Compartir
SMISHING

Multa falsa de la DGT por SMS: la estafa que arrasa en España en 2026

Llega un mensaje con el logo de la DGT y de Tráfico: tienes una multa pendiente y entre 24 y 48 horas para pagarla antes de que te embarguen. El enlace abre una pasarela de pago idéntica a la oficial y se queda con los datos de tu tarjeta. La regla es simple: la DGT no cobra multas por SMS.

SafeBrowz Threat Research Investigación de seguridad17 de junio de 20269 min de lectura

Lo que tienes que saber, en un vistazo

Veredicto: estafa. Si recibes un SMS que dice ser de la DGT o de Tráfico, te avisa de una multa pendiente y te mete prisa con un plazo de 24 a 48 horas y un enlace para pagar, es smishing. La DGT real nunca notifica multas por SMS ni por correo electrónico, y jamás te pide pagar una sanción con tarjeta a través de un enlace. Sus únicos canales son el correo certificado y la Dirección Electrónica Vial (DEV). El enlace del mensaje lleva a una web clonada que captura tu número de tarjeta, su caducidad y el CVV, a veces incluso el código de tu app bancaria. No pulses el enlace, no pagues nada y borra el mensaje. Si tienes dudas sobre una multa, entra tú mismo escribiendo dgt.es en el navegador. Para consultar o denunciar, llama al 017 de INCIBE.

Por qué este SMS está por todas partes ahora mismo

Entre mayo y junio de 2026, los avisos sobre la multa falsa de la DGT se han multiplicado. La oleada fue tan grande que llegó a la nota de prensa de Moncloa (17 de mayo y 2 de junio de 2026) y a los medios económicos: Merca2 publicó el 27 de mayo un análisis sobre la campaña masiva de SMS suplantando a Tráfico. El INCIBE, el Instituto Nacional de Ciberseguridad, ha tenido que repetir el mensaje hasta la saciedad en sus avisos de seguridad para ciudadanos: la DGT NO envía SMS de multas. Punto. No es una recomendación de cautela; es un hecho operativo. Cualquier mensaje de multa que llegue por SMS es falso por construcción.

El contexto es más amplio que un solo organismo. El smishing, el fraude por SMS, se ha convertido en el vector de moda en España. Solo en los primeros meses de 2026 se contabilizaron más de 340.000 denuncias por fraudes vinculados a mensajes de texto, según los registros de las fuerzas de seguridad y de las plataformas de atención al ciudadano. La DGT es un cebo perfecto: casi todo el mundo conduce o conoce a alguien que conduce, una multa genera ansiedad inmediata y la marca de Tráfico inspira la autoridad justa para que la víctima baje la guardia. Los estafadores no necesitan saber tu matrícula ni tu DNI; les basta con enviar millones de SMS y esperar a que un porcentaje pequeño, pero suficiente, muerda el anzuelo.

La mecánica de pánico es deliberada. El plazo corto de 24 a 48 horas y la amenaza de embargo de la cuenta o del vehículo están diseñados para que actúes antes de pensar. Es la misma palanca que usan las estafas de paquetes retenidos o de devoluciones de Hacienda: urgencia, miedo y un botón que promete resolverlo todo en un par de clics.

Cómo es el mensaje y la trampa que esconde

El SMS suele entrar mezclado en el mismo hilo donde guardas mensajes legítimos de tu banco o de mensajería, lo que ya le da una apariencia engañosa de continuidad. El texto varía, pero el esqueleto se repite:

"DGT: Tiene una multa de tráfico pendiente de pago. Si no abona la sanción en 48 horas se procederá al embargo. Regularice su situación aquí: [enlace]". A veces incluye un importe concreto y bajo, de 40 a 90 euros, lo bastante pequeño como para que pagar parezca menos molesto que discutir.

Al pulsar, se abre una página que reproduce con fidelidad la imagen de la Sede Electrónica de la DGT: el logo, los colores, los tipos de letra, incluso un falso candado y un dominio que cuela las letras "dgt" en algún sitio. Te pide el número de tarjeta, la fecha de caducidad y el CVV "para liquidar la sanción". En las variantes más elaboradas, después de meter la tarjeta te muestra una pantalla de "verificación" que te pide el código que tu banco acaba de enviarte por SMS o que aparece en tu app: ese paso le permite al estafador autorizar un cargo en tiempo real mientras tú crees estar confirmando la multa. Lo que pagas no es ninguna sanción; es una transferencia o una compra que ellos controlan.

