La estafa perfecta en la era de la banca online
Imagínese que una tarde recibe un SMS supuestamente de su banco informándole de una “actividad inusual” en su cuenta. El mensaje viene en el mismo hilo donde antes recibió comunicaciones legítimas de la entidad, incluyendo un enlace HTTPS muy convincente. Confía en su autenticidad, pulsa el enlace y, sin darse cuenta, acaba de abrirle la puerta a un ciberdelincuente. En cuestión de minutos, su teléfono se bloquea; desde otro dispositivo comprueba con horror que alguien ha iniciado sesión en su banca electrónica desde un dispositivo desconocido, ha elevado el límite de su tarjeta de crédito y está vaciando sus ahorros en una transferencia relámpago. Usted acaba de ser víctima de una estafa digital sofisticada que burla los sistemas de seguridad bancaria en segundos.
Lo descrito no es un guion de ciencia ficción ni un caso aislado: es exactamente lo que le sucedió a una clienta de BBVA en Málaga. Tras el engaño, la entidad inicialmente reembolsó los 8.400 euros sustraídos, solo para retirarlos después al alegar que la operación había sido “autorizada mediante clave OTP” enviada al teléfono de la víctima. Sin embargo, la justicia española acaba de darle la razón a la afectada: en la sentencia 350/2025 del Juzgado de Primera Instancia nº 3 de Málaga, la magistrada Estefanía Zapico Martín declaró que dicha operación fue no autorizada y condenó al banco a restituir íntegramente los 8.400 € más intereses. El fallo es categórico: BBVA no pudo acreditar que hubiese aplicado la autenticación reforzada ni actuado con la diligencia debida en seguridad, y por tanto debe asumir la pérdida. Este caso emblemático expone con crudeza la facilidad con que los sistemas digitales bancarios pueden ser manipulados y marca un hito legal que refuerza la responsabilidad de la banca ante el fraude online.
Las cifras confirman que estamos ante una epidemia de fraudes digitales. Solo en España, en 2023 se registraron 472.125 ciberdelitos (un 26% más que el año anterior), de los cuales un 90,5% correspondieron a fraudes informáticos o estafas online. Dicho de otro modo: la gran mayoría de la ciberdelincuencia actual tiene como objetivo nuestro dinero y datos bancarios. Los estafadores 4.0 han refinado sus técnicas al máximo, combinando ingeniería social y conocimientos tecnológicos avanzados para engañar incluso al usuario más precavido. Términos antes desconocidos como phishing (fraude vía correo electrónico), smishing (vía SMS) o vishing (vía llamadas telefónicas) se han vuelto tristemente comunes. En todos los casos, el modus operandi es similar: el delincuente se hace pasar por una entidad legítima (un banco, un organismo público o incluso un contacto conocido) y logra que la víctima le entregue voluntariamente la información o credenciales necesarias para vaciar sus cuentas.
Lo inquietante es la sofisticación y apariencia de legitimidad que alcanzan estos fraudes. Aquella clienta de BBVA recibió mensajes en el mismo canal SMS oficial del banco, lo que generó una peligrosa confusión entre comunicaciones reales y falsas. En otro caso reciente, una usuaria en Murcia fue engañada mediante llamadas y SMS que clonaban los avisos de su banco, indicándole que transfiriera sus fondos a una “cuenta segura” a su nombre para protegerlos de un supuesto hacker. “La operativa fue tan completa en su apariencia de autenticidad que no se le puede exigir a la actora una diligencia mayor”, señaló el juez en esa sentencia, descartando negligencia por parte de la víctima. Los estafadores juegan con nuestras emociones –miedo, urgencia, confianza– y conocen los sistemas bancarios lo suficiente para simular alarmas de seguridad, recompensas de fidelidad o verificaciones antifraude. Incluso combinan varios vectores de ataque: por ejemplo, el reciente fallo del Tribunal Supremo (STS 571/2025, de 9 de abril) relata el caso de un cliente al que primero pescaron con un correo phishing, para luego duplicarle la tarjeta SIM del móvil y así interceptar sus códigos OTP; en una sola noche realizaron 15 transferencias no autorizadas por más de 83.000 €. Ni siquiera las medidas tradicionales (SMS de confirmación, preguntas de seguridad, etc.) bastan cuando el delincuente tiene control tanto de las credenciales como del teléfono de la víctima.
