Volver

Email falso del banco

El phishing bancario por email es una de las estafas más antiguas de internet, pero sigue funcionando porque los delincuentes perfeccionan constantemente sus técnicas. Recibes un correo electrónico que parece enviado por tu banco alertándote de un problema con tu cuenta. El objetivo es que hagas clic en un enlace y entregues tus credenciales de banca online a los estafadores.

Estos emails se envían de forma masiva a millones de direcciones. Los delincuentes no saben en qué banco tienes cuenta, así que lanzan campañas suplantando a las principales entidades españolas: Santander, BBVA, CaixaBank, Sabadell, ING, Bankinter... Confían en que, estadísticamente, un porcentaje de receptores tendrá cuenta en el banco suplantado y algunos caerán en la trampa.

Cómo funciona

El fraude del email bancario falso sigue un patrón bien establecido que ha ido refinándose con los años. Conocer cada fase te ayudará a identificar el engaño antes de que sea tarde.

El email

El correo electrónico llega a tu bandeja de entrada con apariencia completamente profesional. Los estafadores copian meticulosamente el diseño corporativo del banco: logotipos, colores, tipografías, estructura del mensaje e incluso pies de página con información legal. A primera vista, es indistinguible de un email legítimo.

El remitente aparece como el nombre del banco, aunque si examinas la dirección real verás que no corresponde al dominio oficial. Los delincuentes usan direcciones como "seguridad@santander-alertas.com" o "avisos@bbva-seguridad.net", que suenan oficiales pero no lo son.

Ejemplos típicos de asuntos que usan estos emails:

  • "Alerta de seguridad: acceso no autorizado detectado" genera pánico inmediato haciéndote creer que alguien ha entrado en tu cuenta.
  • "Su cuenta ha sido temporalmente suspendida" te hace pensar que no podrás acceder a tu dinero si no actúas.
  • "Actualización de datos obligatoria" parece un trámite rutinario que debes completar.
  • "Confirme su identidad para evitar el bloqueo" combina urgencia con amenaza de perder el acceso.
  • "Nuevo dispositivo detectado en su cuenta" aprovecha que mucha gente cambia de móvil y podría creerlo legítimo.

El contenido del mensaje

El cuerpo del email está diseñado para generar una respuesta emocional que anule tu capacidad de análisis. Los estafadores juegan con el miedo a perder dinero o acceso a tu cuenta, y con la urgencia de resolver el supuesto problema inmediatamente.

Un email típico de phishing bancario contiene estos elementos:

  • Saludo genérico como "Estimado cliente" en lugar de tu nombre real. Los bancos legítimos te llaman por tu nombre porque lo conocen.
  • Descripción del problema inventado: actividad sospechosa, necesidad de verificar datos, actualización de seguridad obligatoria, cambio en las condiciones del servicio.
  • Consecuencias si no actúas: bloqueo de cuenta, pérdida de acceso, cargos por inactividad, eliminación de datos.
  • Plazo límite para resolver el problema, generalmente muy corto (24-48 horas) para que no tengas tiempo de pensar.
  • Botón o enlace prominente con texto como "Acceder ahora", "Verificar cuenta", "Actualizar datos" o "Resolver incidencia".
  • Información de contacto falsa que parece legítima pero no corresponde a los canales oficiales del banco.

La web falsa

Al hacer clic en el enlace del email, llegas a una página web que replica con precisión la web de banca online del banco suplantado. Los estafadores clonan el diseño pixel a pixel: la página de login, los menús, los iconos, incluso los avisos de seguridad. La única diferencia está en la URL, que no es la oficial.

La página te pide que introduzcas tus credenciales de acceso:

  • Usuario o DNI que usas para entrar en la banca online
  • Contraseña de acceso a tu cuenta
  • Firma electrónica o código de operaciones si el banco lo usa
  • Número de tarjeta en algunos casos
  • Código de verificación SMS que te envían en ese momento, lo que significa que los estafadores están intentando entrar en tu cuenta real en tiempo real

Este último punto es especialmente peligroso: algunas webs de phishing sofisticadas funcionan en tiempo real. Mientras tú introduces tus datos en la web falsa, los estafadores los usan simultáneamente para entrar en tu cuenta real. Cuando tu banco te envía un SMS con un código de verificación, tú lo introduces en la web falsa pensando que es parte del proceso, y ellos lo usan para completar la operación fraudulenta.