La regla de oro: cómo notifica de verdad la DGT

Aquí está la frase que desactiva la estafa entera. La DGT solo te comunica una sanción por dos vías oficiales:

  • Correo certificado en papel, entregado por Correos a tu domicilio fiscal, con acuse de recibo.
  • La Dirección Electrónica Vial (DEV), el buzón electrónico oficial al que accedes con certificado digital, Cl@ve o DNI electrónico, dentro de sede.dgt.gob.es.

La DGT nunca usa SMS ni correo electrónico para notificarte multas, y nunca te pide pagar una sanción metiendo la tarjeta en un enlace que te llega por mensaje. Si quieres comprobar si tienes alguna multa, entras tú mismo, escribiendo la dirección a mano en el navegador, a la sede oficial. No pulsas enlaces que te lleguen. Esa única norma, "entro yo, no pulso", basta para que ninguna de estas campañas funcione contigo.

Enlaces de multa falsa que SafeBrowz marca (ejemplos ilustrativos)

El enlace es la única parte de la estafa que vive en tu navegador, así que es la parte que un escáner puede cazar antes de que llegues a meter la tarjeta. Estas páginas se montan sobre alojamiento gratuito y dominios desechables que cuelan la palabra "dgt" para dar el pego. Los ejemplos de abajo son imitaciones ilustrativas, no servicios reales. Pega cualquiera en el verificador para ver cómo lo lee un análisis en vivo:

  • dgt-multas.vercel.app
  • multa-dgt-pago.pages.dev
  • sede-dgt-tramite.netlify.app

Fíjate en la forma. La palabra "dgt" o "multa" va pegada delante de un sufijo de alojamiento gratuito, vercel.app, pages.dev o netlify.app, que ningún organismo público español usa jamás para una pasarela de pago. La sede real de la DGT vive en sede.dgt.gob.es, y todo lo oficial del Estado termina en .gob.es. Si la dirección completa de una "sede de Tráfico" es un subdominio gratuito, una abreviatura rara o un .com con guiones, no es la DGT. Usa el cuadro de abajo para analizar el enlace de cualquier SMS antes de tocarlo.

🛡 VERIFICACIÓN EN VIVO

Analiza el enlace del SMS antes de pulsarlo

¿Te ha llegado un SMS de la "DGT" con un enlace para pagar una multa? Pégalo abajo. Nuestro motor de 3 capas (Local + APIs + IA) devuelve un veredicto en unos 3 segundos. Gratis, sin registro.

Análisis completo con IA profunda → · Ninguna URL se vincula a tu identidad.

Señales que delatan el SMS como fraude siempre

No hace falta saber de informática para detectarlo. La estructura es la pista.

  • Es un SMS o un correo que dice ser de la DGT. Esta es la concluyente. La DGT solo notifica por correo certificado y por la DEV. Cualquier multa que llegue por mensaje de texto o por email es falsa, sin más análisis.
  • Te piden pagar la multa con tarjeta a través de un enlace. Las sanciones de tráfico se abonan en la sede electrónica, en el banco o en una entidad colaboradora, nunca metiendo la tarjeta en una web que te llega por SMS.
  • Hay un plazo cortísimo y una amenaza de embargo. "Paga en 24 horas o te embargamos." La urgencia artificial es el motor de la estafa; los procedimientos administrativos reales tienen plazos de semanas y recursos.
  • El enlace no termina en .gob.es. Lo oficial del Estado vive en dgt.es y sede.dgt.gob.es. Un subdominio de alojamiento gratuito, un .com con guiones o una abreviatura extraña delatan la falsificación.
  • Te piden datos que la DGT ya tiene o que no necesita. Número completo de tarjeta, CVV, claves de tu banca o el código de un solo uso de tu app. Ningún organismo público pide eso para cobrar una multa.
  • El mensaje genérico, sin tu nombre, sin tu matrícula, sin el número de expediente. Una notificación real identifica el vehículo y el procedimiento; el SMS de estafa es vago a propósito porque se envía en masa.
  • Faltas, frases raras o traducción torpe. Muchas campañas se montan con plantillas mal adaptadas; una tilde ausente o una construcción extraña son banderas rojas.

Qué hacer si te llega el mensaje

Si ya tienes el SMS delante, o sospechas que has pulsado, esta es la respuesta correcta.

