Alerta Estafa SMS AEMET: Cómo Funciona el Smishing y Cómo Protegerte

Última actualización: 10 mayo, 2025
Autor: Isaac
  • La AEMET nunca envía SMS ni solicita datos personales por este canal.
  • Los SMS fraudulentos instan a descargar apps con malware para robar datos.
  • Solo descarga información o apps de fuentes y tiendas oficiales.
  • Protección Civil utiliza el sistema ES-Alert, no enlaces ni apps externas para alertas.

estafa-sms-aemet

En los últimos tiempos, una nueva oleada de estafas por SMS está afectando a usuarios de telefonía móvil en España. Esta vez, los ciberdelincuentes han optado por suplantar la identidad de la Agencia Estatal de Meteorología (AEMET) para aprovecharse del miedo y la desinformación generados ante fenómenos meteorológicos adversos como lluvias torrenciales, DANAs o tormentas severas. La propia AEMET, en conjunto con organismos de seguridad como la Guardia Civil y el Instituto Nacional de Ciberseguridad (INCIBE), han alertado sobre esta amenaza, explicando cómo opera el fraude, cuáles son sus riesgos y qué medidas tomar para mantenerse a salvo.

¿En qué consiste la estafa SMS que suplanta a AEMET?

estafa aemet

El timo empieza con la recepción de un mensaje SMS aparentemente enviado por la AEMET. El contenido del mismo suele ser alarmista, informando de una supuesta e inminente tormenta severa en la región del destinatario, usando frases como: “Se prevé una tormenta severa en su región. Prepárese y manténgase a salvo. Descargue la APP”. El mensaje incluye un enlace web que parece legítimo, frecuentemente con el término «aemet» en la URL para reforzar la credibilidad.

Sin embargo, se trata de un engaño conocido como smishing, una modalidad de phishing por SMS. El objetivo es que el usuario pulse el enlace, el cual no lleva a ninguna app oficial, sino a una página fraudulenta diseñada para infectar el dispositivo móvil o para robar información confidencial. Entre los riesgos están el robo de contraseñas, datos bancarios, credenciales de acceso a aplicaciones y hasta el control completo del dispositivo mediante malware, habitualmente un troyano bancario en terminales Android.

Los ciberdelincuentes cuidan detalles técnicos como configurar el nombre del remitente para que aparezca como “AEMET”, e incluso intentan copiar el aspecto visual de la web oficial de la agencia. Estas técnicas buscan bajar la guardia de las víctimas para que confíen y actúen precipitadamente.

Cómo actúan los ciberdelincuentes: Estrategias y trampas habituales

cuidado-sms-aemet

Este fraude aprovecha el factor emocional y el contexto de incertidumbre social ante alertas meteorológicas reales. Tras episodios como DANAs o temporales intensos, los estafadores aumentan la difusión de estos SMS para coincidir con el clima de preocupación ciudadana. De esta forma, vinculan la urgencia y el miedo a la necesidad de obtener información veraz al instante, instando a los usuarios a descargar supuestas aplicaciones de seguridad o seguimiento meteorológico.

Los enlaces incluidos en el SMS suelen redirigir a dominios sospechosos, como “aemet.blog” u otras URLs que no coinciden con el dominio oficial (www.aemet.es). Estos sitios, además de imitar visualmente la web institucional, pueden poner en marcha la descarga automática de archivos maliciosos, usualmente una aplicación APK para Android con funciones de troyano bancario y control remoto. Algunos portales de análisis de dominios, como URL Void o Virus Total, identifican estos links como inseguros y advierten sobre riesgos de infección.

En muchos casos, solo si el usuario accede al enlace desde un dispositivo Android se inicia la descarga de la aplicación falsa, mientras que los usuarios de otros sistemas operativos son redirigidos simplemente a la web oficial de la AEMET para disminuir sospechas. El malware instalado tiene la capacidad de robar credenciales bancarias, contraseñas, datos de tarjetas y hasta operar transferencias no autorizadas, dejando las cuentas de las víctimas en manos de los delincuentes.