Ante esta realidad, resulta claro que ningún usuario –por muy cauteloso o instruido que sea– está completamente a salvo. La brecha generacional agrava el problema: muchas personas mayores, forzadas a usar banca electrónica, se encuentran especialmente vulnerables frente a engaños cada vez más verosímiles. Y del otro lado de la pantalla, los criminales operan con anonimato, usando servidores remotos, identidades falsas y mulas bancarias para borrar sus huellas. Las fuerzas de seguridad reconocen que la tasa de resolución de estos ciberdelitos es extremadamente baja debido a la naturaleza efímera de las pistas digitales y la internacionalidad de las tramas En resumen, el fraude digital no solo está en auge, sino que evoluciona constantemente para burlar tanto la atención del usuario como los controles tecnológicos de los bancos.
La Unión Europea, consciente de estos riesgos, ha impulsado en los últimos años un marco normativo más estricto en materia de pagos electrónicos. La Directiva (UE) 2015/2366, más conocida como PSD2 (Second Payment Services Directive), introdujo el concepto de autenticación reforzada de cliente (Strong Customer Authentication, SCA) como pilar para combatir el fraude online. España incorporó estas exigencias a su ordenamiento a través del Real Decreto-ley 19/2018, de 23 de noviembre, de servicios de pago, que define la autenticación reforzada como “la autenticación basada en la utilización de dos o más elementos categorizados como conocimiento (algo que solo conoce el usuario), posesión (algo que solo posee el usuario) e inherencia (algo que es el usuario), que son independientes […] y concebida de manera que se proteja la confidencialidad de los datos de identificación”. En la práctica, esto se traduce en la obligatoria combinación de al menos dos factores al iniciar sesión o autorizar operaciones: por ejemplo, la contraseña de toda la vida (conocimiento) más un código OTP enviado al móvil (posesión), o huella dactilar/rostro (inherencia) más PIN, etc. También se exige vincular dinámicamente cada operación a un importe y beneficiario concreto, para evitar que códigos capturados por terceros se reutilicen fraudulentamente.
Sobre el papel, la autenticación reforzada debía cerrar la puerta al acceso no autorizado a las cuentas. Y ciertamente, ha elevado el estándar de seguridad en Europa reduciendo ciertos fraudes, como el uso de tarjetas robadas online sin doble verificación. El problema es que los delincuentes han aprendido a esquivar incluso estas barreras reforzadas. Como hemos visto, técnicas de SIM swapping (duplicado de SIM) permiten interceptar los códigos SMS de autenticación; el malware en móviles puede capturar contraseñas de un solo uso; y la propia ingeniería social hace estragos: muchas víctimas, convencidas de que interactúan con su banco real, terminan entregando ellas mismas esos códigos de verificación en páginas o apps fraudulentas. En el caso de Málaga de 2021, BBVA alegó en su defensa que la transacción de 8.400 € fue validada con su sistema de seguridad 3D Secure, combinando contraseña, dispositivo y firma biométrica. Sobre el papel, eso cumple los requisitos de autenticación reforzada. Sin embargo, el juzgado malagueño determinó que el banco no aportó pruebas suficientes de haber aplicado efectivamente dicha autenticación reforzada en esa operación: no constaba validación mediante CVV adicional ni evidencia de verificación biométrica real, ni se detectó el acceso desde un dispositivo nuevo (“Angélica”) que debería haber hecho saltar las alarmas de seguridad. En otras palabras, tener sistemas de autenticación reforzada no sirve de nada si no se aplican rigurosamente en cada caso, o si fallan en la práctica y el banco no lo nota.
La PSD2 y el RD-ley 19/2018 establecen también principios muy claros respecto a la responsabilidad en caso de fraude: cuando ocurre una operación de pago no autorizada, el proveedor de servicios de pago (es decir, el banco) debe reembolsar de inmediato el importe al cliente, a menos que pueda demostrar que este actuó fraudulentamente o con negligencia grave. Incluso se contempla que, si el banco no exigió autenticación reforzada en una operación donde era obligatoria, el cliente solo soportará las pérdidas si actuó de forma fraudulenta – ni siquiera la negligencia grave del usuario eximiría al banco en tal caso. Esta filosofía refuerza la idea de que la seguridad es ante todo obligación de la entidad financiera. El cliente medio no tiene por qué ser un experto en ciberseguridad ni conocer al dedillo las últimas artimañas de los estafadores; en cambio, el banco sí dispone de recursos técnicos avanzados y equipos dedicados a gestionar riesgos. Si esos mecanismos fallan o no se implementan correctamente, es justo que sea la entidad quien cargue con el coste económico del fraude, y no la víctima desprevenida.
