Cómo funciona el phishing bancario en 2026: ya no es lo que era

El phishing clásico consistía en un correo mal escrito, con faltas de ortografía, que pedía tus datos bancarios con una excusa burda. Eso ya casi no existe. Los ciberdelincuentes de hoy usan herramientas de inteligencia artificial para redactar mensajes perfectos, sin errores, con el tono exacto de tu banco. El logotipo es idéntico. El número de teléfono parece el mismo. Incluso el hilo de SMS donde aparece el mensaje es el mismo que usa tu entidad real, porque han aprendido a inyectar mensajes en conversaciones legítimas.

La técnica más extendida ahora mismo se llama smishing, que es el phishing por SMS. Te avisan de un acceso no autorizado a tu cuenta, o de un cargo inusual, o de que tu tarjeta ha sido bloqueada. El mensaje incluye un enlace que te lleva a una página web que es una copia exacta de la de tu banco. Introduces tus credenciales, y en ese momento las has entregado. A veces incluso te piden el código de verificación que te llega por SMS, con el argumento de que es para confirmar tu identidad. Ese código es el que les permite transferir tu dinero.

Hay otra variante que está creciendo especialmente en momentos de necesidad económica: los estafadores saben que en junio muchas familias afrontan gastos importantes, desde matrículas universitarias hasta el IBI o el seguro del coche. El mensaje que llega justo cuando más necesitas dinero no es casualidad: explotan el contexto emocional para que actúes rápido sin pensar. Si estás agobiado por los gastos del mes, un aviso de tu banco sobre un problema en tu cuenta activa el pánico y desactiva el razonamiento crítico.

También hay phishing por llamada telefónica, conocido como vishing. Una persona te llama, dice ser del servicio de fraudes de tu banco, y te habla con terminología técnica convincente. Te pide que confirmes datos 'para proteger tu cuenta'. En algunos casos incluso usan grabaciones de voz generadas por IA que imitan la voz de operadores reales. El nivel de sofisticación ya no es anecdótico: es industrial.

Las señales que debes detectar antes de hacer clic en nada

La primera regla que debes grabar a fuego: tu banco nunca te va a pedir que confirmes tu contraseña, tu PIN ni tu código SMS a través de un enlace. Nunca. Ni por mensaje, ni por email, ni por teléfono. Si alguien te lo pide con ese argumento, es una estafa, independientemente de lo real que parezca el mensaje. Esta es la señal más fiable y la que más gente ignora porque el mensaje llega en el peor momento posible.

Fíjate siempre en la URL antes de introducir cualquier dato. Los estafadores crean dominios que se parecen mucho al original pero con alguna variación mínima: en vez de 'bbva.es' puede ser 'bbva-seguridad.es' o 'bbvacuenta.com'. Si accedes desde el móvil, la barra de direcciones es muy pequeña y fácil de ignorar. Oblígate a ampliarla y leerla completa. Un dominio legítimo de banco es siempre corto, oficial y con certificado de seguridad (el candado verde en el navegador). Si el candado no está o el dominio tiene guiones raros, sal de ahí.

Otro indicador importante es la urgencia exagerada. Los mensajes de phishing siempre tienen prisa: 'tienes 24 horas', 'actúa ahora o bloquearemos tu cuenta', 'responde antes de las 18:00'. Tu banco real gestiona los problemas de seguridad de forma proactiva sin presionarte de esa manera. La urgencia artificial es una técnica de manipulación psicológica clásica. Cuando sientas esa presión, para. Respira. Y llama directamente a tu banco usando el número del reverso de tu tarjeta, no el que aparece en el mensaje.

Si recibes un email sospechoso, puedes hacer una cosa muy sencilla antes de hacer clic en nada: pasa el ratón por encima del enlace sin pulsarlo (en móvil, mantén el dedo pulsado un momento). Verás la URL real a la que apunta. Si no coincide con la web oficial de tu banco, borra el mensaje y llama a tu entidad. También puedes reenviar el mensaje sospechoso al INCIBE (a través de sus canales de reporte) para que quede registrado y ayudes a otras personas.