Indicadores para identificar un SMS fraudulento de la AEMET

  • Remitente que simula ser AEMET: el mensaje puede aparecer en la bandeja de entrada bajo el nombre “AEMET”, aunque proceda de números desconocidos o genéricos.
  • Lenguaje alarmista y tono de urgencia: frases como “tormenta severa”, “manténgase a salvo” o “descargue la app ahora” buscan provocar una reacción inmediata sin reflexión.
  • Errores gramaticales y ortográficos: ausencias de tildes, términos poco habituales (“severa”), traducciones automáticas o incoherencias son frecuentes en estos mensajes.
  • Enlaces sospechosos: URLs distintas de la web oficial (www.aemet.es), por ejemplo, dominios .blog, .site, combinaciones extrañas de letras y números, o redirecciones.
  • Solicitud de descarga de apps fuera de tiendas oficiales: la AEMET solo ofrece su app en Google Play o App Store, nunca mediante enlaces SMS.
  • Petición de datos personales o bancarios: ningún organismo oficial pide contraseñas, tarjetas o datos sensibles por SMS.

Además, es importante recordar que la AEMET nunca envía SMS a los ciudadanos para anunciar avisos o emergencias. Las notificaciones reales se realizan por canales oficiales como su web, sus redes sociales o la aplicación oficial, exclusivamente difundida en tiendas oficiales.

Cómo protegerte del smishing y evitar caer en fraudes de este tipo

  1. No pulses nunca en enlaces de SMS sospechosos: Ante cualquier mensaje que solicite descargar una app o abrir una web relacionada con la AEMET o emergencias, ignóralo y elimínalo.
  2. Comprueba el origen: Las aplicaciones oficiales de AEMET solo pueden descargarse desde Google Play y App Store. Cualquier otro método es fraudulento.
  3. Verifica la dirección web: Accede siempre de manera directa escribiendo www.aemet.es en tu navegador, nunca a través de enlaces proporcionados por mensajes no verificados.
  4. Desconfía de mensajes alarmistas que soliciten acciones inmediatas: El tono de urgencia es una herramienta común de los estafadores.
  5. Mantén actualizado tu dispositivo y tus aplicaciones: Las actualizaciones corrigen vulnerabilidades y mejoran la protección ante malware.
  6. Activa la protección contra spam y phishing en tu móvil: Muchos terminales modernos permiten bloquear SMS potencialmente peligrosos.
  7. No facilites nunca información personal, contraseñas o datos bancarios por este medio. Ningún organismo oficial lo solicitará.
  8. Ante la duda, consulta siempre los canales oficiales como la web de la AEMET, Protección Civil o el INCIBE.

¿Qué hacer si has pulsado el enlace o instalado la aplicación fraudulenta?

Si, a pesar de todo, has caído en la trampa y has pulsado el enlace o llegado a descargar la supuesta aplicación:

  • No ejecutes la aplicación descargada. Si solo descargaste el archivo, bórralo inmediatamente de la carpeta de descargas.
  • En caso de haberla ejecutado/instalado y notar comportamientos extraños en tu móvil (como solicitudes de permisos sospechosos, mensajes automáticos o cambios en la configuración), debes:
    • Desconectar el móvil de cualquier red Wi-Fi o de datos para restringir la comunicación de la app maliciosa.
    • Ejecutar un análisis con un antivirus actualizado, o utilizar las herramientas de seguridad integradas en el dispositivo.
    • Valorar un restablecimiento a valores de fábrica si persiste la infección, recordando previamente hacer copias de seguridad de los datos importantes.
    • Recopilar pruebas (pantallazos del mensaje, dirección del remitente y URL) y denunciar el caso ante la Policía Nacional, Guardia Civil o a través de organizaciones como INCIBE.
    • Contactar con tu banco si sospechas que tus datos bancarios han sido comprometidos, para bloquear cuentas o tarjetas si es necesario.
    • Cambiar todas las contraseñas relacionadas con servicios instalados en el móvil afectado.

