CaixaBank encabeza el ranking de entidades suplantadas en España junto a Santander y BBVA, y las campañas de estafa CaixaBank se han multiplicado desde que el banco unificó marcas con Bankia en 2021. Si has recibido un SMS pidiendo confirmar un cargo, un correo avisando de un bloqueo de tu cuenta o una llamada de un supuesto "asesor de seguridad", probablemente estás ante un caso de phishing CaixaBank. Los delincuentes aprovechan la cuota de mercado de la entidad (cerca de 20 millones de clientes) para lanzar campañas masivas con plantillas casi idénticas a las oficiales. Una vez sabes qué mirar, detectarlo lleva diez segundos. El problema: los señuelos son más sofisticados, sobre todo con IA generativa de por medio.
Anatomía de las estafas que suplantan a CaixaBank
El patrón se repite con variaciones menores. El delincuente envía un mensaje que imita la identidad visual del banco (logo, tipografía corporativa, color azul institucional) y empuja al usuario a hacer clic en un enlace bajo presión temporal. El objetivo final siempre es el mismo: robar credenciales de CaixaBankNow, códigos SMS de doble factor o instalar malware bancario tipo Anatsa, Hydra o FluBot en el móvil.
Los canales más habituales son tres:
- SMS (smishing): el famoso SMS CaixaBank falso que llega en el mismo hilo que los mensajes reales del banco gracias al SMS spoofing del Sender ID.
- Correo electrónico (phishing clásico): el correo CaixaBank fraude que avisa de "actividad sospechosa", "actualización de datos por normativa" o "bloqueo preventivo".
- Llamadas (vishing): un supuesto agente del departamento de fraude que ya conoce parte de tus datos y te guía paso a paso para "asegurar tu cuenta". Spoiler: te la vacía.
La combinación más peligrosa es el vishing tras smishing: primero recibes el SMS, picas en el enlace, introduces credenciales y minutos después suena el teléfono. Conocen tu nombre, tu DNI parcial y la operación que acabas de "intentar". A esas alturas, casi nadie sospecha.
Señales de alerta: cómo detectar un mensaje fraudulento
CaixaBank lleva años repitiendo que nunca pide credenciales completas, PINs ni códigos SMS por ningún canal. Aun así, hay marcadores técnicos que delatan el engaño antes incluso de leer el texto:
- El dominio del enlace. El banco usa
caixabank.esycaixabank.com. Variantes comocaixabank-seguridad.com,caixa-bank.net,caixabank.es-cliente.como subdominios sospechosos (caixabank.verifica-cuenta.info) son fraude garantizado. - Urgencia artificial. "En 24 horas bloquearemos tu cuenta", "último aviso", "operación pendiente de confirmación". El miedo es la palanca clásica de la ingeniería social.
- Errores sutiles. Tildes mal puestas, espacios dobles, "Estimado/a cliente" sin nombre, mezcla de tú y usted en el mismo mensaje.
- Remitente raro. Correos como
noreply@caixabank-info.comoseguridad@caxiabank.es(con la C y la X bailadas) son señales rojas. Comprueba siempre la cabecera completa, no solo el nombre visible. - Petición de datos completos. Si te piden PIN, contraseña íntegra, código de coordenadas o el SMS de confirmación, es fraude. Punto.
Una técnica útil: pasa el ratón por encima del enlace (sin clicar) y mira la URL real en la parte inferior del navegador o cliente de correo. En móvil, mantén el dedo pulsado para previsualizar el destino.
Ejemplos reales que circulan en 2026
Estos son los señuelos más activos detectados por INCIBE y la Oficina de Seguridad del Internauta (OSI) en los últimos meses:
| Tipo | Asunto / Texto | Pista que lo delata |
|---|---|---|
| SMS | "CaixaBank: Hemos detectado un acceso desde otro dispositivo. Verifica aquí: bit.ly/xxxx" | Acortador de URL. El banco nunca usa Bitly. |
| "Actualización obligatoria de datos según normativa PSD2" | PSD2 no obliga a "actualizar datos" por email. | |
| SMS | "Su tarjeta ha sido suspendida temporalmente. Reactívela: caixabank-now.info" | Dominio falso, guion intermedio. |
| "Devolución de la AEAT pendiente — confirme IBAN" | Hacienda no devuelve por email. Tampoco vía CaixaBank. | |
| Llamada | "Soy del departamento antifraude, tenemos una operación sospechosa de 890 €" | Te piden mover el dinero a una "cuenta segura". No existe tal cosa. |
El patrón AEAT-CaixaBank es especialmente dañino porque combina dos marcas de confianza. Algo parecido pasa con las estafas que suplantan al Santander, donde la estructura del señuelo es prácticamente idéntica salvo por el logo.
Qué hacer si has picado: protocolo en frío
Pánico fuera. El factor tiempo es crítico, pero actuar sin orden empeora las cosas. Sigue esta secuencia:
- Llama al teléfono oficial de CaixaBank (900 40 40 90, gratuito 24h) y solicita el bloqueo inmediato de tarjetas y banca online. Pide número de incidencia por escrito.