La banca contra las cuerdas: responsabilidad casi objetiva y jurisprudencia pionera
La sentencia de Málaga es la última de una serie de fallos judiciales que están consolidando la denominada responsabilidad cuasi objetiva de los bancos en materia de fraudes digitales. En este modelo, la entidad financiera solo puede librarse de culpa si prueba de forma concluyente que el cliente actuó con dolo (intención fraudulenta) o negligencia grave en el incidente. ¿Qué implica “negligencia grave”? La jurisprudencia la interpreta como algo más que un simple descuido: por ejemplo, entregar voluntariamente las credenciales a un tercero de forma consciente, o anotar las contraseñas junto al lector de tarjetas, serían casos de imprudencia temeraria. En cambio, caer en un engaño bien orquestado no se considera negligencia grave per se. De hecho, la normativa europea PSD2 aclara que negligencia grave requiere una “falta significativa de diligencia”, como sería guardar las credenciales junto al instrumento de pago o ignorar completamente medidas de precaución básicas. Así lo recordó el juzgado de Málaga, invocando el artículo 44 del RD-ley 19/2018 que invierte la carga de la prueba: corresponde al banco demostrar que la operación fue autenticada correctamente y que el cliente no actuó con negligencia grave.
Varios tribunales españoles ya venían aplicando esta doctrina protectora del consumidor antes de 2025. Audiencias Provinciales en Madrid, Alicante, Granada, entre otras, habían sostenido que el banco solo se libera si demuestra claramente la culpa del usuario. En la práctica, esto equivale a una responsabilidad casi objetiva: el banco asume el riesgo operativo tecnológico de su actividad, dado que es quien se beneficia económicamente de ella. El usuario, por el contrario, queda amparado frente a la opacidad y complejidad de los sistemas digitales bancarios. La sentencia de Málaga aplica con rigor ese principio: no basta con decir que “el cliente introdujo su clave, luego autorizó el pago”. La jueza subraya que BBVA incumplió sus deberes de supervisión al no alertar de señales tan atípicas como un incremento súbito del límite de crédito de la tarjeta o un acceso desde un dispositivo nunca antes usado por la clienta. Si el banco no pudo prevenir ni reaccionar ante esas anomalías, difícilmente puede culpar a la usuaria por no detectar un engaño diseñado para lucir legítimo. En consecuencia, el juzgado estimó íntegramente la demanda y condenó a BBVA a reembolsar la cantidad defraudada más los intereses legales, además de imponerle las costas procesales.
Este fallo, junto con otros similares, envía un mensaje contundente al sector bancario: la confianza del consumidor es un bien jurídico de protección reforzada, y las entidades deben entender que la tecnología no solo genera beneficios sino también responsabilidades. La diligencia ya no se presupone, se tiene que demostrar en cada caso. No es admisible escudarse en que “el cliente cayó en la trampa” cuando la trampa explota debilidades de los propios sistemas del banco o de sus canales de comunicación. Como señaló gráficamente un juez: “No es de recibo que lleguen transferencias a cuentas con beneficiarios distintos al titular y se les permita disponer fácilmente de ese dinero; esas prácticas deben erradicarse para evitar estos fraudes”. La banca, en suma, está contra las cuerdas legales: quien quiera operar digitalmente con el dinero de sus clientes debe asumir también los riesgos tecnológicos inherentes a dicha operativa.
El auge del fraude digital plantea preguntas incómodas en el plano jurídico y ético. ¿Hasta qué punto podemos exigirle al ciudadano medio que distinga un correo o SMS legítimo de una sofisticada suplantación? ¿Estamos descargando sobre el usuario la carga de ser su propio vigilante cibernético, mientras los verdaderos expertos –los bancos– se protegen tras contratos y letra pequeña? La respuesta que se empieza a vislumbrar en la jurisprudencia española es contundente: no podemos pretender que cada cliente sea un experto en ciberseguridad, pero sí debemos exigir que cada banco se comporte como tal. La sentencia de Málaga lo dice alto y claro: “el cliente no tiene el deber de ser un experto en ciberseguridad; el banco sí tiene el deber de protegerle”. Aquí hay un trasfondo ético importante: el equilibrio de responsabilidades. Al consumidor se le pide prudencia y sentido común; a la banca, se le debe pedir profesionalidad y cuidado extremo. Cuando una entidad financiera advierte a sus clientes “tenga cuidado con los fraudes”, cumple con una obligación mínima de información. Pero desde una perspectiva ética, eso no basta: no es aceptable que la protección dependa solo de que el usuario “no pique”. La banca, que obtiene un lucro de intermediar nuestros pagos, tiene el deber moral (y legal) de invertir en las mejores tecnologías de prevención y en vigilancia activa de posibles fraudes.