El INCIBE dispone de un teléfono gratuito de ayuda (017) y un canal específico en WhatsApp (900 116 117) para asistencia inmediata a los ciudadanos afectados por fraudes digitales.

El sistema ES-Alert y las alertas oficiales: Diferencias clave frente al SMS fraudulento

Una de las confusiones más explotadas por los estafadores es el desconocimiento sobre cómo funcionan las alertas oficiales de emergencia en España. Conviene aclarar que la AEMET no envía SMS ni solicita descargas de apps externas para informar de fenómenos meteorológicos adversos. Si alguna vez es necesario alertar a la ciudadanía de forma urgente y automática, se utiliza el sistema ES-Alert, conocido como “112 inverso”.

¿Cómo funciona este sistema?

  • La alerta aparece de forma automática en el móvil de los usuarios de la zona afectada, acompañada de un sonido fuerte y una vibración prolongada.
  • No requiere instalar ninguna app ni hacer clic en enlaces. La notificación incluye el motivo de la alerta y las instrucciones básicas de protección.
  • Protección Civil y organismos oficiales son los únicos que pueden activar este sistema.
  • Las notificaciones de ES-Alert no piden datos personales ni bancarios en ningún caso.

Por tanto, cualquier mensaje de carácter meteorológico que llegue vía SMS, solicite instalar software o pulsar enlaces, debe ser considerado falso y susceptible de denuncia.

Por qué se utiliza el nombre de la AEMET en fraudes y otras variantes del smishing

El uso del nombre de la AEMET no es casual. Los ciberdelincuentes suelen recurrir a entidades de gran reputación y confianza social para asegurar que sus mensajes pasan desapercibidos y parecen legítimos. De la misma forma, han intentado engañar a ciudadanos suplantando a bancos, empresas de paquetería o a otros servicios públicos como la Dirección General de Tráfico (DGT) y la Seguridad Social, entre otros.

En todas estas variantes, el esquema es similar: mensaje alarmista, remitente aparentemente fiable, llamada urgente a la acción y enlace sospechoso o petición directa de datos personales. La mejor defensa sigue siendo la desconfianza ante cualquier solicitud inesperada y la verificación directa en los canales institucionales.

Consejos de expertos y organismos oficiales para evitar el smishing

  • Sospecha siempre de mensajes que utilicen el nombre de una entidad oficial y soliciten acción urgente.
  • Activa e infórmate sobre el sistema ES-Alert en tu móvil para reconocer las verdaderas alertas de emergencia.
  • Consulta los avisos meteorológicos solo en la web oficial de la AEMET o a través de la app descargada desde Google Play o App Store.
  • Mantén tus dispositivos protegidos con antivirus y herramientas de seguridad actualizadas.
  • No compartas información sensible por SMS ni sigas enlaces no verificados.
  • Comparte esta información con familiares y amigos (especialmente personas mayores o menos habituadas a la tecnología) para ayudar a prevenir nuevas víctimas.
  • Si recibes un SMS similar, informa a la Policía, Guardia Civil o INCIBE, aportando los detalles del mensaje.

Recuerda: ninguna organización oficial pedirá por SMS que descargues aplicaciones, pulses enlaces o facilites datos personales. Si tienes dudas, verifica siempre recurriendo a fuentes oficiales y nunca a través del canal que te contactó de manera sospechosa.

Las campañas de smishing que suplantan la identidad de la AEMET son un reflejo de los tiempos: la digitalización masiva ha incrementado las oportunidades para los ciberdelincuentes, pero también la posibilidad de que la ciudadanía se eduque y adopte hábitos seguros. Con estos conocimientos y utilizando el sentido común, es posible evitar convertirnos en víctimas y ayudar a frenar la propagación de estos fraudes.

Estafa del me gusta en WhatsApp
Related article:
Estafa del «me gusta» en WhatsApp: cómo funciona y cómo protegerse del timo viral de los likes