  1. No pulses el enlace y no introduzcas ningún dato. Si solo lo has recibido, bórralo. No hace falta nada más.
  2. Comprueba tú mismo si tienes multas. Escribe a mano dgt.es o entra en sede.dgt.gob.es con tu certificado, Cl@ve o DNI electrónico. Nunca lo hagas desde el enlace del mensaje.
  3. Si has metido los datos de la tarjeta, llama ya a tu banco. Usa el número del reverso de tu tarjeta o de la app, pide bloquear la tarjeta y anular cualquier cargo. Cuanto antes, mejor: muchos cargos fraudulentos se pueden frenar si actúas en la primera hora.
  4. Si diste un código de tu app bancaria, cámbialo y revisa los movimientos. Ese código pudo autorizar una operación; vigila la cuenta y avisa al banco de que lo entregaste sin querer.
  5. Denúncialo. Llama al 017, la línea gratuita y confidencial de ayuda en ciberseguridad de INCIBE, donde te orientan paso a paso. Reporta también a la Oficina de Seguridad del Internauta (OSI) y presenta denuncia ante la Policía Nacional o la Guardia Civil si ha habido un cargo. Guarda capturas del SMS y del enlace; ayudan a la investigación.

Y si tienes a un familiar mayor o a alguien menos acostumbrado a estos timos, díselo hoy con una frase sencilla: "Si te llega un SMS de una multa, no pulses nada y me llamas". El comentario tarda diez segundos y corta la estafa de raíz.

Lo que SafeBrowz ve en la red

El SMS llega a tu teléfono y ahí no hay software que lo intercepte por ti. Pero el enlace que hace posible toda la estafa, la pasarela de pago clonada, es una página web, y ahí es donde la detección del lado del navegador se gana su lugar. En el motor de SafeBrowz, estas páginas de suplantación de la DGT se leen de forma consistente en las tres capas.

Primero, los dominios son jóvenes y desechables. Una web de multa falsa casi siempre se registra horas o días antes de empezar la campaña de SMS, y se abandona en cuanto la denuncian. La sede real de la DGT lleva años verificada bajo .gob.es. Solo las señales de antigüedad del dominio ya marcan buena parte de estas páginas antes de que cargue contenido alguno.

Segundo, el alojamiento delata. Una proporción enorme de estas pasarelas corre sobre alojamiento gratuito, la palabra "dgt" o "multa" atornillada a un subdominio de vercel.app, pages.dev o netlify.app, porque los operadores queman cientos de sitios desechables y el alojamiento gratuito no cuesta nada. Un organismo del Estado no sirve su sede desde un subdominio gratuito. La combinación de alojamiento gratuito más palabra de marca pública es, por sí sola, una señal de alta confianza, independiente de lo que diga la página.

Tercero, el contenido es un calco de la sede oficial: el logo de la DGT, un formulario de tarjeta, una pantalla falsa de verificación del banco, todo servido desde un host sin ninguna huella institucional. El análisis a nivel de contenido caza una imitación recién creada que ninguna lista negra ha visto todavía, lo que importa porque estas campañas rotan dominios más rápido de lo que cualquier lista estática puede seguir.

Cómo SafeBrowz bloquea esta amenaza

SafeBrowz ejecuta una arquitectura de detección de 3 capas: Local + APIs + IA.

  • Capa 1 - Detección local: más de 60 patrones de URL + más de 550 firmas específicas de marcas y organismos (incluidas variantes homógrafas en cirílico y Punycode) + lista blanca/negra de la comunidad, todo corriendo en la extensión antes de que la página se renderice. Atrapa al instante palabras como "dgt" o "multa" sobre subdominios de alojamiento gratuito, el abuso de TLD baratos y las imitaciones de sedes .gob.es.
  • Capa 2 - Verificaciones de API: agrega Google Safe Browsing, PhishTank, URLhaus, ScamAdviser, más la consulta de antigüedad del dominio (la mayoría de estas pasarelas tienen días de vida) y más de 30 TLD de estafa.
  • Capa 3 - Análisis profundo con IA: el análisis de suplantación de marca con conciencia de contenido en más de 100 idiomas caza una página de la DGT falsa recién creada que ninguna lista negra ha visto, incluidas las que copian la pasarela de pago de la sede oficial.

