Durante el segundo trimestre de 2026, el Equipo de Análisis de Fraude de la Policía Nacional y el INCIBE-CERT documentaron un repunte sostenido en campañas de smishing dirigidas a clientes de entidades financieras y operadores de telecomunicaciones españoles, con especial incidencia en la suplantación de organismos públicos. El volumen de incidencias reportadas al INCIBE en el primer semestre de 2026 supera en un 18% el registrado en el mismo periodo de 2025, según datos preliminares publicados por el organismo en julio de 2026. Este informe ordena las tipologías por impacto operativo, no por alarma mediática.
Las tipologías de fraude predominantes en España durante Q2 2026 son cinco: suplantación de operadores de paquetería, phishing bancario con dominio de urgencia, suplantación de la AEAT en periodo de campaña de renta, fraude sobre Bizum mediante ingeniería social telefónica, y un patrón emergente de suplantación combinada operador-RRSS que los equipos de detección convencionales no suelen correlacionar a tiempo.
¿Por qué Q2 2026 supone un punto de inflexión para los comités de riesgos?
El contexto regulatorio amplifica la urgencia operativa. El Reglamento DORA (Reglamento UE 2022/2554), aplicable desde enero de 2025, establece en su artículo 17 la obligación de clasificar y notificar incidentes TIC significativos. Los ataques de ingeniería social que culminan en transacciones fraudulentas sobre canales digitales de la entidad no son, bajo DORA, un problema del cliente: son un evento de riesgo operacional notificable si afectan a la continuidad o integridad del servicio. Paralelamente, la revisión de PSD2 en curso —PSD3 y el Reglamento de Servicios de Pago— introduce obligaciones reforzadas de autenticación y de trazabilidad del consentimiento. El fraude por suplantación de canal es, en ese marco, un vector de incumplimiento, no solo de pérdida económica.
"Las entidades deberán disponer de capacidades de detección que permitan identificar anomalías en el comportamiento de los canales de comunicación con el cliente, incluyendo el vector SMS, como parte de su gestión del riesgo TIC." — EBA Guidelines on ICT and security risk management (EBA/GL/2019/04), criterio reiterado en las orientaciones de supervisión del Banco de España para 2025-2026.
¿Cuáles son las cinco tipologías dominantes en Q2 2026 y qué señales las distinguen?
I. Suplantación de operadores de paquetería
Sigue siendo la tipología de mayor volumen bruto. El mensaje tipo invoca una retención aduanera o una tasa de gestión pendiente, con un enlace a dominios del patrón correos-envio-pendiente[.]net/verificar o similares. La cadena de fraude es corta: SMS → página de captura de tarjeta → cargo inmediato o venta de datos en mercados cerrados. La señal distintiva en Q2 2026 es el uso de números de teléfono con prefijo nacional real (no +44 ni +34 largo), obtenidos mediante SIM swapping previo o alquiler de numeración en el mercado gris. Esto dificulta el filtrado por reputación de remitente sin análisis de contenido.
II. Phishing bancario con dominio de urgencia
La segunda tipología por frecuencia combina SMS con una llamada posterior de validación, en lo que los analistas denominan vishing de refuerzo. El dominio fraudulento imita la cabecera visual del banco (banco-operaciones[.]net/acceso-seguro) y solicita credenciales bajo pretexto de bloqueo de cuenta. En Q2 2026 se observa una mayor sofisticación en el certificado TLS del sitio de phishing: el 74% de los sitios detectados en campañas activas contaban con certificado válido, lo que inutiliza el indicador del candado como señal de seguridad para el cliente final. Fuente: informe de tendencias de INCIBE sobre sitios fraudulentos, primer semestre 2026.
III. Suplantación de la AEAT en periodo de campaña de renta
Concentrada en abril-junio, coincidiendo con el plazo de presentación del IRPF. El mensaje indica una devolución pendiente de tramitación con enlace a formulario de datos bancarios. La AEAT publicó en mayo de 2026 un aviso oficial recordando que el organismo nunca solicita datos de cuenta por SMS ni por correo electrónico. La ventana de exposición es estrecha pero el volumen en ese periodo es intenso: el receptor está condicionado a esperar comunicaciones de la agencia, lo que reduce el umbral de desconfianza. Los dominios detectados siguen el patrón aeat-devolucion[.]es/gestion con variantes de subdominio.
IV. Fraude sobre Bizum mediante ingeniería social telefónica
El atacante llama al usuario suplantando al servicio de atención al cliente de su banco. Comunica que existe un cargo sospechoso en su cuenta y solicita que el cliente "cancele" la operación enviando una solicitud de Bizum al número del supuesto agente. En la práctica, el cliente envía dinero activamente. Esta tipología es especialmente relevante para los equipos de fraude porque la transacción es autorizada por el usuario, lo que sitúa la controversia en el terreno de la autenticación reforzada de PSD2 artículo 97 y en el análisis de si la entidad activó mecanismos de monitorización de comportamiento transaccional inusual.
