No renueves tu tarjeta sanitaria por correo: la nueva estafa que suplanta al Ministerio de Sanidad
RED
El INCIBE alerta de una campaña de correos y SMS falsos que suplantan al Ministerio de Sanidad para robar datos personales y bancarios
06 nov 2025 . Actualizado a las 05:00 h.Una alerta más en los móviles y bandejas de entrada, pero con un disfraz especialmente peligroso: el de la Administración pública. En los últimos días, cientos de usuarios han recibido correos electrónicos y mensajes de texto que aseguran que deben renovar de forma urgente su Tarjeta Sanitaria Individual (TSI). El motivo, según esos mensajes, sería la implantación de un nuevo sistema de verificación. Pero detrás de ese supuesto trámite no hay ningún procedimiento oficial, sino una campaña fraudulenta que busca robar datos personales y bancarios.
El Instituto Nacional de Ciberseguridad (INCIBE) ha confirmado que se trata de una estafa de suplantación de identidad —lo que se conoce como phishing— que imita al Ministerio de Sanidad. Los delincuentes envían mensajes con apariencia institucional, a veces incluso personalizados con el logotipo de la consejería autonómica de la víctima, para dar una sensación de veracidad. El mensaje insiste en que el usuario debe actuar con rapidez y renovar la tarjeta antes de un supuesto plazo límite, o perderá el acceso a los servicios sanitarios. Esa sensación de urgencia, advierte el INCIBE, es una de las señales más claras de que estamos ante un fraude.
En los ejemplos detectados, los mensajes llegan desde remitentes desconocidos o números extraños. En los correos electrónicos, los detalles delatan la trampa: el logotipo del Ministerio aparece sin el fondo amarillo oficial y los asuntos incluyen errores gramaticales como «Renovacion» (sin tilde) o expresiones genéricas del tipo «Su tarjeta sanitaria ha caducado». Al pulsar sobre el enlace, el usuario accede a una página falsa con el aspecto visual del Ministerio de Sanidad, donde se le pide que complete un formulario con su DNI, sus datos personales y bancarios.
Todo por tres euros
La simulación está cuidadosamente elaborada. La página incluso solicita resolver una operación matemática «para verificar que eres humano» y ofrece una explicación sobre el supuesto proceso de renovación, acompañada de una sección de «preguntas frecuentes». Todo parece normal hasta que aparece un botón que invita a iniciar la renovación. El usuario selecciona su comunidad autónoma y, en el siguiente paso, se le pide abonar 2,99 euros por los gastos de envío de la nueva tarjeta. Para dar más sensación de seguridad, la web simula una «autenticación segura» mediante el envío de un código al móvil. Pero en realidad, ese momento marca el final del engaño: los ciberdelincuentes ya han conseguido los datos suficientes para suplantar la identidad de la víctima o realizar movimientos fraudulentos con su cuenta.
El fraude afecta a todas las personas que hayan accedido al enlace y facilitado sus datos, explica el INCIBE. Si el usuario solo ha recibido el mensaje pero no ha hecho clic, basta con eliminarlo y bloquear al remitente. También es recomendable reportarlo al buzón de incidentes del propio instituto para ayudar a identificar nuevas campañas. Pero si la víctima ha introducido información personal o bancaria, los pasos deben ser rápidos: contactar con el banco para bloquear la tarjeta, recopilar capturas y evidencias del fraude, presentar denuncia ante las fuerzas de seguridad y, por precaución, realizar búsquedas periódicas en internet —lo que se conoce como egosurfing— para comprobar si sus datos han sido filtrados.
El INCIBE recuerda además un detalle que puede servir para distinguir la estafa de un trámite real: la tarjeta sanitaria no necesita renovación periódica, ya que el número de la Seguridad Social es único y permanente durante toda la vida laboral. Solo en caso de pérdida, deterioro o cambio de datos personales puede solicitarse un duplicado o actualización, y siempre a través de la sede electrónica oficial, donde se requiere identificarse con DNI electrónico, certificado digital o el sistema Cl@ve. Si una web que aparenta ser oficial no solicita ninguno de esos métodos, lo más probable es que sea falsa.
Este tipo de fraudes digitales se apoyan en la confianza que inspiran las instituciones públicas y en la ansiedad que genera cualquier gestión sanitaria. Juegan con el miedo a perder derechos y con la costumbre de resolver trámites en línea. Por eso, los expertos insisten en mantener una actitud vigilante: desconfiar de los mensajes que reclaman urgencia, revisar siempre el dominio web y no facilitar nunca datos personales o bancarios por correo o SMS.