El caso de los SMS mezclados –donde estafadores y banco comparten el mismo canal de comunicación– expone una falla de diseño que trasciende lo legal para adentrarse en lo ético. Es imprescindible que las entidades revisen este tipo de prácticas: ¿por qué seguir usando SMS planos, fácilmente spoofeables, para enviar códigos o alertas? Una simple separación de canales (por ejemplo, usar exclusivamente la app bancaria oficial o sistemas de mensajería internos con autenticación) y la implementación de alertas inteligentes (que filtren remitentes falsificados o detecten patrones anómalos) podrían reducir enormemente el riesgo de confusión. Del mismo modo, en un mundo ideal, ningún pago de miles de euros debería ejecutarse sin que salten chispas en los sistemas antifraude del banco: hoy la inteligencia artificial y el big data permiten detectar en tiempo real comportamientos fuera de lo habitual en una cuenta (transferencias inusuales, accesos desde ubicaciones distantes, etc.). No aprovechar esas herramientas al máximo sería, en sí, una negligencia de la banca.
También existen implicaciones éticas en la manera en que se trata a las víctimas de fraude. Tradicionalmente, algunos bancos han tendido a culpar al cliente por “haber sido imprudente” como estrategia para eludir el reembolso. Esto, además de injusto en muchos casos, genera desconfianza y desalienta a otros clientes a reportar incidentes por temor a ser responsabilizados. Afortunadamente, los fallos recientes están cambiando este paradigma hacia uno más empático con la víctima: se reconoce que cualquiera puede ser engañado y que el engaño está orquestado por delincuentes profesionales muy experimentados. La ética indica que debemos tratar a quien sufre un fraude como lo que es –una víctima de un delito– y no como a un “cliente torpe”. Solo así fomentaremos que los afectados denuncien rápidamente, lo cual es crucial para intentar frenar a los estafadores y mitigar daños. La reciente sentencia del Tribunal de Justicia de la UE (Caso Veracash, C-665/25, agosto 2025) ahonda en esta idea, pero también recuerda la importancia de la diligencia del usuario: recalca que el cliente debe notificar sin demora injustificada a su banco en cuanto detecte una operación fraudulenta y tomar medidas como bloquear tarjetas, no compartir nunca contraseñas, conservar evidencias del fraude y denunciar a la policía. Esto no contradice la protección al consumidor, sino que la complementa: si todos hacemos nuestra parte –bancos y clientes–, será más difícil para los delincuentes salirse con la suya.
Cómo protegernos: medidas para usuarios y bancos
Ante este panorama de amenazas digitales, la pregunta clave es: ¿qué podemos hacer al respecto, tanto los usuarios como las entidades financieras? A continuación, ofrecemos algunas propuestas y buenas prácticas para reforzar nuestras defensas colectivas en el mundo de la banca electrónica:
Para los usuarios o clientes bancarios:
- Desconfíe de lo inesperado: Adopte una sana paranoia digital. Si recibe correos, SMS o llamadas supuestamente de su banco pidiéndole datos sensibles o haciendo ofertas demasiado buenas para ser verdad, sospeche. Ningún banco legítimo le va a pedir por email/SMS que confirme su clave o PIN, ni le ofrecerá premios inesperados a cambio de sus datos.
- No siga enlaces ni instrucciones directas: Ante cualquier comunicación que le cause duda, no haga clic en enlaces adjuntos ni llame a teléfonos proporcionados en el mensaje. En su lugar, contacte usted mismo al banco por sus canales oficiales (número de atención en su tarjeta, app móvil oficial o acudiendo a la oficina) para verificar. Es preferible invertir unos minutos en comprobar, que lamentar miles de euros perdidos.
- Proteja sus credenciales y dispositivos: Nunca comparta sus contraseñas ni códigos de verificación con nadie, ni siquiera con supuestos empleados del banco. Mantenga sus dispositivos actualizados con buenos antivirus y antimalware. Active el nivel de seguridad más alto que ofrezca su banco –por ejemplo, notificaciones en tiempo real de movimientos, doble factor de autenticación, límites a transferencias–. Y, por supuesto, no reutilice las mismas contraseñas en múltiples servicios ni las anote en lugares accesibles.
- Actúe rápido si algo va mal: Si pese a todo es víctima de un fraude o percibe movimientos extraños, avise de inmediato al banco (muchos contratos requieren notificación “sin tardanza injustificada”) y bloquee las tarjetas o accesos comprometidos. Conserve todas las evidencias posibles (capturas de pantalla de mensajes, emails, movimientos) y presente una denuncia policial aportándolas. Cuanto antes se dé la voz de alarma, más posibilidades hay de recuperar el dinero o incluso detener a los culpables.
