Scam Emails & Fake Texts Targeting Expats in Spain
📅 10 July 2026⏱ 4 min read🔒 Security
If You've Received a Strange Email or Text Lately, You're Not Alone
Scam emails and fake text messages are landing in the inboxes of expats on the Costa Blanca every single day. They look official, they sound urgent, and they're designed to make you act before you think. Whether it's a fake Correos parcel notification, a bogus HMRC tax refund, or a text pretending to be your Spanish bank — the goal is always the same: get your money or your login details.
The good news is that once you know what to look for, these scams are surprisingly easy to spot. Here's a plain-English guide to the most common ones doing the rounds right now, and exactly what to do when one lands in your inbox.
The Most Common Scams Targeting Expats in Spain Right Now
1. The Parcel Delivery Scam (Correos, DHL, FedEx)
You receive a text saying your parcel is held and you need to pay a small customs fee — usually €1–€3 — to release it. The link takes you to a convincing fake website that then asks for your full card details. The small fee is bait; your card number is the real target. If you're not expecting a delivery, delete it immediately. If you are, go directly to the courier's official website and track it there — never via the link in the message.
2. HMRC / UK Tax Refund Emails
A very common one for British expats. The email claims you're owed a tax refund and just need to "confirm your details" to receive it. HMRC never contacts you by email to offer a refund. Never. If you're genuinely due a rebate, you'll be told by letter or through your personal HMRC online account — not a link in an email.
3. Your Bank Asking You to "Verify Your Account"
An email or text arrives that looks exactly like it's from Santander, BBVA, CaixaBank, Barclays — even your online-only bank. It says your account has been suspended, or there's been suspicious activity, and you must click a link to verify. Real banks do not ask you to confirm passwords or full card details by email or text. If you're worried, call the number on the back of your card directly.
4. The Agencia Tributaria / Tax Scam
Spain's tax authority (Hacienda) has been impersonated repeatedly. You receive an email in Spanish — or occasionally broken English — saying you owe a fine or are due a refund. There's a link and a deadline to create urgency. The real Agencia Tributaria communicates through your Cl@ve account or registered postal address, not cold emails with clickable links.
5. WhatsApp "Family Emergency" Messages
This one is more personal and more upsetting. You get a WhatsApp from an unknown number saying: "Hola, it's me — I've lost my phone, this is my new number, and I'm in trouble, can you send me some money?" Sometimes they claim to be your child or grandchild. They build a little conversation to win your trust, then ask for a bank transfer. Always call the person directly on their known number before sending anything.
How to Spot a Scam in Under 10 Seconds
Urgency and pressure: "Your account will be closed in 24 hours." Scammers want panic. Legitimate organisations give you time.
Odd sender address: The name might say "Correos" but the actual email address is something like noreply@parceltrack-es.xyz. Always check the full address, not just the display name.
Hover before you click: On a computer, hover your mouse over any link — the real destination appears at the bottom of your screen. If it doesn't match the company, don't click.
Poor spelling or strange phrasing: Many scam messages have subtle errors. Your bank's real communications are professionally written.
Requests for payment by unusual methods: Gift cards, bank transfer to a personal account, or cryptocurrency are always red flags.
What to Do If You've Already Clicked
Don't panic — but do act quickly.
If you entered card or bank details: Call your bank immediately using the number on your card. Ask them to block the card and check for unauthorised transactions.
If you entered a password: Change it right now on every site where you use that password. Then enable two-factor authentication (2FA) — a second code sent to your phone whenever you log in.
Report it: In Spain, report scams to the Policía Nacional at www.policia.es. UK residents can also report to Action Fraud at www.actionfraud.police.uk.
How to Protect Yourself Going Forward
Use a password manager so every account has a unique, strong password.
Enable two-factor authentication on your email, banking, and social media accounts.
Keep your phone and computer software updated — security patches close the doors that scammers use.
When in doubt, pick up the phone and call the organisation directly using a number you find yourself — not one in the suspicious message.
If your device is behaving strangely after clicking something suspicious, or you simply want someone to check it over and give you peace of mind, we're here in Pinar de Campoverde. We see this kind of thing regularly and we're happy to help — no judgment, no fuss. You can also check our post on laptop warning signs to see if anything matches what you're experiencing.