Las firmas de detección se derivan de la investigación de inteligencia de amenazas y de nuestra base de datos interna de marcas, no de los datos de navegación de los usuarios. SafeBrowz no almacena el historial de navegación de cada usuario.

Para quienes no quieren instalar nada, el mismo motor impulsa el verificador de URL público gratuito. Pega cualquier enlace de "multa de la DGT" y obtén un veredicto en segundos.

Por qué cazar el enlace temprano supera reaccionar después

Cuando el cargo ya está hecho, gran parte del daño está hecho. La recuperación depende de la rapidez del banco y de la suerte, y no siempre llega. El único momento limpio para romper la cadena es justo cuando pulsas el enlace y la pasarela falsa está a punto de cargar, antes de teclear un solo dígito de la tarjeta.

Ese enlace es una URL, y un escáner de la capa del navegador lo inspecciona directamente. Cuando tocas un enlace de multa falsa, una extensión reconoce la suplantación de un organismo público sobre un dominio joven o de alojamiento gratuito y avisa antes de que el formulario de tarjeta siquiera cargue, sin importar quién enviara el SMS ni qué tan urgente pareciera. Los filtros del operador móvil ayudan, pero actúan sobre el mensaje, que el estafador aprende a rotar. La capa del navegador actúa sobre el destino, que la estafa no puede evitar: para llevarse tu dinero, tiene que aterrizarte en su página.

Preguntas frecuentes

¿La DGT envía multas por SMS alguna vez?

No, nunca. INCIBE lo ha repetido en sus avisos de 2026: la DGT no notifica multas por SMS ni por correo electrónico. Sus únicos canales oficiales son el correo certificado en papel y la Dirección Electrónica Vial (DEV) dentro de sede.dgt.gob.es. Cualquier mensaje de multa que te llegue por SMS es falso por definición.

He pulsado el enlace pero no he metido datos. ¿Estoy en riesgo?

El riesgo principal aparece cuando introduces datos de la tarjeta o un código de tu app bancaria. Si solo abriste la página y la cerraste sin teclear nada, lo más probable es que no haya pasado nada; aun así, cierra la pestaña, no vuelvas a entrar y borra el SMS. Si tienes dudas o el teléfono se comportó de forma rara, pasa un antivirus y vigila tus movimientos bancarios.

Ya he metido los datos de mi tarjeta. ¿Qué hago ahora?

Llama de inmediato a tu banco con el número del reverso de la tarjeta o desde la app, pide bloquearla y anular cualquier cargo. Si también diste un código de un solo uso, avísalo, porque pudo autorizar una operación. Después denuncia: llama al 017 de INCIBE para que te orienten y presenta denuncia ante la Policía Nacional o la Guardia Civil. Cuanto antes actúes, más posibilidades de frenar el cargo.

¿Cómo compruebo si de verdad tengo una multa?

Entra tú mismo, escribiendo la dirección a mano en el navegador, a dgt.es o a sede.dgt.gob.es, y accede con tu certificado digital, Cl@ve o DNI electrónico. Nunca uses el enlace de un SMS. Si tienes una sanción real, la verás en la Dirección Electrónica Vial o te habrá llegado por correo certificado a tu domicilio.

¿Cómo distingo la sede real de la DGT de una falsa?

La sede oficial vive en sede.dgt.gob.es y la web institucional en dgt.es. Todo lo oficial del Estado termina en .gob.es. Si la dirección es un subdominio de alojamiento gratuito (vercel.app, pages.dev, netlify.app), un .com con guiones o una abreviatura rara que cuela las letras "dgt", es falsa. Ante la duda, pega el enlace en un verificador de URL gratuito antes de tocar nada.

¿Dónde denuncio este SMS y a quién aviso?

Llama al 017, la línea gratuita y confidencial de INCIBE, que orienta a ciudadanos sobre ciberseguridad. Reporta también a la Oficina de Seguridad del Internauta (OSI) y, si ha habido un cargo o robo de datos, presenta denuncia ante la Policía Nacional o la Guardia Civil. Guarda capturas del SMS y del enlace para la investigación.

Instala SafeBrowz gratis

Añade la extensión de navegador que analiza cada enlace, incluida la "multa de la DGT" que te llega por SMS, antes de que la página se renderice. Gratis para siempre.

Chrome Agregar a Chrome Firefox Agregar a Firefox Edge Agregar a Edge

Lecturas relacionadas