🚨 El phishing en tiempo real: la trampa más peligrosa

Si una web te pide un código SMS "de verificación" mientras estás introduciendo tus datos, para inmediatamente. Eso significa que los estafadores están intentando entrar en tu cuenta real EN ESTE MOMENTO y necesitan el código que tu banco te acaba de enviar. Ese SMS no es para "verificar" nada en la web donde estás: es la llave que les abre tu cuenta. Cierra todo, llama al banco y bloquea.

El robo

Una vez que los estafadores tienen tus credenciales, el daño puede ser devastador. A diferencia del fraude con tarjeta, donde los cargos suelen ser limitados, el acceso a tu banca online les da control total sobre tus cuentas.

Con acceso a tu banca online, los delincuentes pueden realizar estas acciones:

  • Transferencias a cuentas controladas por ellos, a menudo en el extranjero o a través de "mulas" (personas que prestan sus cuentas para blanquear dinero).
  • Contratación de préstamos a tu nombre si el banco permite hacerlo online. Te endeudan y se quedan el dinero.
  • Cambio de datos de contacto para que no recibas alertas de las operaciones fraudulentas.
  • Acceso a información personal que pueden usar para otras estafas o vender a terceros.
  • Domiciliación de recibos a favor de empresas controladas por ellos.

El vaciado de una cuenta puede ocurrir en minutos. Por eso es crucial actuar inmediatamente si sospechas que has caído en este tipo de fraude.

Señales de alerta

Identificar un email de phishing bancario antes de interactuar con él es tu mejor protección. Hay múltiples indicadores que delatan estos mensajes si sabes dónde mirar. Con la práctica, los detectarás en segundos.

El remitente

La dirección de email del remitente es la primera pista. Los bancos españoles envían comunicaciones desde sus dominios oficiales: @santander.es, @bbva.es, @caixabank.es, @ing.es, etc. Cualquier variación es sospechosa.

Los estafadores usan direcciones que suenan oficiales pero no lo son. Ejemplos reales de remitentes fraudulentos:

  • seguridad@santander-online.com (el dominio real sería santander.es)
  • alertas@bbva-espana.net (el dominio real sería bbva.es)
  • verificacion@lacaixa-seguridad.com (el dominio real sería caixabank.es)
  • soporte@banco-ing.es (el dominio real sería ing.es)

Fíjate en el dominio completo, lo que viene después de la @. Si tiene palabras adicionales, guiones o extensiones diferentes a las oficiales, es falso.

El saludo

Los emails legítimos de tu banco te saludan por tu nombre porque te conocen. "Hola María", "Estimado Sr. García", "Buenos días, Juan". Si el email usa saludos genéricos como "Estimado cliente", "Querido usuario" o directamente no tiene saludo, es una señal clara de phishing.

Los estafadores envían el mismo email a millones de personas, así que no pueden personalizar el saludo. Algunos más sofisticados consiguen incluir tu nombre si lo han obtenido de filtraciones de datos, pero la mayoría usa fórmulas genéricas.

El tono y la urgencia

Los emails de phishing siempre transmiten urgencia y consecuencias negativas. "Tu cuenta será bloqueada en 24 horas", "Acción inmediata requerida", "Último aviso antes de la suspensión". Esta presión está diseñada para que actúes sin pensar.

Los bancos reales no funcionan así. Si hay un problema con tu cuenta, te dan tiempo razonable para resolverlo y te ofrecen múltiples formas de contacto. No te amenazan con bloqueos inmediatos ni te meten prisa.

Los errores

Muchos emails de phishing contienen errores ortográficos, gramaticales o de formato. Frases mal construidas, tildes que faltan o sobran, espaciado irregular, imágenes de baja calidad. Estos errores ocurren porque los estafadores a menudo operan desde otros países y traducen los mensajes.

Sin embargo, algunos phishing son muy elaborados y no tienen errores visibles. La ausencia de errores no garantiza legitimidad, pero la presencia de errores sí confirma que es fraude.

