- Desarticulada una organización que habría cometido cerca de 1.000 estafas tecnológicas mediante SMS en España
- El grupo operaba desde chalés de lujo en Torrevieja con un laboratorio para enrolar tarjetas y clonar medios de pago
- La red usaba smishing, suplantando bancos, telecos y organismos públicos para robar credenciales bancarias
- 14 detenidos, casi 200 víctimas identificadas y más de 200.000 euros de perjuicio económico, con ramificaciones europeas
La Guardia Civil ha desarticulado una red criminal especializada en estafas tecnológicas mediante SMS que había convertido a Torrevieja en uno de los principales focos de smishing de España. La investigación, iniciada a comienzos de 2024, ha permitido esclarecer cerca de un millar de fraudes con medios de pago cometidos contra víctimas repartidas por prácticamente todo el territorio nacional.
Según los datos facilitados por el Instituto Armado, la organización habría causado un perjuicio económico que supera los 200.000 euros, con alrededor de 200 afectados ya identificados. Aunque los destinatarios de los mensajes estaban repartidos por más de 40 provincias, los cargos fraudulentos se concentraban en la Vega Baja del Segura y, de forma muy especial, en Torrevieja, donde se encontraban los principales cerebros del entramado.
Una red de smishing perfectamente estructurada
Los investigadores constataron la existencia de un circuito clandestino muy organizado dedicado al mercadeo ilícito de medios de pago, tanto físicos como virtuales. No se trataba de un grupo improvisado, sino de una estructura jerarquizada que iba desde los especialistas en robar datos hasta las denominadas «mulas», pasando por varios escalones intermedios.
En la parte alta del organigrama se situaban los responsables técnicos que diseñaban las campañas de smishing, creaban las páginas fraudulentas y gestionaban el enrolamiento masivo de tarjetas en dispositivos móviles. En niveles intermedios operaban personas dedicadas a la gestión de tarjetas, SIM y dispositivos, encargadas de mover el dinero y coordinar los cobros en distintos puntos del país.
El último eslabón lo componían las mulas, que eran quienes sacaban el dinero o realizaban pagos con las tarjetas comprometidas. Estas personas se dedicaban a efectuar extracciones de efectivo en cajeros automáticos y a realizar compras y apuestas en establecimientos comerciales, salones de juego y casas de apuestas, especialmente en la zona de Torrevieja y municipios cercanos.
La operación ha ido dirigida por el Área de Investigación del Puesto Principal de Torrevieja, con el apoyo de unidades de Almoradí, Dolores, Santa Eulalia (Ibiza), Villamalea (Albacete) y la USECIC de Alicante. Gracias a esta coordinación se pudo seguir el rastro de los cargos y conectar cientos de operaciones fraudulentas dispersas en más de 40 provincias.
Modus operandi: SMS falsos, webs clonadas y robo de credenciales
El funcionamiento del fraude se apoyaba en campañas masivas de smishing, es decir, envío de SMS fraudulentos que simulaban proceder de bancos, grandes compañías de telecomunicaciones o incluso organismos públicos como la DGT. El objetivo era siempre el mismo: conseguir que la víctima pinchase en un enlace y facilitase sus datos bancarios.
Los mensajes solían alertar de incidencias con pedidos, cargos no reconocidos o bloqueos de cuenta, buscando provocar una reacción inmediata. Aprovechaban la confianza que todavía genera el SMS, un canal que muchos usuarios asocian a comunicaciones legítimas de bancos, servicios de paquetería o sistemas de verificación.
Al acceder al enlace, el usuario era redirigido a páginas web que imitaban con gran fidelidad a las de entidades financieras y organismos oficiales. En estas webs, las víctimas introducían sus credenciales: usuario, contraseña, códigos de verificación o datos completos de la tarjeta.
Una vez en manos de los estafadores, esta información se utilizaba para enrolar tarjetas en teléfonos móviles controlados por la organización, o para clonar medios de pago físicos. Desde esos dispositivos, la red ejecutaba cargos, extracciones de efectivo y pagos no autorizados en cuestión de minutos, a menudo antes de que el titular detectase cualquier anomalía.
En uno de los hilos de la investigación se llegó a documentar el envío de miles de SMS desde medio centenar de números de teléfono distintos, una estrategia que dificultaba la detección y el bloqueo automático por parte de operadoras y entidades bancarias.