FAQ
How do I know if a text from Correos is real or a scam?
Go directly to the official Correos website (correos.es) and use your tracking number there. Never click the link in the text. Real Correos messages don't ask you to pay customs fees via a link.
I clicked a link in a scam email but didn't enter anything — am I safe?
Probably, but not certainly. Some links can install malware just from being visited. Run a full security scan on your device, and if it's behaving oddly — slow, showing strange pop-ups — bring it in for a check.
Can scammers access my phone just from a text message?
Simply receiving a text is safe. The risk comes from clicking links inside it or calling back premium-rate numbers listed in it. Delete suspicious texts without interacting with them.
What's two-factor authentication and do I really need it?
Two-factor authentication (2FA) means that even if someone gets your password, they still can't log in without a second code sent to your phone. It's one of the single most effective protections you can enable — and it's free. Yes, you really do need it.
Si has recibido un mensaje sospechoso últimamente, no eres el único
Cada día llegan correos electrónicos y mensajes de texto fraudulentos a los móviles y ordenadores de residentes extranjeros en la Costa Blanca. Parecen oficiales, transmiten urgencia y están diseñados para que actúes antes de pensar. Puede ser una notificación falsa de Correos, un supuesto reembolso de la HMRC (la agencia tributaria británica) o un SMS que aparenta ser de tu banco español. El objetivo siempre es el mismo: quedarse con tu dinero o con tus datos de acceso.
La buena noticia es que, una vez que sabes qué buscar, estos fraudes son sorprendentemente fáciles de detectar. Aquí tienes una guía práctica con los más habituales en este momento y lo que debes hacer cuando uno de ellos llegue a tu bandeja de entrada.
Los fraudes más frecuentes dirigidos a extranjeros en España ahora mismo
1. El fraude de la entrega de paquetes (Correos, DHL, FedEx)
Recibes un SMS diciendo que tu paquete está retenido y que debes pagar una pequeña tasa de aduanas — normalmente entre 1 y 3 euros — para liberarlo. El enlace te lleva a una web falsa muy convincente que luego solicita todos los datos de tu tarjeta. La pequeña tasa es el anzuelo; el número de tu tarjeta es el verdadero objetivo. Si no estás esperando ningún envío, bórralo sin más. Si esperas algo, entra directamente en la web oficial del transportista y rastrea tu paquete desde allí — nunca a través del enlace del mensaje.
2. Emails de reembolso de la HMRC o el fisco británico
Muy habitual entre los expatriados británicos. El correo asegura que tienes derecho a una devolución de impuestos y que solo necesitas «confirmar tus datos» para recibirla. La HMRC nunca contacta por correo electrónico para ofrecer un reembolso. Nunca. Si realmente te deben dinero, te lo comunicarán por carta o a través de tu cuenta personal en el portal de la HMRC — no mediante un enlace en un email.
3. Tu banco pidiéndote que «verifiques tu cuenta»
Llega un email o SMS con la apariencia exacta de Santander, BBVA, CaixaBank o Barclays — incluso de tu banco online. Dice que tu cuenta ha sido suspendida o que ha habido actividad sospechosa, y que debes hacer clic en un enlace para verificarla. Los bancos reales no te piden que confirmes contraseñas ni datos completos de tarjeta por email o SMS. Si te preocupa, llama directamente al número que figura en el reverso de tu tarjeta.
4. El fraude de la Agencia Tributaria (Hacienda)
Hacienda ha sido suplantada en numerosas ocasiones. Recibes un email en español — o a veces en inglés con errores — diciendo que debes una multa o que tienes derecho a una devolución. Hay un enlace y un plazo límite para crear urgencia. La Agencia Tributaria real se comunica a través de tu cuenta Cl@ve o de tu dirección postal registrada, no mediante correos fríos con enlaces.
5. Mensajes de WhatsApp de «emergencia familiar»
Este es más personal y más perturbador. Recibes un WhatsApp de un número desconocido que dice: «Hola, soy yo — he perdido el móvil, este es mi nuevo número, estoy en apuros, ¿me puedes enviar dinero?». A veces dicen ser tu hijo, hija o nieto. Establecen una pequeña conversación para ganarse tu confianza y después piden una transferencia bancaria. Antes de enviar nada, llama directamente a esa persona a su número habitual.
