El phishing bancario es el método favorito de los ciberdelincuentes para vaciar cuentas corrientes. Recibes un correo, un SMS o una llamada que parece de tu banco, te piden que "verifiques" tus datos y, en cuestión de minutos, tu dinero desaparece. La estafa banco clásica ha evolucionado: ya no son emails mal escritos desde Nigeria, sino campañas sofisticadas con logos perfectos, dominios casi idénticos y pretextos creíbles. Un correo falso banco moderno puede engañar incluso a usuarios con experiencia. La suplantación banco mueve miles de millones al año en todo el mundo, y España figura entre los países europeos más afectados por fraude bancario online. Aquí vas a aprender a detectar estas trampas antes de que te cuesten un disgusto.
Anatomía de un ataque de phishing bancario
Un ataque de suplantación bancaria sigue casi siempre el mismo patrón. El atacante compra un dominio parecido al del banco (por ejemplo, bbva-seguridad.com o caixabank-alertas.es), clona la web oficial y lanza una campaña masiva de emails o SMS. El mensaje incluye un pretexto urgente: bloqueo de cuenta, movimiento sospechoso, actualización de seguridad obligatoria.
El enlace lleva a una página idéntica a la del banco. El usuario introduce sus credenciales, su código de verificación por SMS (que los atacantes solicitan en tiempo real) y la cuenta queda comprometida. Todo el proceso dura entre 30 segundos y 2 minutos.
Las campañas más recientes en España han suplantado a CaixaBank, Santander, BBVA, ING y Sabadell. El INCIBE (Instituto Nacional de Ciberseguridad) publica alertas continuas sobre estas campañas a través de su servicio OSI. El Banco de España también mantiene una sección específica sobre fraude bancario online con recomendaciones actualizadas.
Las 7 señales de un correo falso de tu banco
Ningún sistema de detección es perfecto, pero estas señales delatan la mayoría de intentos de phishing bancario:
- Urgencia artificial. "Tu cuenta será bloqueada en 24 horas." Los bancos reales no operan con ultimátums por email.
- Remitente sospechoso. El nombre muestra "CaixaBank" pero la dirección real es algo como alertas@caixa-bank-es.com. Revisa siempre el dominio completo.
- Enlaces acortados o con dominios raros. Pasa el ratón por encima (sin clicar) y mira la URL real. Si no es el dominio oficial del banco, cierra y olvida.
- Solicitan credenciales o códigos SMS. Tu banco nunca te pedirá la contraseña completa ni un código OTP por email.
- Errores sutiles. Ya no son faltas de ortografía obvias, pero sí pequeñas inconsistencias: un saludo genérico ("Estimado cliente") cuando tu banco siempre usa tu nombre.
- Archivos adjuntos inesperados. PDF, ZIP o documentos de Office que "debes revisar". Un vector clásico de malware bancario como Emotet o TrickBot.
- Diseño casi perfecto. Los kits de phishing modernos (como el famoso 16shop o Caffeine) replican webs bancarias pixel a pixel. Que se vea bonito no significa que sea legítimo.
Si alguna vez has caído en estafas de phishing en plataformas de compraventa, reconocerás el mismo patrón psicológico: urgencia, miedo a perder algo y una acción inmediata que te piden ejecutar sin pensar.
Variantes actuales: smishing, vishing y ataques combinados
El correo falso banco ya no viene solo por email. Los atacantes combinan canales para resultar más creíbles.
| Tipo | Canal | Ejemplo real |
|---|---|---|
| Phishing | Correo de "Santander" pidiendo verificar identidad por nueva normativa PSD2 | |
| Smishing | SMS | SMS de "BBVA": "Se ha detectado un acceso no autorizado. Verifique: [enlace]" |
| Vishing | Llamada | Llamada con caller ID falsificado mostrando el número real del banco |
| Ataque combinado | SMS + llamada | Recibes SMS de alerta y, segundos después, te llaman "del departamento de fraude" |
El ataque combinado es el más peligroso. La víctima recibe un SMS aparentemente legítimo (que incluso puede aparecer en el mismo hilo que los SMS reales del banco gracias al SMS spoofing) y, a continuación, una llamada telefónica donde alguien con acento profesional le guía para "proteger su cuenta". En realidad, está autorizando transferencias en tiempo real.
La directiva europea PSD2 (Payment Services Directive 2) obligó a los bancos a implementar autenticación reforzada (SCA), lo que paradójicamente dio a los atacantes un nuevo pretexto: "Debe actualizar su método de autenticación conforme a la nueva normativa europea." Suena oficial. Funciona.
Qué hacer si has picado (protocolo de emergencia)
Has clicado en el enlace. Has metido tus datos. El pánico llega, pero lo que hagas en los próximos minutos marca la diferencia entre perder unos euros o perder miles.
- Llama a tu banco inmediatamente. Usa el número que aparece en tu tarjeta física o en la app oficial. Nunca el número que aparecía en el mensaje fraudulento. Pide el bloqueo temporal de la cuenta y de las tarjetas.
