de tu banco en cuanto detectes el fraude, pide el bloqueo de tarjetas y banca online, y deja constancia por escrito (correo o mensaje desde la banca online) de que no autorizaste las operaciones. Ese documento, con fecha y hora, vale tanto como la propia denuncia.
Una denuncia vale lo que valen sus pruebas. Reune, antes de ir, este material: capturas del SMS o correo con remitente y hora visibles, la URL de la web falsa si aun carga, los justificantes de las operaciones no reconocidas, cualquier conversacion con el estafador y, si la hubo, la grabacion de la llamada. Guarda tambien la cabecera completa del correo: ese dato tecnico permite a los investigadores rastrear el origen.
Cuanto mas concreto sea tu relato (fechas, horas exactas, importes, beneficiarios), mas util sera para la investigacion y mas solida sera tu posicion frente al banco. Un relato vago deja huecos que la entidad aprovechara para alegar negligencia.
Aqui esta la parte que casi nadie te cuenta. El marco legal lo fija el Real Decreto-ley 19/2018 de servicios de pago, que traspuso la directiva europea PSD2. Su articulo 45 obliga al banco a reembolsar las operaciones no autorizadas, en principio a mas tardar al final del dia habil siguiente, salvo que pruebe fraude o negligencia grave por tu parte. Y la carga de esa prueba es del banco, no tuya.
La jurisprudencia viene recordando que la sofisticacion del engano juega a favor de la victima: si el phishing era tan bueno que cualquier persona razonable habria caido, no hay negligencia grave. El plazo para reclamar es de 13 meses desde el cargo. Si el banco se niega, tienes dos escalones: el Servicio de Reclamaciones del Banco de Espana (gratuito, unos cuatro meses) y, despues, la via judicial civil.
Voy a ser honesto: la denuncia penal por phishing rara vez termina con el estafador detenido y tu dinero devuelto por esa via. Las redes operan desde el extranjero, usan cuentas mula y mueven el dinero en horas. La investigacion existe y a veces da frutos, sobre todo cuando hay muchas victimas del mismo grupo, pero no cuentes con ella como tu via de recuperacion.
Entonces, para que denunciar? Por tres motivos: el banco te exigira el numero de denuncia para tramitar tu reclamacion, tu caso suma a una posible trama mayor, y deja constancia oficial de que fuiste victima, lo que protege tu posicion si hay que ir a juicio. La via rapida de recuperar el dinero sigue siendo la reclamacion al banco.
Recuperar el dinero es la mitad del trabajo; la otra mitad es que no vuelva a pasar. Activa la verificacion en dos pasos en el banco y el correo, no pinches nunca enlaces de SMS o correos para entrar a tu banco (usa la app oficial o teclea la direccion), desconfia de la urgencia (ningun banco te bloquea la cuenta en cinco minutos), configura alertas de movimientos y no compartas jamas un codigo de un solo uso: ese codigo autoriza una operacion, darlo equivale a firmar.
Conocer al enemigo es media defensa. Estas son las modalidades que mas estamos viendo este ano, y todas comparten el mismo truco: prisa y autoridad. El smishing (SMS) sigue siendo el rey, con el clasico "tu paquete esta retenido" o "acceso no autorizado a tu cuenta"; lo peligroso es que el mensaje se cuela en el mismo hilo de los SMS legitimos de tu banco gracias a la suplantacion del remitente.
El vishing (llamada) ha ganado terreno: te llaman haciendose pasar por el departamento de fraude, te meten miedo y te piden confirmar codigos. El quishing (codigo QR) es el mas reciente, con QR falsos pegados encima de los reales en parkings, restaurantes o supuestas multas. Y el phishing que suplanta a la Administracion (Hacienda con una "devolucion pendiente", Correos con un "pago de aduana" de pocos euros, la DGT con una "multa con descuento") explota el miedo a tener un problema con un organismo publico. La regla de oro no cambia: ningun organismo serio te pide los datos de la tarjeta por un enlace recibido por SMS o correo.
Una denuncia generica del tipo "me han estafado por internet" no lleva a ninguna parte. Cuando declares, intenta que tu relato incluya, ordenadamente: la cronologia exacta (hora del mensaje, momento en que picaste, hora de cada cargo), el canal y contenido del engano (numero o correo del remitente, texto literal, URL de la web falsa), los importes y destinos de cada operacion no reconocida, las gestiones que ya hiciste con el banco (con su hora) y la lista de la documentacion que aportas.
Ese nivel de detalle cumple dos funciones: ayuda a la investigacion y, sobre todo, demuestra tu diligencia, que es justo lo que necesitas para que el banco no pueda escudarse en una supuesta negligencia tuya. Si tienes dudas sobre como describir el momento en que facilitaste un codigo, conviene que un abogado revise lo que vas a firmar: una frase mal medida puede usarse en tu contra.
Lo cuento porque resume todo lo anterior. Un jubilado de Valencia recibio un SMS de "su banco" avisando de un acceso sospechoso. Pincho, metio sus claves y confirmo un codigo. En once minutos le sacaron 4.200 euros. Fue corriendo a comisaria a denunciar y se quedo tranquilo pensando que ya estaba todo en marcha. Pero no aviso al banco hasta tres dias despues.
Ese silencio de tres dias fue lo que la entidad uso para alegar negligencia. Se pudo reconducir gracias a la denuncia con fecha y a que el engano era sofisticado, pero costo mucho mas de lo que habria costado una simple llamada el primer dia. La leccion es la misma de siempre: denunciar esta bien, pero avisar al banco al instante y por escrito es lo que de verdad protege tu dinero.
Para presentar la denuncia, no hace falta abogado: la puedes poner tu. Pero recuperar el dinero es otra historia. Hay tres situaciones en las que merece la pena que un profesional tome el timon: cuando el importe es relevante, cuando el banco se niega alegando negligencia grave y cuando han pasado semanas sin una respuesta clara. En esos casos, la forma de redactar la reclamacion marca la diferencia entre cobrar todo o quedarte sin nada.
Un abogado especializado conoce la jurisprudencia aplicable a cada variante de fraude, sabe que argumentos desmontan la acusacion de negligencia y elige la via mas rapida. Para estos casos colaboramos con el despacho RLex Abogados, que estudia tu caso de forma gratuita y te dice con franqueza si tienes opciones reales antes de que muevas un solo papel.
Analisis previo sin compromiso. Trabajamos a cuota litis: solo cobramos si ganamos.
Solicitar estudio gratuitoNO pinchar en el enlace. Borrar el SMS. Si ya pinchaste y rellenaste datos, cambia inmediatamente la contraseña de tu banco y avisa al banco. Denuncia online via policia.es si no hay perdida economica (para engrosar el registro de casos).
Depende del caso. Si compartiste la clave del 2FA porque alguien te llamo diciendose empleado del banco, es negligencia grave (los bancos NUNCA piden claves). Si el phishing fue muy sofisticado (dominio casi igual al real), no es negligencia y el banco debe devolver.
Meses o anos. Los delitos telematicos son complejos (jurisdicciones, paises distintos). La Guardia Civil investiga en segundo plano; raramente informan del progreso. Lo importante es reclamar al banco a la vez, que es la via rapida de recuperacion del dinero.