¿Por qué el fraude bancario ya vacía cuentas sin ruido?

El fraude bancario cambia de piel con Bizum inverso, llamadas falsas y transferencias manipuladas que vacían cuentas de clientes y empresas.

El fraude bancario ha dejado de ser una chapuza con faltas de ortografía, un enlace azul chillón y una promesa ridícula escrita desde ninguna parte. La novedad no es que haya más delincuentes intentando robar datos; eso ya era el paisaje de fondo. La noticia incómoda es otra: las estafas bancarias se han profesionalizado, se apoyan en mensajes limpios, llamadas convincentes, pagos inmediatos y una comprensión bastante fina de cómo se comporta una persona cuando ve moverse su dinero. El cliente bancario ya no siempre cae por ingenuo. A menudo cae porque el engaño llega vestido de normalidad: una alerta del banco, una devolución por Bizum, una transferencia urgente de empresa, una llamada que parece salir del número correcto.

El salto es serio porque el fraude se está desplazando hacia operaciones de más importe, especialmente transferencias, donde el golpe duele más que en una compra sospechosa con tarjeta. El Banco de España ya ha señalado el aumento del importe medio en las transferencias fraudulentas, una señal bastante clara de por dónde va el negocio criminal: menos ruido, más precisión, más dinero por operación. No hablamos de una propina perdida en un comercio raro de internet. Hablamos de nóminas, reservas, facturas, ahorros familiares y pagos de empresas que, una vez enviados, corren como agua por una alcantarilla.

La nueva estafa bancaria parece rutina, y ahí está el veneno

Durante años, el consejo básico contra el fraude digital fue casi doméstico: no abrir enlaces sospechosos, no contestar correos raros, mirar si el remitente parecía falso. Servía, en parte. Pero el fraude bancario de 2026 juega en otro campo. Los delincuentes ya no dependen solo de que alguien pique en un mensaje torpe. Ahora fabrican contexto. Saben que una persona está vendiendo un móvil de segunda mano, que una pyme espera una factura, que un cliente teme que le bloqueen la cuenta, que un autónomo va deprisa, que una familia acaba de hacer una reserva. El fraude moderno no entra por la puerta gritando. Se sienta al lado, habla bajo y parece razonable.

El Banco de España viene advirtiendo de que los fraudes financieros se han convertido en uno de los riesgos más relevantes para los consumidores de servicios financieros, con phishing, vishing y smishing como técnicas habituales, y con la inteligencia artificial añadiendo una capa extra de dificultad para distinguir lo real de lo impostado. La palabra inglesa molesta un poco, pero conviene traducirla sin ceremonia: phishing es el engaño por correo o web falsa; smishing, por SMS o mensajería; vishing, por llamada telefónica. El viejo timo del sobre, pero con voz de oficina, logo corporativo y prisa bancaria.

La clave está en que muchas operaciones ya no son técnicamente “forzadas” desde fuera. En bastantes casos, el delincuente convence al propio usuario para que pulse, valide o autorice. Es una diferencia pequeña en apariencia, enorme en la práctica. El banco ve una operación autenticada, el cliente dice que fue engañado y el dinero ya ha viajado. Ahí empieza el barro: reclamaciones, denuncias, pantallazos, llamadas al servicio de atención al cliente, discusiones sobre negligencia grave y una pregunta de fondo bastante humana: hasta qué punto puede exigirse a una persona corriente que detecte una trampa diseñada por profesionales.

La profesionalización se nota en los detalles. Los mensajes ya no llegan siempre con errores groseros. Las webs falsas imitan colores, menús, sellos y procesos. Las llamadas ya no suenan como un teatro malo, sino como una conversación de oficina. A veces el supuesto agente conoce datos parciales del usuario: nombre, entidad, un movimiento reciente, una referencia comercial, una dirección de correo. No necesita saberlo todo. Le basta con saber lo suficiente para que el cerebro rellene el resto. La confianza, cuando se activa, trabaja gratis para el delincuente.

Bizum inverso, falsa devolución y dinero contaminado

Una de las zonas donde el fraude ha encontrado oxígeno es Bizum, precisamente porque funciona bien. Es rápido, está integrado en la banca móvil, lo usa casi todo el mundo y su gesto principal —enviar o recibir dinero— cabe en unos pocos toques. El problema no es Bizum como sistema, sino la velocidad mental que produce. Uno cree que está cobrando y, en realidad, está pagando. Uno ve una notificación y no lee. La prisa, esa pequeña grieta.

El llamado Bizum inverso se ha convertido en una de las trampas más reconocibles. El estafador finge querer comprar un producto, pero en vez de enviar dinero lanza una solicitud de pago. La víctima, esperando cobrar, acepta. La pantalla no explota, no suena una sirena, no aparece un villano con antifaz. Simplemente el dinero sale. La segunda modalidad es la falsa devolución: llega un aviso que asegura que alguien ha enviado dinero por error y pide devolverlo. Si el usuario no comprueba si el ingreso existe realmente, puede terminar enviando fondos al estafador. La tercera variante es más turbia: el dinero contaminado puede proceder de una cuenta comprometida, de modo que la víctima entra en una cadena de fraude sin entender del todo qué acaba de tocar.