Laboratorio tecnológico en chalés de lujo de Torrevieja
Para poder operar a gran escala, la organización había instalado un auténtico laboratorio tecnológico en chalés de lujo de Torrevieja. En estos inmuebles se centralizaba el enrolamiento de tarjetas, la gestión de dispositivos móviles y buena parte de la infraestructura digital del grupo.
En la primera gran entrada y registro, llevada a cabo entre julio y agosto de 2025 en uno de estos chalés, los agentes localizaron 65 teléfonos móviles de última generación listos para ser utilizados en nuevas campañas delictivas. Junto a ellos se incautaron billeteras de criptomonedas, tarjetas prepago anónimas y diverso material informático empleado para coordinar los ataques.
En esa actuación fueron detenidas dos personas, de 44 y 36 años, una de las cuales ingresó en prisión por orden del Juzgado de Instrucción nº 2 de Torrevieja. Según los investigadores, la caída de este primer núcleo evitó que salieran al mercado numerosos dispositivos ya preparados, lo que habría multiplicado exponencialmente el número de ciberestafas.
Meses más tarde, en octubre de 2025, se practicó un segundo registro en otro chalet de la localidad, esta vez centrado en una ramificación especializada en el uso de tarjetas físicas sustraídas o clonadas. Allí fueron arrestados tres integrantes del grupo, acusados de utilizar tarjetas comprometidas para cometer fraudes en cajeros, comercios y salones de juego.
Durante estas intervenciones se incautó también abundante material tecnológico: ordenadores, tabletas, routers, terminales de punto de venta (TPV) e incluso inhibidores de frecuencia, dispositivos que evidencian el grado de profesionalización de la red y las medidas de seguridad que adoptaban para eludir posibles seguimientos.
Tres fases de investigación y detenciones en varias provincias
La operación policial se diseñó en tres grandes fases coordinadas, dada la complejidad del entramado y la dispersión geográfica de las víctimas y de parte de los integrantes de la organización.
En la primera etapa, desarrollada a lo largo de 2024 y los primeros meses de 2025, la Guardia Civil se centró en identificar el patrón común de las estafas y trazar el circuito del dinero. Desde Torrevieja se dirigían campañas que afectaban a usuarios de hasta 40 o más provincias españolas, lo que obligó a implicar a diversas unidades territoriales.
Durante la segunda fase, entre enero y octubre de 2025, las pesquisas se orientaron hacia la ramificación que explotaba tarjetas físicas, en muchos casos de una misma entidad bancaria. Esta línea de trabajo permitió vincular los cargos indebidos detectados en cajeros y comercios con los dispositivos y tarjetas localizados en los chalés de Torrevieja.
La tercera y última fase se concentró entre los días 19 y 24 de noviembre de 2025, cuando se lanzaron las detenciones finales de los miembros de la red que seguían en activo. Estos arrestos se produjeron en Torrevieja, otras localidades de la provincia de Alicante, puntos de Albacete y la isla de Ibiza, donde algunos miembros trataban de continuar con la actividad delictiva.
En total, a lo largo de todo el dispositivo, la Guardia Civil ha detenido a 14 personas, 11 hombres y 3 mujeres, de entre 22 y 52 años. En función de su grado de implicación, se les atribuyen delitos de estafa continuada, hurto, receptación, falsedad documental, pertenencia a organización criminal y usurpación del estado civil.
Balance: casi un millar de estafas y víctimas también en otros países
El resultado de la investigación ofrece una dimensión clara de la capacidad operativa de esta red. Gracias al trabajo de las distintas unidades implicadas se han esclarecido más de 986 estafas tecnológicas relacionadas con la misma organización, muchas de ellas en grado de tentativa al detectarse movimientos sospechosos antes de que se completara el fraude.
El perjuicio económico global supera los 200.000 euros, una cifra que podría aumentar a medida que avancen las diligencias y se confirmen nuevos casos. Hasta el momento se han identificado cerca de 200 víctimas en España, repartidas por varias decenas de provincias, desde la zona de Levante hasta comunidades del norte peninsular.
Además, los investigadores manejan indicios de que parte de la actividad de la red afectó también a ciudadanos de otros países europeos. Se trabaja con la hipótesis de que haya perjudicados en Lituania, Chipre, Polonia, Francia y Grecia, entre otros Estados, por lo que no se descartan nuevas actuaciones en coordinación con autoridades policiales de la Unión Europea.
En lo que respecta al material intervenido, las cifras son igualmente relevantes: 74 teléfonos móviles, 85 tarjetas SIM, varios ordenadores y tabletas, un terminal de punto de venta, routers, inhibidores de frecuencia, tarjetas prepago con saldo por valor de unos 12.000 euros, además de billeteras de criptomonedas y otros dispositivos tecnológicos concebidos para sostener la maquinaria delictiva.
