← Volver al blog
Phishing phishing banco sms

5 señales de que un SMS del banco es una estafa

Llevas el móvil en el bolsillo. Llega una vibración. Lo desbloqueas y lees: tu banco te avisa de un acceso sospechoso. Hay un enlace. Hay urgencia. Hay un tono que imita a la perfección el de los mensajes que sí son reales. Lo que no hay es ningún motivo para fiarte. Este artículo existe porque ese SMS ya ha vaciado cuentas. Aprende a leerlo antes de tocarlo.

La anatomía del timo: cómo funciona por dentro

El phishing por SMS bancario —también llamado smishing— tiene una mecánica sencilla y efectiva. El estafador envía un mensaje masivo haciéndose pasar por una entidad financiera conocida. El objetivo no es convencerte de nada elaborado: solo necesita que hagas clic en un enlace y, una vez dentro, que escribas tus credenciales en un formulario que parece el de tu banco pero no lo es.

El dominio falso recoge tus datos en tiempo real. En los casos más sofisticados, hay una persona al otro lado esperando esos datos para introducirlos simultáneamente en la web real de tu banco y autorizar una transferencia antes de que cierres la pestaña. Se llama ataque en tiempo real y funciona incluso con doble factor de autenticación si el estafador actúa con rapidez y tú no detectas nada raro.

La escala es el negocio. Si uno de cada doscientos destinatarios cae, el timo es rentable. No te han elegido a ti: te han incluido en una lista.

Las 5 señales que delatan el SMS falso

1. El enlace no pertenece al dominio oficial del banco

Este es el indicador más fiable. Lee el enlace completo antes de pulsarlo. Los dominios fraudulentos imitan al real con pequeñas variaciones que el ojo pasa por alto cuando va con prisa.

Ejemplo de SMS fraudulento:
"BANCO SEGURO: Hemos detectado un acceso no autorizado a tu cuenta. Verifica tu identidad en las próximas 2 horas para evitar el bloqueo: banco-seguro-verificacion.net/acceso — Att. Seguridad Digital"

El dominio oficial de cualquier banco español es corto, reconocible y no incluye palabras como verificacion, seguro ni guiones de relleno. Direcciones del tipo banco-seguro.net/verificar o mi-banco-online.com/acceso son fabricadas para parecer legítimas a primera vista. Si el dominio que aparece no coincide exactamente con el que usas para entrar a tu banca online, para.

2. El mensaje mete prisa

La urgencia es la palanca. "Tienes 24 horas", "actúa ahora", "tu cuenta será bloqueada". Estas frases no aparecen porque tu banco tenga una política de plazos agresiva. Aparecen porque el estafador necesita que no pienses. Cuanto menos tiempo te tomes, menos probabilidades tienes de notar lo que falla.

Tu banco real también puede enviarte alertas, pero rara vez te fija un plazo de horas para que hagas clic en un enlace bajo amenaza de bloqueo inmediato. Cuando un SMS te mete prisa, esa prisa es la señal.

3. Te pide datos que el banco ya tiene

Un banco no te pedirá por SMS tu número de tarjeta, tu PIN, tu contraseña de banca online ni el código de seguridad. Los tiene. Si el formulario al que te lleva el enlace pide alguno de estos datos, estás en una página falsa. Sin excepciones.

La lógica es simple: la entidad que gestiona tu cuenta no necesita que se la vuelvas a contar. Si alguien te la pide, es porque no la tiene.

4. El remitente parece legítimo pero no lo es

Los sistemas de envío masivo permiten falsificar el nombre del remitente. Puedes recibir un SMS que aparezca bajo el mismo hilo de conversación que los mensajes reales de tu banco, con el mismo nombre en la cabecera. Esto se llama suplantación de remitente y confunde incluso a usuarios experimentados.

Que el nombre diga "BBVA", "Santander" o "CaixaBank" no garantiza que el mensaje venga de ellos. El remitente es manipulable. El dominio del enlace, en cambio, no miente: o es el oficial o no lo es.

5. El SMS tiene errores o un tono ligeramente forzado

No todos los mensajes fraudulentos están mal escritos. Algunos son impecables. Pero muchos arrastran pequeños fallos: una coma fuera de lugar, una frase con estructura rara, un acento que sobra o que falta, un trato que no coincide con el que usa tu banco habitualmente.

Compara el tono con mensajes anteriores de tu entidad. Si algo en la redacción te resulta extraño, confía en esa sensación. No es paranoia: es atención.

Qué hacer ahora mismo si recibes uno

Primero: no pulses el enlace. Si ya lo has hecho pero no has introducido datos, el riesgo es menor, aunque conviene actuar de todos modos.

  1. Llama a tu banco directamente. Usa el número que aparece en tu tarjeta o en la web oficial que escribes tú en el navegador, nunca el que aparezca en el SMS. Pregunta si hay alguna incidencia real en tu cuenta.
  2. Cambia tus credenciales de acceso desde la aplicación oficial o desde la web oficial si sospechas que introdujiste algún dato en el formulario falso.
  3. Avisa a tu banco del intento de fraude. Tienen equipos específicos para esto y pueden alertar al resto de sus clientes.
  4. Denuncia el SMS. La Policía Nacional y la Guardia Civil aceptan denuncias por fraude electrónico. El INCIBE dispone de una línea de ayuda en ciberseguridad (017) y la Oficina de Seguridad del Internauta (OSI) tiene formularios específicos para reportar estos casos.
  5. Bloquea y elimina el mensaje. No lo reenvíes a contactos sin advertir claramente de qué se trata.

Si has introducido datos y has autorizado alguna operación, contacta con tu banco de inmediato para intentar detener la transferencia. El tiempo importa, pero no entres en pánico: haz las llamadas en orden y con la información preparada.

Decálogo: 10 reglas para no caer en el phishing bancario por SMS

  1. Lee el dominio del enlace antes de tocarlo. Si no coincide exactamente con el oficial, no hagas clic.
  2. Desconfía de cualquier SMS que te meta prisa. La urgencia es una técnica, no una realidad.
  3. Recuerda que el nombre del remitente se puede falsificar. El hilo de conversación no garantiza nada.
  4. Ningún banco te pedirá tu PIN o contraseña por SMS. Jamás. Bajo ningún concepto.
  5. Ante la duda, llama. Marca el número oficial y pregunta directamente.
  6. Accede siempre a tu banca escribiendo la dirección tú mismo o desde la aplicación oficial descargada de la tienda oficial.
  7. Activa las alertas de movimientos de tu cuenta. Así detectas operaciones no autorizadas en tiempo real.
  8. Denuncia los intentos aunque no hayas caído. Cada reporte ayuda a identificar campañas activas.
  9. Informa a quienes te rodean. El smishing funciona por escala; cuanta más gente lo reconoce, menos rentable es.
  10. Revisa las fuentes: INCIBE, OSI, Policía Nacional. Publican alertas activas sobre campañas en curso. Consúltalas.

Entrena tu instinto.

La app es gratis. El juego físico, bajo pedido. En ambos, 54 casos reales para entrenar el ojo.

Ver el manual