La alerta vuelve a encenderse en España: crecen las campañas de phishing y smishing que se hacen pasar por los principales bancos nacionales para robar credenciales, códigos de un solo uso y, en última instancia, el dinero de los clientes. Los atacantes combinan mensajes de texto con correos electrónicos y páginas web clonadas que imitan con precisión la imagen de Banco Santander, CaixaBank y BBVA. La estrategia es simple y eficaz: provocar urgencia con avisos de “bloqueo temporal”, “actividad sospechosa” o “actualización obligatoria”, y arrastrar al usuario a un formulario donde entrega sus datos sin sospecharlo.
El recorrido del fraude suele comenzar en el móvil; el destinatario recibe un SMS que, en ocasiones, se inserta dentro del mismo hilo oficial del banco gracias a técnicas de suplantación del remitente. El enlace conduce a una web falsa con dominio muy similar al real, certificado válido y diseño idéntico al del banco. Allí le piden usuario, contraseña y, minutos después, un código OTP que el criminal solicita en paralelo al intentar acceder a la cuenta auténtica. Cuando el cliente introduce el código, autoriza sin saberlo transferencias inmediatas, compras con tarjeta o cambios en los límites de seguridad.
El engaño se perfecciona con llamadas telefónicas posteriores. Un supuesto “agente de seguridad” contacta para “verificar operaciones” y legitima la urgencia del mensaje. En ese contexto, el usuario baja la guardia y comparte más información: DNI, número de tarjeta, fecha de caducidad e incluso respuestas a preguntas de seguridad. Los ciberdelincuentes también incorporan malware bancario móvil mediante apps de “seguridad” que piden permisos de accesibilidad; si el usuario las instala, los atacantes pueden leer SMS, interceptar notificaciones y tomar control parcial del dispositivo.
Desde una perspectiva empresarial, el riesgo es mayor de lo que parece. Directivos y empleados utilizan con frecuencia cuentas bancarias personales vinculadas a gastos corporativos, suscripción de herramientas, nóminas o pagos a proveedores. Un fraude exitoso puede afectar tesorería, continuidad operativa y reputación, además de derivar en incidencias de protección de datos si se exponen credenciales reutilizadas en servicios de la compañía. El impacto no termina con la devolución del dinero: incluye horas de remediación, bloqueo temporal de medios de pago, relación tensa con proveedores y pérdida de confianza de clientes internos.
Para reducir la superficie de ataque es clave elevar la higiene digital. Los bancos no solicitan claves ni códigos por SMS o email, no piden instalar apps fuera de las tiendas oficiales y no exigen “verificaciones urgentes” en horarios intempestivos. Antes de pulsar, conviene examinar la URL real escribiéndola manualmente en el navegador o accediendo desde la app oficial, revisar el candado sin que esto sea garantía absoluta, y desconfiar de cualquier enlace acortado. Nunca compartas un OTP recibido por SMS o notificación push, ni lo dictes por teléfono: ese código solo sirve para autorizar operaciones en curso.
En el ámbito corporativo, recomendamos a dirección implantar un procedimiento interno de verificación bancaria: ante cualquier aviso, el empleado debe validar por canal alternativo llamando al número oficial del banco (no al del SMS), y reportar el intento al equipo TI. Resulta crítico activar autenticación fuerte en banca online, segmentar tarjetas para gastos con límites y alertas, y separar identidades personales y corporativas para evitar cascadas de compromisos. La formación periódica en ingeniería social, con ejemplos reales y simulaciones, sigue siendo el control más coste-efectivo.
El fenómeno encaja con un patrón más amplio: la profesionalización del fraude. Bandas especializadas alquilan infraestructuras de smishing, rotan dominios y certificados, automatizan la creación de webs falsas y explotan fugas previas de datos para personalizar mensajes. El resultado es un phishing de alta fidelidad que apenas deja señales evidentes para un usuario no entrenado. De ahí que las medidas técnicas deban ir acompañadas de políticas de “duda por defecto” y una cultura que premie reportar a tiempo, incluso cuando se trate de falsas alarmas.