Cómo detectar un fraude en menos de 10 segundos
Urgencia y presión: «Tu cuenta se cerrará en 24 horas.» Los estafadores buscan el pánico. Las organizaciones legítimas te dan tiempo.
Dirección del remitente extraña: El nombre puede poner «Correos», pero la dirección real del email es algo como noreply@parceltrack-es.xyz. Comprueba siempre la dirección completa, no solo el nombre que aparece.
Pasa el ratón antes de hacer clic: En un ordenador, coloca el cursor sobre cualquier enlace — el destino real aparece en la parte inferior de la pantalla. Si no coincide con la empresa, no hagas clic.
Errores ortográficos o frases extrañas: Muchos mensajes fraudulentos tienen pequeños errores. Las comunicaciones reales de tu banco están redactadas de forma profesional.
Formas de pago inusuales: Tarjetas de regalo, transferencia a una cuenta personal o criptomonedas son siempre señales de alarma.
Qué hacer si ya has hecho clic
No entres en pánico — pero actúa rápido.
Si has introducido datos de tarjeta o bancarios: Llama a tu banco inmediatamente usando el número del reverso de tu tarjeta. Pídeles que bloqueen la tarjeta y revisen si hay transacciones no autorizadas.
Si has introducido una contraseña: Cámbiala ahora mismo en todos los sitios donde uses esa contraseña. Activa también la autenticación en dos pasos (2FA) — un código adicional que se envía a tu móvil cada vez que inicias sesión.
Denúncialo: En España, puedes denunciar estafas en la Policía Nacional en www.policia.es. Los residentes británicos también pueden hacerlo en Action Fraud: www.actionfraud.police.uk.
Cómo protegerte a partir de ahora
Usa un gestor de contraseñas para que cada cuenta tenga una clave única y segura.
Activa la autenticación en dos pasos en tu correo, banca online y redes sociales.
Mantén actualizado el software de tu móvil y ordenador — los parches de seguridad cierran las puertas que usan los estafadores.
Ante la duda, llama directamente a la organización usando un número que tú mismo hayas buscado — nunca el que aparece en el mensaje sospechoso.
Si tu dispositivo se comporta de forma extraña después de haber hecho clic en algo sospechoso, o simplemente quieres que alguien lo revise para quedarte tranquilo, estamos en Pinar de Campoverde. Vemos este tipo de situaciones con frecuencia y estamos encantados de ayudarte, sin juicios y sin complicaciones. También puedes consultar nuestra guía sobre señales de alerta en portátiles para ver si algo coincide con lo que estás experimentando.
Preguntas frecuentes
¿Cómo sé si un SMS de Correos es real o una estafa?
Entra directamente en la web oficial de Correos (correos.es) e introduce tu número de seguimiento desde allí. No hagas clic en el enlace del SMS. Los mensajes reales de Correos no te piden pagar tasas de aduanas a través de un enlace.
Hice clic en un enlace sospechoso pero no introduje ningún dato — ¿estoy a salvo?
Probablemente sí, pero no es seguro al cien por cien. Algunos enlaces pueden instalar software malicioso (<em>malware</em>) con solo abrirlos. Realiza un análisis de seguridad completo en tu dispositivo y, si nota algo raro — lentitud, ventanas emergentes extrañas — tráelo para revisarlo.
¿Pueden los estafadores acceder a mi móvil solo con un SMS?
Recibir un mensaje es seguro en sí mismo. El riesgo viene de hacer clic en los enlaces que contiene o de llamar a números de tarificación especial que aparecen en él. Borra los mensajes sospechosos sin interactuar con ellos.
¿Qué es la autenticación en dos pasos y de verdad la necesito?
La autenticación en dos pasos (2FA) significa que, aunque alguien consiga tu contraseña, no podrá iniciar sesión sin un segundo código que se envía a tu móvil. Es una de las protecciones más eficaces que puedes activar — y es gratuita. Sí, de verdad la necesitas.
Computer trouble on the Costa Blanca?
30+ years of repair experience — on-site within 30 km and remote worldwide. Tell me what's wrong and I'll sort it.