Por qué el verano es la temporada favorita de los estafadores bancarios

No es casualidad que los ataques de phishing se disparen entre junio y agosto. La lógica es brutal: la gente está más distraída, hace más pagos online (vuelos, hoteles, actividades), usa más redes wifi públicas en aeropuertos o terrazas, y tiene el móvil en la mano todo el día. Los estafadores lo saben y ajustan sus campañas a ese calendario con una precisión que da miedo.

A esto se suma que en verano muchos usuarios activan servicios nuevos: apps de alquiler de coches, plataformas de reservas, servicios de streaming para el viaje. Cada vez que introduces tus datos en un sitio nuevo, amplías la superficie de ataque. Y si además usas la misma contraseña en varios sitios, un solo fallo puede encadenar varios robos.

El perfil de víctima ha cambiado mucho. Ya no es solo el usuario mayor con poca experiencia digital. Hoy caen personas de 30 y 40 años, acostumbradas a gestionar su banco desde el móvil, precisamente porque confían demasiado en lo que conocen. La familiaridad con los mensajes bancarios se convierte, paradójicamente, en una vulnerabilidad.

Las tres técnicas que están arrasando ahora mismo y cómo funcionan por dentro

La primera y más extendida es el 'smishing con hilo de conversación'. Tu banco real te ha mandado mensajes anteriores y aparecen en tu móvil agrupados. Los estafadores consiguen que su SMS falso aparezca en ese mismo hilo, porque el nombre del remitente se puede suplantar fácilmente. El mensaje dice algo como: 'Hemos detectado un acceso no autorizado. Pulsa aquí para verificar tu identidad.' El enlace lleva a una web que es un calco exacto de la de tu banco. Introduces usuario y contraseña, recibes un código por SMS que también introduces, y en ese momento los atacantes acceden a tu cuenta en tiempo real. Todo el proceso puede durar menos de tres minutos.

La segunda técnica es el 'vishing mejorado': una llamada de teléfono en la que el número que aparece en pantalla es el del servicio de atención al cliente de tu banco real. Lo consiguen mediante una técnica llamada spoofing de número. La persona al otro lado suena profesional, te da algunos datos reales sobre tu cuenta (conseguidos previamente en filtraciones de datos) y te pide que confirmes una operación o que instales una 'app de seguridad' que en realidad es un troyano. Si recibes una llamada así, cuelga y llama tú directamente al número oficial del banco desde otro dispositivo. Puedes consultar más casos similares en nuestra sección de alertas de estafas financieras.

La tercera técnica, más reciente y más sofisticada, es el phishing por email con QR. Te llega un correo aparentemente de tu entidad diciendo que hay una actualización de seguridad obligatoria. En lugar de un enlace clicable (que muchos filtros antiphishing ya detectan), incluyen un código QR. El usuario lo escanea con el móvil, que casi nunca tiene las mismas protecciones que el ordenador, y aterriza en la web falsa. La barrera del sentido crítico baja porque el QR se percibe como algo 'moderno y seguro'. No lo es.

💬 ¿Qué opinas tú sobre esta noticia? Comenta más abajo →

Señales concretas que delatan un mensaje falso (aunque parezca perfecto)

Aunque las falsificaciones son cada vez mejores, siguen teniendo fallos que puedes detectar si sabes dónde mirar. Lo primero es la URL: aunque el diseño de la web sea impecable, la dirección del navegador nunca será exactamente la del banco real. Puede ser 'banco-seguro.es' o 'bankinteronline.com' en vez del dominio oficial. Antes de introducir cualquier dato, mira siempre la barra de direcciones. En el móvil tienes que tocar en ella para que se muestre completa.

Lo segundo es la urgencia artificial. Los mensajes legítimos de los bancos no te ponen un plazo de '24 horas o se bloqueará tu cuenta'. Ese tipo de presión es una técnica de manipulación psicológica deliberada para que actúes antes de pensar. Si un mensaje te genera ansiedad y te empuja a hacer algo inmediatamente, para. Respira. Cierra el mensaje y accede a tu banca online escribiendo tú mismo la dirección en el navegador.

Lo tercero es que tu banco nunca te pedirá el PIN completo, la contraseña completa ni el código CVV de tu tarjeta por ningún canal. Ni por SMS, ni por llamada, ni por email, ni por chat. Si algo o alguien te pide eso, es una estafa sin excepción. Guarda esta regla como si fuera la más importante de tus finanzas personales, porque puede serlo. Y si sospechas que ya has caído, actúa en los siguientes pasos.

Qué hacer en los próximos diez minutos si crees que te han estafado

La velocidad lo es todo. Si has introducido tus credenciales en un sitio sospechoso o has dado información por teléfono, llama inmediatamente al número de atención al cliente de tu banco (el que aparece en el reverso de tu tarjeta, no el que te han dado ellos) y pide el bloqueo preventivo de la cuenta y las tarjetas. Muchos bancos tienen equipos de fraude disponibles las 24 horas. Cada minuto cuenta porque los atacantes operan de forma automatizada en tiempo real.

Después, cambia la contraseña desde un dispositivo seguro, activa la verificación en dos pasos si no la tenías, y revisa los últimos movimientos de tu cuenta. Si hay cargos que no reconoces, solicita su devolución de forma inmediata. Los bancos tienen la obligación de investigar y, en muchos casos, de devolver el dinero si demuestras que actuaste de buena fe. Documentar todo (capturas, números de llamada, correos recibidos) te ayudará enormemente en esa reclamación. También puedes leer cómo proceder si tu banco te ha cobrado de forma indebida, porque el proceso de reclamación tiene muchos puntos en común.

Por último, denuncia. Tanto la Policía Nacional como la Guardia Civil tienen unidades de delitos telemáticos con formularios online. No creas que es inútil o que no vale para nada: esas denuncias alimentan bases de datos que ayudan a detener a las redes de estafadores y a alertar a otras víctimas potenciales. Además, la denuncia puede ser necesaria si el banco te pide acreditar que has sufrido un fraude para tramitar la devolución del dinero. Y si la situación te ha dejado sin liquidez en pleno verano, existen opciones como los préstamos sin intereses para primeros solicitantes que pueden ser un puente mientras resuelves la situación, aunque antes conviene explorar todas las alternativas. También recuerda que si el incidente ha afectado tu historial crediticio, puedes informarte sobre cómo saber si estás en ASNEF para actuar cuanto antes. Y ten en cuenta que los estafadores no solo operan por SMS o email: como puedes ver en este reportaje, también llegan por WhatsApp haciéndose pasar por prestamistas legítimos, así que el radar tiene que estar encendido en todos los canales.