La URL

El enlace del email es el indicador definitivo. Antes de hacer clic, pasa el ratón por encima del botón o enlace sin pulsar para ver la URL real en la esquina inferior de tu navegador o cliente de correo. Si la dirección no es exactamente la del banco oficial, es phishing.

Las URLs de los bancos españoles son:

Banco URL oficial
Santander bancosantander.es
BBVA bbva.es
CaixaBank caixabank.es
Sabadell bancsabadell.com
ING ing.es
Bankinter bankinter.com
Unicaja unicajabanco.es
Kutxabank kutxabank.es

Cualquier variación, subdominio extraño o dominio diferente es fraudulento.

La petición de datos

Tu banco nunca te pedirá que introduzcas todos tus datos de acceso a través de un enlace en un email. Si te piden usuario, contraseña, PIN, número completo de tarjeta o códigos de verificación por este medio, es fraude. Los bancos tienen tus datos; no necesitan que se los vuelvas a dar.

Claimeet recomienda

Si recibes un email de tu banco pidiéndote que hagas algo urgente, no sigas el enlace. Abre una nueva pestaña del navegador, escribe tú mismo la dirección de tu banco (o usa la app), y comprueba si hay algún aviso en tu área de cliente. Si no hay nada, el email era falso.

Qué hacer si recibes el email

Tu respuesta debe adaptarse a cuánto has interactuado con el email fraudulento. Las consecuencias y acciones necesarias varían según hayas solo leído el mensaje, hayas hecho clic en el enlace, o hayas llegado a introducir datos.

Si solo lo has leído

Si has identificado el fraude sin interactuar con él, estás completamente a salvo. Leer un email de phishing no supone ningún riesgo; el peligro está únicamente en seguir los enlaces y proporcionar información. Aun así, toma estas medidas:

  1. No hagas clic en ningún enlace del email, ni siquiera por curiosidad. Algunos enlaces pueden intentar instalar malware o rastreadores.
  2. No descargues archivos adjuntos si los hubiera. Los adjuntos pueden contener malware que infecte tu dispositivo.
  3. Marca el email como spam o phishing en tu cliente de correo. Esto ayuda a entrenar los filtros para protegerte a ti y a otros usuarios.
  4. Borra el email para evitar interacciones accidentales en el futuro.
  5. Reporta el phishing a tu banco si quieres. La mayoría tienen direcciones específicas para reportar fraudes (phishing@santander.es, por ejemplo).

Si has hecho clic pero no has dado datos

Si has abierto el enlace pero no has introducido ninguna información, el riesgo es bajo aunque no nulo. Algunas webs de phishing intentan instalar malware, especialmente si tu sistema no está actualizado. Toma estas precauciones:

  1. Cierra la página inmediatamente sin interactuar con ningún elemento.
  2. Borra el historial, cookies y caché de tu navegador para eliminar rastros de la visita.
  3. Ejecuta un análisis antivirus completo en tu dispositivo.
  4. Revisa las extensiones de tu navegador por si se hubiera instalado algo sin tu conocimiento.
  5. Monitoriza tu dispositivo los días siguientes buscando comportamientos anómalos.

Si has introducido tus credenciales

Esta es la situación crítica que requiere acción inmediata. Cada segundo cuenta porque los estafadores pueden estar usando tus datos en tiempo real. Actúa ahora:

  1. Accede a tu banca online escribiendo la URL oficial manualmente (no desde el email) y cambia tu contraseña inmediatamente. Si no puedes acceder, llama al banco.
  2. Llama al teléfono de atención del banco para informar del incidente. Pide que bloqueen temporalmente tu cuenta si es necesario.
  3. Revisa todos los movimientos de tus cuentas buscando operaciones que no reconozcas.
  4. Cambia las contraseñas de cualquier otro servicio donde uses credenciales similares.
  5. Activa alertas de movimientos si no las tenías para detectar operaciones futuras inmediatamente.
  6. Denuncia ante la Policía Nacional o Guardia Civil si ha habido perjuicio económico o lo sospechas.