V. Suplantación combinada operador-red social (patrón emergente)
La tipología con menor volumen actual pero mayor potencial de escala. El fraude se articula en dos fases: primero, un mensaje SMS que simula ser el operador de telecomunicaciones del cliente (aviso de factura, actualización de datos); segundo, una comunicación por plataforma de mensajería instantánea que refuerza el relato con perfil falso de soporte. La correlación entre ambos vectores raramente llega al SOC del partner bancario, que solo ve el extremo financiero si el cliente termina cediendo credenciales. Este patrón requiere análisis de señales cruzadas entre canal SMS y comportamiento de acceso posterior, una capa que el SOC convencional no suele cubrir de forma sistemática.
¿Qué cubre VeriMsg que el SOC del partner no ve por diseño?
El SOC de una entidad financiera o aseguradora está dimensionado para monitorizar el perímetro de sus propios sistemas: accesos, transacciones, alertas de SIEM. No está orientado, ni es su función, a vigilar el canal SMS antes de que el cliente interactúe con él. VeriMsg opera en esa capa anterior: analiza el contenido, el remitente y el contexto de entrega del mensaje antes de que la interacción llegue al sistema de la entidad. Esto es relevante bajo DORA artículo 5, que exige que la gestión del riesgo TIC cubra toda la cadena hasta el cliente final, y bajo las orientaciones del Banco de España sobre riesgo operacional en medios de pago digitales.
El resultado es un veredicto estructurado por mensaje, con puntuación de riesgo (score) y señales trazables asignadas a cada fase del análisis: remitente, dominio enlazado, coherencia de contenido, patrones de campaña conocidos. Ese veredicto es auditable, lo que permite a su comité de riesgos y a sus auditores externos verificar la cadena de decisión sin depender de cajas negras.
La integración no duplica el trabajo del SOC: lo complementa en el vector que el SOC no cubre. La capa de detección de VeriMsg alimenta los paneles de riesgo existentes mediante señal estructurada, sin requerir sustitución de herramientas.
Preguntas frecuentes
¿Qué tipología de fraude por SMS es más frecuente en España en 2026?
La suplantación de operadores de paquetería sigue siendo la tipología de mayor volumen en Q2 2026, seguida del phishing bancario con dominio de urgencia. Ambas se caracterizan por el uso de dominios de corta vida y, en el caso paquetería, por numeración con prefijo nacional difícil de filtrar por reputación.
¿Obliga DORA a las entidades financieras a monitorizar el canal SMS?
DORA artículo 17 exige clasificar y notificar incidentes TIC significativos, y el artículo 5 requiere que la gestión del riesgo cubra la cadena hasta el cliente final. Si el canal SMS es vector de un incidente que afecta a la integridad del servicio, entra en el ámbito de aplicación del reglamento.
¿Qué diferencia hay entre el fraude sobre Bizum y el fraude bancario tradicional por phishing?
En el fraude sobre Bizum por ingeniería social telefónica, la transacción es autorizada activamente por el cliente bajo engaño. Eso desplaza el análisis regulatorio hacia PSD2 artículo 97 (autenticación reforzada) y hacia la monitorización de comportamiento transaccional inusual, en lugar de hacia la usurpación de credenciales.
¿Puede el SOC interno sustituir a una capa de análisis de SMS externa?
El SOC interno monitoriza el perímetro de los propios sistemas de la entidad. El canal SMS llega al cliente antes de que ningún sistema interno lo vea. Son capas complementarias por diseño, no sustitutivas. La cobertura del vector SMS requiere análisis previo a la interacción del cliente con los sistemas de la entidad.
Checklist ejecutivo: tres acciones accionables para su comité de riesgos en Q2 2026
- Mapee el vector SMS en su inventario de riesgo TIC. Revise si el canal SMS que utiliza su entidad para comunicarse con clientes está incluido en el registro de activos y riesgos exigido por DORA artículo 8. Si su entidad envía SMS transaccionales o de autenticación, el canal es un activo TIC con riesgo propio y debe tener controles documentados que sus auditores puedan revisar.
- Establezca un criterio de clasificación para incidentes de smishing que afecten a sus clientes. Defina internamente qué umbral de incidencias reportadas por clientes activa el protocolo de notificación bajo DORA artículo 17. Sin ese criterio documentado, cada incidente se gestionará de forma ad hoc, sin trazabilidad para el regulador ni para el auditor externo.
- Solicite a su proveedor de envíos SMS un informe de señales de suplantación activa. Un proveedor de mensajería con capacidad de detección debe poder informarle periódicamente de si su marca o cabeceras están siendo suplantadas en campañas activas. Si ese informe no existe o no tiene periodicidad definida, existe un punto ciego en su cadena de gestión del riesgo operacional. El repositorio de alertas de INCIBE-CERT puede servir como contraste externo mientras se formaliza ese canal con el proveedor.
Para acceder al Pilot Readiness Pack de VeriMsg — que incluye la metodología de análisis de señales, el esquema de integración con paneles de riesgo existentes y el marco de reporte alineado con DORA artículo 17 — contacte con el equipo de VeriMsg a través del formulario de piloto institucional. No se requiere sustitución de infraestructura existente para iniciar la evaluación.