Una nueva ola de phishing mediante SMS falsos que suplantan a la Dirección General de Tráfico (DGT) está circulando en España. Los mensajes alertan de un supuesto peaje pendiente, exigen pago inmediato y redirigen a páginas fraudulentas. No hay multas reales. Solo intentos de robo de datos bancarios y personales. La Guardia Civil de Navarra ya ha detectado varios casos en fase de tentativa. No hay víctimas confirmadas, pero el riesgo es real y creciente.
¿Cómo funciona la estafa de la DGT por SMS?
Los ciberdelincuentes envían mensajes de texto que imitan notificaciones oficiales. El texto menciona un impago en una vía de peaje, una multa inminente y un enlace para regularizarlo. El enlace lleva a una web falsa que replica el diseño de la DGT. Allí, la víctima introduce sus datos personales, número de tarjeta o credenciales de acceso.
Este tipo de ataque explota la urgencia y la confianza en instituciones públicas. La suplantación es técnica y cuidadosa: logotipos, colores y lenguaje imitan los canales oficiales. Pero la DGT nunca notifica sanciones ni deudas por SMS ni por correo electrónico.
¿Qué dice la normativa sobre notificaciones oficiales?
La Ley 39/2015, de Régimen Jurídico del Sector Público, exige que las notificaciones administrativas con efectos sancionadores se realicen por correo postal certificado o mediante la Dirección Electrónica Vial (DEV). La DEV es un canal seguro y personalizado, vinculado al DNI electrónico o certificado digital. Ningún organismo público usa SMS para exigir pagos inmediatos.
¿Qué hacer si recibo un SMS sospechoso de la DGT?
No pulses el enlace. No llames al número que aparece. No rellenes ningún formulario. Bloquea al remitente y elimina el mensaje. Si ya hiciste clic, actúa con rapidez: toma capturas de pantalla del mensaje, del enlace y de la página fraudulenta. Guarda todas las pruebas. Son clave para la denuncia.
¿Cuál es el impacto económico real de estas estafas?
Según datos del INCIBE, el 37 % de los ciberataques en 2025 en España tuvieron como objetivo el robo de credenciales bancarias. Cada caso resuelto tarda en promedio 12 días y cuesta al afectado 1.200 € en promedio en gestión, bloqueos y recuperación. Las estafas de peajes falsos ya han generado pérdidas superiores a 4,2 millones de euros a nivel nacional desde enero de 2026.
¿Qué medidas de seguridad recomienda el INCIBE tras hacer clic?
- Contacta inmediatamente con tu entidad bancaria para bloquear la tarjeta y anular cargos no autorizados.
- Cambia las contraseñas de todas las cuentas vinculadas al correo o teléfono afectado, especialmente banca online, DEV y identidad digital.
- Activa la autenticación en dos pasos (2FA) en todas las cuentas sensibles.
- Denuncia ante la Policía Nacional, la Guardia Civil o a través de la plataforma @alertcibers del INCIBE.
¿Cómo se relaciona esto con la movilidad y la normativa actual?
La estafa se aprovecha del creciente uso de sistemas de peaje automático como VIA-T, Toll Collect y los nuevos corredores inteligentes de la Red de Carreteras del Estado. La digitalización acelera los procesos, pero también amplía la superficie de ataque. La normativa vigente exige que los sistemas de cobro electrónico cumplan con el Reglamento (UE) 2016/679 (GDPR) y la Ley de Servicios de la Sociedad de la Información (LSSI). Sin embargo, no regula explícitamente los canales de notificación de deudas, dejando un vacío que los estafadores explotan.
¿Qué datos clave debo recordar?
- La DGT nunca envía SMS ni correos con enlaces para pagar multas o peajes.
- Las notificaciones oficiales solo llegan por correo postal o a través de la Dirección Electrónica Vial (DEV).
- El INCIBE recomienda no hacer clic, bloquear y eliminar cualquier mensaje sospechoso.
- Si ya hiciste clic, contacta a tu banco y denuncia en menos de 24 horas.
- Las capturas de pantalla y los enlaces son pruebas esenciales para la investigación policial.
Datos Clave:
- 🚫 La DGT no usa SMS para notificaciones sancionadoras.
- 📲 El canal oficial para trámites es la Dirección Electrónica Vial (DEV).
- ⚖️ La Ley 39/2015 exige notificaciones formales por vía postal o electrónica certificada.
- 💸 El costo promedio por víctima supera los 1.200 € en gestión y recuperación.
- 🛡️ El 2FA y el cambio inmediato de contraseñas reducen un 83 % el riesgo de fraude secundario.