Si han realizado operaciones fraudulentas

Si al revisar tus cuentas descubres transferencias, pagos o contrataciones que no has autorizado, además de los pasos anteriores tienes derecho a reclamar:

  1. Documenta todo: capturas de los movimientos fraudulentos, del email de phishing, de la web falsa si la tienes.
  2. Comunica el fraude al banco formalmente por escrito, no solo por teléfono.
  3. Presenta denuncia policial detallando todos los hechos y aportando las pruebas.
  4. Reclama al banco la devolución de las cantidades sustraídas. La normativa de servicios de pago te protege.
  5. Si el banco rechaza la reclamación, puedes acudir al Banco de España o a la vía judicial.

Cómo reclamar al banco

La normativa europea de servicios de pago, transpuesta en España mediante el Real Decreto-ley 19/2018, establece que los bancos deben reembolsar las operaciones no autorizadas. Solo pueden negarse si demuestran negligencia grave por parte del cliente, y caer en un phishing sofisticado generalmente no se considera negligencia grave.

La Directiva de Servicios de Pago (PSD2) y su transposición española establecen varios principios que te protegen. El banco es responsable de implementar sistemas de autenticación reforzada que impidan operaciones fraudulentas. Si esos sistemas fallan o son burlados, la responsabilidad es del banco, no tuya.

El concepto de "negligencia grave" es clave. La jurisprudencia española ha establecido que caer en un phishing bien elaborado no constituye negligencia grave. Sería negligencia grave, por ejemplo, dar tus claves a alguien que abiertamente te dice que es un estafador, pero no confundir un email que imita perfectamente a tu banco.

Proceso de reclamación

Para reclamar eficazmente sigue estos pasos en orden:

  1. Comunicación inmediata del fraude al banco por el canal más rápido disponible (teléfono, app, web). Anota fecha, hora y referencia de la comunicación.

  2. Reclamación formal por escrito al Servicio de Atención al Cliente del banco en un plazo máximo de 13 meses desde la operación fraudulenta. Detalla los hechos, adjunta pruebas y solicita expresamente el reembolso.

  3. Espera la respuesta del banco. Tienen un mes para contestar (15 días en reclamaciones sobre servicios de pago). Si no contestan o rechazan tu reclamación, puedes escalar.

  4. Reclamación al Banco de España si el banco rechaza tu solicitud o no responde. Es gratuito y el Banco de España emitirá un informe sobre si el banco actuó correctamente.

  5. Vía judicial como último recurso. Para cantidades hasta 2.000 euros puedes usar el procedimiento monitorio sin necesidad de abogado ni procurador.

Modelo de reclamación

Asunto: Reclamación por operaciones fraudulentas - Phishing bancario

A la atención del Servicio de Atención al Cliente de [BANCO].

Datos del reclamante:
- Nombre: [TU NOMBRE COMPLETO]
- DNI: [TU DNI]
- Cuenta/s afectada/s: [NÚMERO DE CUENTA]

HECHOS:

1. El día [FECHA] recibí un email que suplantaba la identidad de [BANCO],
   alertando de un supuesto problema de seguridad en mi cuenta.

2. El email imitaba perfectamente las comunicaciones oficiales de [BANCO],
   incluyendo logotipos, diseño y formato habituales.

3. Siguiendo el enlace del email, accedí a una web que replicaba exactamente
   la página de banca online de [BANCO], donde introduje mis credenciales
   de acceso creyendo que era la web legítima.

4. Como consecuencia de este engaño, se realizaron las siguientes operaciones
   no autorizadas:
   [DETALLAR: fecha, concepto, importe de cada operación fraudulenta]

5. El importe total de las operaciones fraudulentas asciende a [CANTIDAD] euros.

6. He presentado denuncia ante [Policía Nacional/Guardia Civil] con número
   de referencia [NÚMERO].

FUNDAMENTOS DE DERECHO:

- Real Decreto-ley 19/2018, de 23 de noviembre, de servicios de pago
- Directiva (UE) 2015/2366 sobre servicios de pago (PSD2)
- Artículos 44 y 45 del RDL 19/2018 sobre responsabilidad del proveedor

SOLICITO:

1. El reembolso inmediato de la cantidad total de [CANTIDAD] euros
   correspondiente a las operaciones fraudulentas.

2. La anulación de cualquier producto contratado fraudulentamente.

3. Confirmación por escrito del cumplimiento de esta solicitud.

Adjunto: Copia de la denuncia policial, capturas del email y web fraudulentos,
extracto con las operaciones no reconocidas.