💬 ¿Qué opinas tú sobre esta noticia? Comenta más abajo →

Qué hacer si ya has caído: los pasos exactos en orden

Si has introducido tus credenciales en una página falsa o has dado un código de verificación a alguien por teléfono, actúa en los siguientes minutos, no en las siguientes horas. Lo primero: llama inmediatamente a tu banco al número oficial que figura en tu tarjeta o en la web oficial (que tienes que buscar escribiendo tú la dirección, no siguiendo ningún enlace). Pide que bloqueen tu tarjeta y que congelen cualquier transferencia pendiente. Muchos bancos tienen protocolos de emergencia que permiten revertir operaciones si se actúa con rapidez suficiente.

Segundo paso: cambia la contraseña de tu banca online desde un dispositivo que sepas que es seguro, y activa la autenticación en dos pasos si todavía no la tienes activada. Tercero: revisa todos los movimientos de las últimas horas y haz una captura de pantalla de cualquier operación que no reconozcas. Esa documentación va a ser esencial si tienes que presentar una reclamación formal o una denuncia. Cuarto: denuncia ante la Policía Nacional o la Guardia Civil. Puedes hacerlo online a través de sus portales oficiales sin necesidad de desplazarte físicamente.

Mucha gente no sabe que, en determinados casos, el banco tiene obligación legal de devolverte el dinero si se demuestra que fuiste víctima de una estafa con operaciones no autorizadas. La normativa de servicios de pago vigente en España establece que la entidad responde salvo que pueda acreditar que actuaste con negligencia grave. Por eso es tan importante documentar todo: el mensaje recibido, el momento en que actuaste, y la comunicación inmediata con el banco. Si el banco se niega a reembolsarte sin justificación clara, puedes escalar la reclamación al Banco de España. El timo de Bizum que vacía la cuenta en segundos sigue la misma lógica: documentar y reclamar en orden.

Por último, avisa a tu entorno cercano. No por vergüenza, sino porque caer en estas estafas no es señal de ignorancia: es señal de que el ataque estaba muy bien construido. Comentarlo con familia y amigos puede evitar que ellos caigan en el mismo timo. Los estafadores reutilizan las mismas campañas durante semanas.

Protégete de forma activa: hábitos que funcionan de verdad

La mejor defensa no es reactiva sino preventiva. Activa ya mismo las notificaciones push de tu banco para cada movimiento en tu cuenta. Así sabrás en tiempo real si hay alguna operación que no has hecho tú, antes incluso de que los estafadores puedan actuar. La mayoría de las apps bancarias lo permiten de forma gratuita en los ajustes de notificaciones. Si tu banco no lo ofrece, considéralo un criterio de calidad para valorar si esa entidad merece tu confianza.

Usa contraseñas únicas para tu banca online, distintas a las de cualquier otro servicio. Un gestor de contraseñas como Bitwarden (gratuito y de código abierto) puede ayudarte a mantener contraseñas fuertes sin tener que memorizarlas todas. Si alguien obtiene la contraseña de tu correo electrónico o de otro servicio, no debería poder acceder con esa misma clave a tu cuenta bancaria. La reutilización de contraseñas es uno de los vectores de entrada más habituales en los ataques dirigidos.

Si en algún momento necesitas préstamos para emergencias o tienes que gestionar una situación financiera urgente, hazlo siempre desde webs que conozcas y en las que confíes, escribiendo la URL directamente en el navegador. Nunca hagas clic en anuncios o enlaces de correos que lleguen justo cuando más lo necesitas: ese es el momento que los estafadores esperan. Puedes usar nuestro comparador de préstamos para evaluar opciones legítimas con calma, sin presión y con información clara.

Y si en algún momento ves una oferta de préstamo que parece demasiado buena para ser real, con condiciones imposibles o sin ningún tipo de verificación, probablemente sea parte de una estafa de préstamos falsos, que también está en auge. Comprueba siempre que la financiera está registrada en el Banco de España antes de facilitar ningún dato. En nuestra sección de financieras activas puedes ver entidades verificadas que operan legalmente en España.