Llegó un SMS de tu banco avisándote de un cargo sospechoso. El tono es el de siempre, el logo es el de siempre y el mensaje aparece en el mismo hilo donde están tus códigos de verificación reales. Pulsas el enlace porque parece urgente. En ese momento empieza el robo. El INCIBE certificó en su último balance anual que el fraude online creció un 19% en España, con más de 25.000 incidentes de phishing bancario en 2025, y todo apunta a que 2026 va a ser peor.
Lo que ha cambiado no es la intención de los estafadores —esa siempre fue la misma— sino sus herramientas. La inteligencia artificial les permite generar mensajes sin errores gramaticales, adaptados al estilo comunicativo de cada banco y personalizados con datos reales de la víctima obtenidos de filtraciones previas. Lo que antes delataba a los timadores —la redacción chapucera, los acentos mal puestos— ha desaparecido casi por completo de las campañas más sofisticadas.
Cómo vacían tu cuenta bancaria en menos de diez minutos
El ataque más habitual combina dos movimientos. Primero llega el SMS alarmante —«Se ha detectado un acceso no autorizado a tu cuenta»— con un enlace que lleva a una web idéntica a la de tu banco. El usuario introduce sus credenciales creyendo que cancela una operación fraudulenta, y en ese preciso instante sus datos llegan en tiempo real al estafador, que los usa para entrar y transferir el dinero.
Lo que hace especialmente peligrosa esta versión del fraude es el llamado SMS spoofing: los delincuentes manipulan el identificador del remitente para que el mensaje aparezca con el nombre de tu banco, integrado en el mismo hilo donde están tus códigos reales. Ver ese SMS junto a una alerta legítima de Santander o CaixaBank desactiva cualquier sospecha inicial, incluso en personas habituadas a desconfiar.
Qué tiene que ver el banco con la devolución de tu dinero
El banco y el smishing llevan juntos en los tribunales españoles varios años, y la jurisprudencia empieza a ponerse del lado del cliente. La normativa de servicios de pago obliga a las entidades a demostrar que el usuario actuó con negligencia grave si quieren evitar devolver el dinero sustraído. Ser víctima de un engaño diseñado con IA no equivale a ser negligente.
La estrategia habitual del banco es culpar a quien cae en la trampa: argumentan que el cliente hizo clic voluntariamente y proporcionó sus claves. Pero cuando el mensaje llega en el mismo hilo de comunicaciones reales y reproduce con exactitud el lenguaje corporativo de la entidad, los jueces cada vez consideran menos razonable exigir al ciudadano medio que lo detecte sin ayuda técnica especializada.
La llamada que convierte la duda en certeza
Los estafadores combinan con frecuencia el SMS con una llamada del supuesto departamento de seguridad del banco para rematar el golpe. Cuando la víctima recibe un código OTP real de su entidad durante esa llamada —porque el criminal acaba de iniciar una operación desde la cuenta—, lo interpreta como prueba de que la conversación es legítima y lo dicta en voz alta. En ese instante, la cuenta queda comprometida de forma irreversible.
La sofisticación llega al punto de que el timador conoce el nombre completo de la víctima, el saldo aproximado de su cuenta y su última compra, datos obtenidos de filtraciones masivas que circulan en foros clandestinos. El banco nunca pide por teléfono códigos de verificación ni claves de acceso, pero cuando todo lo demás parece legítimo, ese detalle se olvida con facilidad.
Cuatro señales que delatan el mensaje falso
Los ciberdelincuentes se han perfeccionado, pero no son infalibles. Fijarse en los detalles correctos sigue siendo la defensa más eficaz:
- Urgencia artificial: ningún banco real exige actuar en menos de una hora o amenaza con bloquear la cuenta de forma permanente.
- Enlace en el SMS: los bancos españoles envían SMS informativos y códigos OTP, pero no incluyen enlaces para gestionar incidencias de seguridad.
- Petición de código OTP por teléfono: si alguien llama pidiéndote el código que acaba de llegarte al móvil, esa persona es el estafador.
- Datos «de verificación»: que el interlocutor conozca tu nombre o tu último movimiento no prueba que sea tu banco; prueba que ha accedido a una filtración.
Qué hacer en los primeros quince minutos si caes en la trampa
Si sospechas que has facilitado tus datos a un mensaje falso, cada minuto cuenta. Llama de inmediato al número oficial de tu banco —el del reverso de tu tarjeta o el de la app— y pide el bloqueo preventivo de tus cuentas y tarjetas. No uses el número que aparece en el SMS sospechoso ni el que te haya dado el supuesto agente de seguridad.
Denuncia cuanto antes
Interpón la denuncia en la Guardia Civil, la Policía Nacional o a través del portal del INCIBE (017) antes de que transcurran 24 horas. Cuanto antes quede documentado el fraude, más sólida será tu posición si tienes que reclamarle al banco la devolución del dinero sustraído.
Conserva todas las pruebas
Haz capturas de pantalla del SMS, el historial de llamadas y cualquier web a la que hayas accedido antes de borrar nada. Esa documentación es tu principal argumento legal. Los bancos devuelven el dinero con mucha más frecuencia cuando el cliente puede demostrar la sofisticación del engaño y que actuó sin negligencia grave.
El futuro inmediato: IA contra IA en la guerra por tu cuenta bancaria
La respuesta de las entidades financieras y del INCIBE está llegando, aunque con retraso respecto a los atacantes. La línea 017 atendió casi 143.000 consultas en 2025 y se están desplegando sensores de detección en redes de telecomunicaciones para interceptar campañas de smishing antes de que lleguen al usuario. Los grandes bancos españoles ya prueban sistemas de IA que analizan patrones de comportamiento en tiempo real y bloquean transferencias sospechosas aunque el acceso haya sido autorizado con credenciales válidas.
La carrera no va a terminar pronto: cada mejora defensiva provoca una respuesta ofensiva más elaborada. Pero hay una ventaja que los algoritmos no pueden quitarte: saber exactamente qué nunca hará tu banco por SMS ni por teléfono. Esa sola pieza de información convierte el mensaje más sofisticado del mundo en papel mojado.