En [CIUDAD], a [FECHA].

Firma:

Cómo denunciar

Denunciar el fraude es importante tanto para tu protección legal como para ayudar a las autoridades a perseguir a los responsables. La denuncia también es un documento necesario para reclamar al banco.

Policía Nacional y Guardia Civil

La denuncia policial documenta oficialmente que has sido víctima de un delito. Puedes presentarla de dos formas:

Denuncia online a través de la sede electrónica de la Policía Nacional (denuncias.policia.es). Es rápido y cómodo para una primera documentación, aunque para casos con perjuicio económico significativo conviene ratificarla presencialmente después.

Denuncia presencial en comisaría de Policía Nacional o cuartel de la Guardia Civil. Permite explicar todos los detalles y entregar pruebas físicas si las tienes.

Documentación que debes aportar:

  • Capturas del email fraudulento mostrando remitente, asunto, contenido y enlaces
  • Capturas de la web falsa si las conservas
  • Extracto bancario con las operaciones fraudulentas señaladas
  • Comunicaciones con el banco sobre el incidente
  • Cualquier otro dato que ayude a identificar a los responsables

INCIBE

El Instituto Nacional de Ciberseguridad centraliza la información sobre ciberdelitos en España. Reportar el phishing al INCIBE ayuda a identificar campañas activas, bloquear webs fraudulentas y alertar a otros ciudadanos.

La Línea 017 es un teléfono gratuito donde técnicos especializados te asesoran sobre los pasos a seguir. Funciona de 8:00 a 23:00 todos los días del año. También puedes reportar a través de incibe.es.

Tu banco

Además de la reclamación formal, la mayoría de bancos tienen canales específicos para reportar intentos de phishing. Santander tiene phishing@santander.es, BBVA tiene alertasbbva@bbva.com, etc. Reportar ayuda al banco a identificar campañas y proteger a otros clientes.

AEPD

Si te preocupa el uso que puedan hacer de tus datos personales obtenidos mediante el phishing, puedes presentar una reclamación ante la Agencia Española de Protección de Datos. Aunque los estafadores probablemente operen desde fuera de España, la denuncia queda registrada para posibles investigaciones coordinadas.

Variantes del fraude

El phishing bancario por email tiene múltiples variantes que comparten el mismo objetivo: conseguir tus credenciales de banca online. Conocerlas te ayuda a detectarlas.

Spear phishing

A diferencia del phishing masivo, el spear phishing es un ataque dirigido específicamente a ti. Los estafadores han investigado previamente: conocen tu nombre, tu banco, quizás tu empresa o tus hábitos. El email está personalizado para ser más creíble.

Este tipo de ataque suele dirigirse a personas con acceso a grandes cantidades de dinero: empresarios, directivos, responsables financieros. Si recibes un email muy personalizado que parece conocer detalles de tu vida, extrema la precaución.

Phishing con archivos adjuntos

Algunos emails de phishing incluyen archivos adjuntos en lugar de enlaces. El adjunto puede ser un documento de Word o PDF que supuestamente contiene información importante sobre tu cuenta. Al abrirlo, puede instalar malware que roba tus credenciales cuando accedes a la banca online.

Regla de oro: nunca abras adjuntos de emails que no esperabas, aunque parezcan venir de tu banco.

Phishing por respuesta

Una variante más sutil: el email no contiene enlaces ni adjuntos, solo te pide que respondas con cierta información. "Confirme sus datos respondiendo a este email". Al responder, tus datos van directamente a los estafadores.

Tu banco nunca te pedirá que envíes datos sensibles por email. Si necesitan verificar algo, te pedirán que accedas a tu área de cliente o que llames por teléfono.

Phishing combinado con llamada

En esta variante sofisticada, recibes primero un email y poco después una llamada telefónica de alguien que dice ser del departamento de seguridad de tu banco. Te piden que "verifiques" el email haciendo clic en el enlace mientras están al teléfono. La llamada añade presión y credibilidad al engaño.

Tu banco no funciona así. Si sospechas, cuelga y llama tú al número oficial del banco.