- Cambia las contraseñas. La del banco primero, pero también la del email asociado. Si reutilizas contraseñas (no deberías), cambia todas las que compartan la misma clave. Comprueba en Have I Been Pwned si tu email aparece en filtraciones previas.
- Activa la autenticación de doble factor si no la tenías. Preferiblemente con app (Google Authenticator, Authy) y no con SMS, ya que el SIM swapping puede interceptar los códigos.
- Denuncia. Presenta denuncia ante la Policía Nacional o Guardia Civil. También puedes reportar al INCIBE (017, gratuito) y al propio banco. La denuncia es imprescindible para reclamar el dinero.
- Documenta todo. Capturas del email, SMS o web falsa. Historial del navegador. Todo lo que puedas aportar refuerza la denuncia y la reclamación.
Sobre la recuperación del dinero: el Real Decreto-ley 19/2018 (transposición de la PSD2) establece que el banco debe devolver el importe de las operaciones no autorizadas, salvo que demuestre negligencia grave del cliente. Muchos bancos intentan escurrir el bulto alegando que el usuario "facilitó voluntariamente" sus claves, pero los tribunales españoles están fallando mayoritariamente a favor del consumidor. Reclama.
Herramientas y hábitos para blindarte
No existe la protección absoluta, pero puedes reducir drásticamente el riesgo de estafa banco con un puñado de hábitos y herramientas:
- Accede siempre al banco desde la app oficial o escribiendo la URL. Nunca desde un enlace recibido por email, SMS o WhatsApp.
- Activa las notificaciones push de tu banco. Cada movimiento genera una alerta inmediata. Si ves algo raro, actúas al instante.
- Usa un gestor de contraseñas (Bitwarden, 1Password, KeePass). Un gestor no autorrellenará las credenciales en una web falsa porque el dominio no coincide. Esa es tu primera línea de defensa automática.
- Mantén el navegador actualizado. Chrome, Firefox y Edge incluyen filtros anti-phishing (Google Safe Browsing, SmartScreen) que bloquean muchos sitios fraudulentos conocidos.
- Verifica URLs sospechosas en VirusTotal antes de abrirlas.
- Configura alertas de identidad. Servicios como el del INCIBE o el propio Have I Been Pwned te notifican si tus datos aparecen en filtraciones.
Si te interesa reforzar la privacidad de todo tu entorno digital (no solo la banca), echa un vistazo a las opciones para desactivar la telemetría en Windows: menos datos expuestos significa menos información útil para un atacante que quiera personalizar un correo falso banco dirigido a ti.
Para quienes gestionan la tecnología de casa o de una pequeña oficina, mantener todos los dispositivos actualizados y correctamente configurados es parte de la defensa. Incluso los dispositivos de domótica conectados a tu red pueden convertirse en vectores de ataque si no están parcheados.
Preguntas frecuentes
¿Mi banco me puede pedir datos por email o SMS?
No. Ningún banco español solicita contraseñas, PINs, códigos OTP ni datos de tarjeta por email, SMS o teléfono. Si recibes un mensaje así, es un intento de suplantación banco. Contacta directamente con tu oficina para confirmarlo.
¿Me devuelve el banco el dinero si soy víctima de phishing bancario?
En la mayoría de casos, sí. La normativa PSD2 obliga al banco a reembolsar operaciones no autorizadas salvo que demuestre negligencia grave del usuario. Presenta denuncia policial y reclamación formal al banco. Si te deniegan, acude al Banco de España o a una asociación de consumidores.
¿Cómo sé si un SMS de mi banco es real o falso?
Los SMS falsos pueden aparecer en el mismo hilo que los legítimos gracias al spoofing del remitente. La regla de oro: si incluye un enlace y te pide hacer algo urgente, desconfía. Abre la app del banco directamente y comprueba si hay alguna notificación real.
¿Pueden robarme dinero solo con mi número de cuenta (IBAN)?
Con el IBAN solo no pueden extraer fondos. Necesitan tus credenciales de banca online o los datos completos de tu tarjeta. Sin embargo, el IBAN combinado con otros datos personales (DNI, nombre completo) puede usarse para fraude bancario online como domiciliaciones fraudulentas, que puedes revertir en un plazo de 8 semanas.
¿Los filtros antispam protegen del phishing bancario?
Ayudan, pero no son infalibles. Los atacantes sofisticados evaden filtros usando dominios recién creados, servidores limpios y contenido que no dispara reglas heurísticas. Combina un buen filtro con sentido común: ninguna tecnología sustituye a un usuario que sabe identificar las señales. Si te interesan otros tipos de estafas por phishing con Bizum, el patrón de engaño es similar.
El siguiente paso
Abre ahora mismo la configuración de seguridad de tu banca online y activa las notificaciones push para cada movimiento de cuenta y tarjeta. Es gratis, tarda menos de dos minutos y convierte cada transacción no autorizada en una alerta inmediata que te permite actuar antes de que el daño sea mayor. Si tu banco ofrece autenticación con app en lugar de SMS, actívala también: es la diferencia entre un cerrojo y una cerradura de tres puntos.
