Acabas de reservar un viaje y, minutos después, te llega un SMS avisando de que tu banco va a ejecutar un cargo de 3.000 euros. Timo al canto
No es la Guardia Civil: la estafa de la 'Operación Endgame' para robarte datos o dinero
El Ministerio del Interior registró más de 430.000 estafas informáticas en España solo en 2025, y la mayoría empezaron con un SMS que parecía urgente y legítimo. En los primeros meses de 2026, ya se han interpuesto más de 340.000 denuncias por fraude vía SMS en el país.
Las autoridades no comparten estas cifras por mero interés estadístico, sino que buscan alertar directamente a la ciudadanía, porque los métodos están evolucionando y lo que antes se podía identificar por los fallos de ortografía ya no puede serlo. En 2026, los grupos criminales han incorporado inteligencia artificial generativa que elimina los errores que antes eran la señal de alerta más fiable.
La estafa de la domiciliación
La modalidad que más está circulando esta temporada sigue unos pasos determinados. Según ha explicado la Policía Nacional, el timo comienza tras realizar la reserva de un viaje. poco después, la víctima recibe un SMS alarmante sobre un cargo de unos 3.000 euros que supuestamente se va a ejecutar en su cuenta. El mensaje incluye un número de teléfono al que llamar si no reconoces la operación.
Ahí está la trampa. Al otro lado del teléfono no está el servicio de atención al cliente de tu banco, sino un estafador preparado para sacarte hasta la última clave de acceso. El delincuente actuará con calma y profesionalidad, utilizará la terminología bancaria correcta, y construirá un relato completamente creíble, diciéndote que hay un fallo de seguridad en tu cuenta, necesitan verificar tu identidad, te van a enviar un código al móvil que tienes que confirmar. Ese código es la autorización de una transferencia que ellos ya han preparado. En el momento en que lo lees en voz alta, el dinero ha salido.
El por qué funciona tan bien en verano es estadístico y psicológico al mismo tiempo. Justo en las semanas en que millones de personas están reservando viajes, hoteles y actividades, recibir un SMS sobre un cargo inesperado vinculado a una reserva activa no resulta extraño: resulta urgente. La urgencia es la herramienta favorita de los estafadores. No quieren que pienses: quieren que actúes.
El ecosistema del fraude vacacional
La domiciliación falsa no es el único frente al que se debe prestar atención. Las autoridades españolas han detectado en las últimas semanas un incremento notable en los intentos de fraude que aprovechan el contexto vacacional de distintas maneras.
En primer lugar estarían los alquileres vacacionales falsos. La Guardia Civil alertó del aumento de las estafas relacionadas con alquileres anunciados en redes sociales, en los que los estafadores usan plataformas como TikTok para promocionar supuestas villas y casas con precios muy por debajo del valor de mercado. Las señas de identidad son similares en todos los casos: precios atractivos, presión para pagar cuanto antes y tener que realizar una transferencia a un número que resulta ser un prepago sin rastro. Cuando la víctima quiere confirmar la visita, el falso propietario ya ha bloqueado el teléfono.
El segundo frente son las páginas web clonadas de grandes eventos. El Mundial 2026 está sirviendo de excusa perfecta para crear cientos de webs que imitan portales oficiales de venta de entradas y paquetes turísticos. Muchos usuarios, con las ganas de no quedarse sin su entrada, introducen los datos de su tarjeta en esos sitios falsos, entregando literalmente su información financiera a organizaciones criminales que operan a escala internacional.
Cómo detectar que el SMS es falso
Las señales están ahí, aunque cada vez son más difíciles de ver. El uso de lenguaje excesivamente urgente o alarmista con expresiones, como "bloqueo inmediato", "último aviso" o "cargo pendiente de ejecución", es la primera señal. El remitente también es un punto al que debemos prestar atención, ya que aunque el nombre visible puede parecer el de tu banco, la dirección real o el enlace suelen tener variaciones sospechosas, letras cambiadas o extensiones poco habituales.
La máxima a aplicar en todos los casos es simple: ningún banco te va a pedir que confirmes códigos de verificación que llegan al móvil. Esos códigos son la llave para autorizar transferencias. Ninguna entidad financiera legítima necesita que se los leas en voz alta por teléfono ni que los introduzcas en un enlace enviado por SMS. Si alguien te los pide, es un estafador.
Qué hacer si ya has caído
Si has introducido tus datos en un enlace fraudulento o has facilitado códigos a alguien por teléfono, los pasos son claros y el tiempo importa.
- Contacta con tu entidad bancaria de inmediato para bloquear tarjetas y cuentas.
- Haz capturas de pantalla de los mensajes, los enlaces y los números desde los que te contactaron, porque esas pruebas son imprescindibles para la investigación posterior.
- Acude a la comisaría más cercana o interpón la denuncia online ante la Policía Nacional o la Guardia Civil.
La Guardia Civil insiste en que en caso de sospechar haber sido víctima de una estafa, hay que contactar inmediatamente con la entidad bancaria para intentar bloquear o revertir la operación. Cada minuto cuenta.