Protegerse en el futuro

La mejor defensa contra el phishing bancario es una combinación de conocimiento, buenos hábitos y herramientas de seguridad. Estas medidas reducen drásticamente el riesgo de caer en futuros intentos.

Accede siempre de forma directa

Nunca accedas a tu banca online desde enlaces en emails, SMS o mensajes. Siempre escribe la dirección del banco directamente en el navegador o usa la app oficial. Guarda la URL de tu banco en favoritos y úsala siempre desde ahí.

Si recibes un email alertándote de un problema, no sigas su enlace: abre una pestaña nueva, escribe la dirección del banco y comprueba si hay algún aviso en tu área de cliente. Si no lo hay, el email era falso.

Activa la verificación en dos pasos

La autenticación de doble factor añade una capa extra de seguridad. Aunque alguien consiga tu contraseña, necesitará también el segundo factor (normalmente un código en tu móvil) para acceder. La mayoría de bancos españoles ya lo tienen activado por defecto para operaciones, pero asegúrate de que también está activo para el simple acceso.

Configura alertas de operaciones

Activa las notificaciones para cada movimiento en tu cuenta. De esta forma, si alguien realiza una operación fraudulenta, lo sabrás al instante y podrás actuar inmediatamente. La rapidez de reacción es crucial para limitar el daño.

Mantén todo actualizado

Sistema operativo, navegador, antivirus, app del banco. Las actualizaciones incluyen parches de seguridad que protegen contra vulnerabilidades conocidas. Un sistema desactualizado es más vulnerable a todo tipo de ataques.

Usa un gestor de contraseñas

Los gestores de contraseñas no solo guardan tus claves de forma segura, sino que también te protegen contra el phishing. Un gestor solo autorrellenará tus credenciales en la web real del banco, nunca en una imitación. Si entras en una web de phishing y el gestor no te ofrece autocompletar, es una señal clara de que no estás donde crees.

🛡️ El gestor de contraseñas como detector de phishing

Si usas un gestor de contraseñas (1Password, Bitwarden, etc.) y entras en la "web de tu banco" pero el gestor no te ofrece autocompletar... es que no estás en la web de tu banco. El gestor compara la URL exacta, no el diseño. Esta es una de las mejores defensas contra el phishing: si el autocompletado no aparece, algo va mal. Configura tu gestor y úsalo siempre.

Desconfía por sistema

Adopta una actitud de sana desconfianza hacia cualquier comunicación no solicitada. Si un email te pide que hagas algo urgentemente, para y piensa. Los bancos no funcionan con ultimátums de 24 horas. Ante la duda, siempre puedes llamar al banco usando el teléfono que aparece en tu tarjeta o en su web oficial.

Para saber más

Eduardo Lázaro

Sobre el autor

Eduardo Lázaro

Ingeniero de software y entusiasta del análisis de procesos legales y de consumo. Con una trayectoria vinculada a la arquitectura de información desde 2003, Eduardo aplica la lógica para desglosar normativas complejas en guías accesibles. Ha colaborado con varias organizaciones en la defensa de los derechos de los usuarios y la transparencia digital.

Ver perfil | edulazaro.com
Anterior
Índice de fraudes
Siguiente
SMS de Correos falso

Configuración de Cookies

Utilizamos cookies propias y de terceros para analizar el uso de la web, personalizar contenido y mostrarte publicidad relevante. Puedes aceptar todas las cookies o configurar tus preferencias. Más información

Preferencias de Cookies

Cookies Esenciales

Siempre activas

Necesarias para el funcionamiento básico del sitio. Incluyen cookies de sesión, autenticación y seguridad. No se pueden desactivar.

Cookies de Análisis

Nos ayudan a entender cómo interactúas con la web, qué páginas visitas y detectar posibles problemas técnicos. Usamos esta información para mejorar nuestros servicios.

Cookies de Marketing

Permiten mostrarte anuncios relevantes basados en tus intereses. También se utilizan para limitar el número de veces que ves un anuncio y medir la efectividad de las campañas.

Cookies Funcionales

Permiten funcionalidades mejoradas como recordar tus preferencias, idioma o región. Sin estas cookies, algunos servicios pueden no funcionar correctamente.

Ver Política de Cookies completa