Para las entidades bancarias:
- Invertir en tecnología antifraude inteligente: Los bancos deben utilizar algoritmos de detección de fraude que analicen el comportamiento en las cuentas en tiempo real. Operaciones fuera del patrón habitual, accesos desde dispositivos o ubicaciones no usados antes, incrementos súbitos de límites de crédito, etc., deberían desencadenar alertas internas y verificación adicional antes de ejecutarse. La IA hoy permite flaggear transacciones sospechosas con alta precisión; implementarla rigurosamente es parte de la diligencia debida.
- Reforzar la autenticación más allá del mínimo legal: Cumplir con PSD2 es apenas el suelo, pero la realidad exige ir más allá. Por ejemplo, los SMS con OTP pueden complementarse o sustituirse por métodos más seguros (aplicaciones de autenticación, tokens físicos, notificaciones push cifradas). Si se detecta un nuevo dispositivo accediendo a una cuenta, podría requerirse un paso extra de comprobación (una llamada automatizada al cliente, o validar desde el dispositivo habitual) antes de permitir operaciones sensibles.
- Separar y asegurar los canales de comunicación: Es fundamental evitar mezclar comunicaciones legítimas con potenciales mensajes falsos. Si el banco envía SMS, que estos no permitan respuesta y que instruyan claramente al cliente a verificar en la app oficial. Mejor aún, fomentar el uso de la app o web oficial para todas las notificaciones y comunicaciones, donde se puede garantizar autenticidad. Implementar sistemas que detecten remitentes suplantados (ej.: protocolos anti-spoofing de SMS) y educar al usuario para que sepa qué vías utiliza realmente el banco y cuáles jamás usará.
- Respuesta rápida y trato empático al cliente: Cuando un cliente reporta un posible fraude, cada minuto cuenta. Los bancos deben tener equipos especializados 24/7 para congelar transacciones sospechosas, rastrear fondos y colaborar con autoridades. Y, algo no menor, deben acompañar al cliente en el proceso, asumiendo de entrada la buena fe del mismo. En caso de disputa, recordar la normativa: salvo indicios claros de negligencia grave o fraude del usuario, lo correcto es reembolsar primero y preguntar después. Nada erosiona más la confianza que sentir que tu banco te abandona tras un fraude.
- Educación continua y transparencia: Si bien la carga principal recae en la banca, mantener informados a los usuarios es una responsabilidad compartida. Las entidades pueden realizar campañas periódicas de concienciación sobre nuevas estafas en circulación, consejos de seguridad actualizados y simulacros (por ejemplo, algunos bancos envían newsletters con ejemplos de phishing para que sus clientes aprendan a identificarlos). Asimismo, ser transparentes tras un incidente, reconociendo qué ocurrió y cómo se solucionará, ayuda a prevenir futuros ataques y mejora la relación con el cliente.
Estamos inmersos en la revolución de la banca digital, una era de comodidades inimaginables hace apenas unas décadas: mover dinero con un clic, pagar con el móvil, invertir online… Pero cada avance trae consigo un nuevo desafío. Hoy el talón de Aquiles no está en la caja fuerte de la sucursal, sino en la ingeniería social y las brechas tecnológicas que los delincuentes explotan. La sentencia que obliga a BBVA a devolver 8.400 euros a una víctima de phishing no solo resarce un perjuicio individual, sino que reafirma un principio esencial del derecho bancario moderno: quien obtiene beneficio de la intermediación financiera debe asumir también el riesgo tecnológico que ella implica. En otras palabras, la confianza en el sistema –ese intangible que sostiene toda relación bancaria– debe protegerse a toda costa.
El camino hacia una seguridad integral pasa por colaboración y cultura. Colaboración entre reguladores, bancos, cuerpos de seguridad y usuarios para estar un paso adelante de los estafadores. Y cultura de seguridad digital, entendida no como paranoia, sino como conciencia: saber que nuestros datos y dinero están en juego, y que protegerlos es responsabilidad de todos. Hemos visto que las leyes y tribunales están empujando a la banca a elevar sus estándares, y la tecnología ofrece herramientas poderosas para blindar transacciones. Pero nada de eso será suficiente sin una actitud proactiva de las partes. En último término, la batalla contra el fraude online es una carrera de fondo en la que no podemos bajar la guardia. La innovación y el ingenio que han convertido a la banca digital en un pilar de la vida moderna deben ser igualados –o superados– por la innovación y el ingenio para protegerla. Solo así, entre todos, lograremos que esa trampa digital invisible no tenga cabida y que nuestro dinero y confianza estén realmente a salvo en el futuro que ya es presente.