La Guardia Civil subraya que este golpe ha neutralizado la capacidad operativa de una de las redes de smishing más activas detectadas en España en los últimos tiempos, al desmantelar tanto la parte tecnológica como la logística y financiera del grupo.
Por qué funcionan tan bien las estafas por SMS
Más allá de este caso concreto, los expertos en ciberseguridad vienen advirtiendo de un aumento sostenido de los fraudes basados en SMS y mensajería móvil, especialmente en periodos como la campaña navideña o grandes eventos de compras online, cuando se disparan los pedidos y los avisos de entrega.
Desde el sector se señala que el éxito del smishing no depende solo de la tecnología que utilizan los delincuentes, sino también de hábitos muy extendidos entre los usuarios. La llamada «fatiga de notificaciones» hace que muchas personas pulsen en enlaces casi de forma automática, sin detenerse a comprobar quién envía el mensaje ni qué dirección web se está abriendo.
Otro factor de riesgo es la reutilización de contraseñas y credenciales en múltiples servicios. Si una víctima introduce su usuario y clave en una página fraudulenta, y utiliza esa misma combinación en otros portales, el impacto de la filtración se multiplica. A esto se suma la exposición de datos personales en redes sociales, que facilita la creación de mensajes cada vez más personalizados y creíbles.
Las empresas especializadas en ciberseguridad advierten, además, de que la inteligencia artificial está elevando el nivel de sofisticación de estas estafas. Hoy es relativamente sencillo generar textos sin faltas de ortografía, simular el tono de una entidad concreta o incluso producir suplantaciones de voz y vídeos falsos para apoyar fraudes más complejos dirigidos a empresas (vishing o deepfakes).
Pese a todo, el consejo de los profesionales es claro: no hace falta ser técnico para detectar la mayoría de estos engaños. Pararse unos segundos, desconfiar de los mensajes que exigen actuar «ya» y comprobar siempre por canales oficiales (app del banco, teléfono de atención al cliente, web tecleada manualmente) son medidas sencillas que bloquean buena parte de los intentos de fraude.
Cómo actuar si has caído en una estafa de smishing
Los casos investigados en esta macrooperación muestran que la rapidez en reaccionar marca la diferencia entre un susto y un agujero económico de mayor calado. Cuando alguien introduce sus datos en una página falsa o detecta cargos que no reconoce, cada minuto cuenta.
Los especialistas recomiendan, en primer lugar, contactar de inmediato con la entidad bancaria para bloquear tarjetas, cuentas o medios de pago vinculados, y solicitar la anulación de operaciones sospechosas. Muchas tarjetas y plataformas de pago disponen de mecanismos de protección al comprador que permiten revertir parte del daño si se actúa con rapidez.
Es importante también cambiar las contraseñas de los servicios implicados y de cualquier otra cuenta donde se usen credenciales similares. A continuación, conviene reunir toda la información posible sobre el fraude (mensajes recibidos, capturas de pantalla, justificantes de cargos) y presentar denuncia ante las fuerzas y cuerpos de seguridad.
En el ámbito empresarial, los expertos recomiendan reforzar la formación interna en ciberseguridad y la cultura de «verificar antes de actuar», especialmente en departamentos sensibles como finanzas, administración o recursos humanos. Un simple procedimiento interno que exija una segunda comprobación por otro canal antes de autorizar pagos o cambios de cuenta puede evitar incidentes graves.
Aunque la tecnología de los bancos y plataformas de pago ha mejorado notablemente —con sistemas de autenticación reforzada, biometría y análisis de patrones de comportamiento—, la realidad es que el eslabón más vulnerable sigue siendo la conducta diaria de los usuarios. Por eso, la concienciación se ha convertido en una pieza tan clave como las propias herramientas de seguridad.
Todo este operativo contra la red de smishing con base en Torrevieja pone de relieve hasta qué punto las estafas tecnológicas mediante SMS han dado el salto a una escala industrial, combinando infraestructuras sofisticadas, chalés convertidos en laboratorios digitales y equipos organizados por funciones muy concretas. A la vez, muestra que la colaboración entre unidades policiales, la cooperación internacional y unos hábitos digitales más prudentes por parte de la ciudadanía son factores decisivos para frenar este tipo de delitos que, con unos pocos clics, pueden vaciar cuentas a cientos de kilómetros de distancia.