- Cambia la contraseña de CaixaBankNow desde un dispositivo limpio, no desde el que pudo infectarse.
- Revoca sesiones activas en la app y desvincula dispositivos que no reconozcas.
- Denuncia en la Policía Nacional o Guardia Civil (Grupo de Delitos Telemáticos). Necesitarás el atestado para reclamar al banco.
- Reclama por escrito al banco en un plazo máximo de 13 meses según el Real Decreto-ley 19/2018 de servicios de pago. La carga de la prueba recae sobre la entidad.
- Reporta el caso a INCIBE (017) y a la Oficina de Seguridad del Internauta.
- Comprueba si tus credenciales están filtradas en Have I Been Pwned y analiza cualquier archivo descargado en VirusTotal.
Si instalaste una app desde un enlace SMS, tu móvil probablemente tiene malware bancario. Restablece a valores de fábrica antes de volver a meter credenciales. Una guía completa de respuesta tras un ciberataque te puede ahorrar errores en caliente.
Cómo blindar tu cuenta antes de que ocurra
La CaixaBank seguridad empieza por el cliente. Estas medidas no son opcionales si manejas tu banca desde el móvil:
- Doble factor obligatorio con CaixaBankSign (notificación push firmada), no SMS. Los códigos SMS son interceptables vía SIM swapping.
- Límites bajos por operación y por día. Ajústalos en la app: lo que no puedan transferir no lo pierdes.
- Alertas en tiempo real para cualquier movimiento superior a un umbral mínimo (1 € si hace falta).
- Apps solo desde Google Play o App Store oficiales. Nunca desde enlaces SMS o APKs externos.
- Sistema operativo actualizado. La importancia de mantener el software al día no es un cliché de manual: la mayoría del malware bancario explota fallos conocidos parcheados meses antes.
- Gestor de contraseñas (Bitwarden, 1Password, KeePassXC) con una clave distinta para banca, correo y todo lo demás.
- Tarjeta virtual para compras online, con saldo recargable bajo demanda.
Si gestionas la economía de un negocio, la exposición se multiplica. Una política básica de ciberseguridad para pymes con presupuesto limitado evita que un solo email comprometido vacíe la cuenta de empresa. Y si tu actividad incluye web propia, conviene tenerla bien levantada desde el principio: equipos como los de desarrollo web profesional y WordPress corporativo pueden auditar la capa de presentación antes de que un atacante haga la suplantación por ti.
Marco legal y dónde denunciar
El RGPD (Reglamento UE 2016/679) y la LOPDGDD 3/2018 obligan a las entidades a notificar brechas de datos en 72 horas. Si CaixaBank te avisa de una filtración, pide por escrito qué datos se vieron afectados y desde cuándo. El Real Decreto-ley 19/2018 regula los servicios de pago y establece que el cliente solo responde hasta 50 € en operaciones no autorizadas, siempre que no haya actuado con negligencia grave.
Canales oficiales de denuncia y reporte:
- INCIBE — 017 (línea gratuita 8-23h)
- Grupo de Delitos Telemáticos de la Guardia Civil
- Brigada Central de Investigación Tecnológica (BCIT) de la Policía Nacional
- Banco de España — Departamento de Conducta de Entidades, si la entidad no responde en 15 días hábiles
- Agencia Española de Protección de Datos (AEPD) para violaciones de datos personales
Preguntas frecuentes
¿CaixaBank envía SMS pidiendo confirmar operaciones?
Sí, pero solo con códigos numéricos para introducir en la app o web oficial. Nunca incluye enlaces. Si el SMS contiene una URL, es fraude, aunque aparezca en el mismo hilo que mensajes reales del banco.
¿Cómo sé si un email de CaixaBank es legítimo?
Comprueba el remitente completo (no solo el nombre), verifica que el dominio sea caixabank.es o caixabank.com y entra siempre a la banca online tecleando la dirección manualmente. Ante la mínima duda, llama al 900 40 40 90.
Me han robado dinero de la cuenta tras picar en un phishing, ¿me lo devuelve el banco?
Por defecto sí, según el RDL 19/2018, salvo que el banco demuestre negligencia grave por tu parte. Denuncia primero a la policía, reclama por escrito al banco y, si en 15 días no responde, escala al Banco de España.
¿Existen apps falsas de CaixaBank en Google Play?
Sí, han aparecido varias en los últimos años antes de ser retiradas. Descarga únicamente la app firmada por "CaixaBank, S.A." y revisa el número de descargas (millones, no miles) y las reseñas más recientes.
¿Sirve de algo cambiar la contraseña si ya he metido el código SMS?
Cambiar la contraseña es necesario, pero no suficiente. Si has dado un código SMS de doble factor, la sesión del atacante ya está abierta: hay que revocar sesiones activas, bloquear tarjetas y, si hubo descarga de APK, reinstalar el móvil.
El siguiente paso
Abre ahora mismo la app de CaixaBankNow, ve a Ajustes → Seguridad → Límites y baja el tope diario de transferencias a la cantidad mínima que necesites para tu operativa habitual. Si mañana alguien intenta vaciarte la cuenta tras un phishing, ese límite es la diferencia entre perder 50 € o perderlo todo.