Aquí hay una frase que debería pegarse en la nevera digital de cualquiera: recibir dinero por Bizum no exige confirmar nada. Si la aplicación pide validar una operación, hay que leer como si el dedo pesara un kilo. En las estafas buenas —buenas para el delincuente, se entiende— el engaño no está en una gran mentira, sino en una palabra mínima: “solicitud”, “devolución”, “confirmar”, “autorizar”. La banca ha reducido la fricción para pagar y eso es fantástico cuando se compra un café, se reparte una cena o se paga a un familiar. También es fantástico para quien quiere que la víctima no piense demasiado.

El fraude por Bizum suele apoyarse en escenarios cotidianos: compraventa de segunda mano, falsas promociones, pagos por reservas, pequeños adelantos. Lo diabólico es su modestia. No parece una gran operación criminal, sino una gestión de tres segundos. Y esa modestia desarma. Un delincuente que pide 400 euros con una historia razonable puede tener más éxito que uno que promete una herencia africana de ocho millones. La estafa moderna aprendió contención. Qué remedio, también ellos leen métricas.

Las transferencias, el golpe que más daño hace

El verdadero agujero económico está creciendo en las transferencias bancarias, porque ahí los importes suelen ser mayores y porque muchas víctimas autorizan la operación bajo engaño. El Banco de España identifica como causas principales la manipulación del ordenante y la emisión de órdenes de pago directamente por parte del defraudador. Traducido: o convencen al cliente para que envíe dinero, o logran operar como si fueran él. En ambos casos, la escena se parece menos a un robo de película y más a una oficina con el fluorescente encendido, una factura pendiente y alguien diciendo: “hazlo ya, que vence”.

Las empresas están especialmente expuestas. El fraude del proveedor falso o del correo corporativo comprometido no necesita una gran puesta en escena. Basta con interceptar una conversación, cambiar un IBAN en una factura, suplantar a un directivo o clonar el tono de un departamento financiero. La víctima no ve un mensaje extravagante, sino una continuidad: mismo asunto, misma conversación, mismo proveedor de siempre, una variación aparentemente administrativa. Y cuando la transferencia se ejecuta, el dinero puede pasar por varias cuentas intermedias en minutos. Una coreografía triste.

Este tipo de fraude se conoce muchas veces como compromiso de correo empresarial. No hace falta quedarse con la etiqueta. Lo importante es la mecánica: alguien se mete en el flujo real de una empresa y altera el destino del pago. Una pyme sin doble validación interna, un autónomo que trabaja solo, un administrador saturado a final de mes o un departamento que paga decenas de facturas puede encontrarse ante un engaño casi invisible. No es que el delincuente sepa más contabilidad. Es que sabe dónde mirar cuando todos van con la lengua fuera.

La implantación de la verificación del beneficiario en la Unión Europea busca precisamente cerrar parte de esa rendija. El sistema permite comprobar si el nombre del beneficiario coincide con el IBAN antes de ejecutar pagos en euros, una medida pensada para reducir errores y fraudes. No es una armadura medieval, no bloquea todos los engaños ni sustituye al criterio humano, pero introduce una pausa: una alerta, una discrepancia, una oportunidad para respirar antes de mandar el dinero al pozo. En una zona euro donde los pagos inmediatos ganan terreno, esa pausa puede valer mucho.

La llamada del banco ya no siempre suena falsa

La tercera gran vía es la suplantación bancaria por teléfono, SMS o combinación de ambos. Entra un mensaje: “Se ha detectado una operación no autorizada”. Luego una llamada: “Somos del departamento de seguridad”. A veces el número parece legítimo por técnicas de suplantación del identificador de llamada. A veces el delincuente conoce datos parciales del cliente, lo suficiente para sonar creíble. Nombre, entidad, últimos movimientos, fragmentos de información filtrada. No necesita saberlo todo; necesita parecer que sabe lo bastante.

El smishing bancario suele comunicar una supuesta transferencia de importe elevado, un bloqueo de tarjeta o un acceso sospechoso. El objetivo es llevar a la víctima a una conversación controlada por el estafador, donde se le piden códigos de firma, claves, validaciones o incluso la instalación de aplicaciones de acceso remoto. Aquí la trampa tiene dramaturgia: primero susto, luego solución, después obediencia. Una obra en tres actos, con el dinero saliendo por el telón.

Conviene insistir en algo que parece obvio hasta que el móvil vibra a las once de la noche: el banco no necesita tus claves completas, ni tus códigos de firma, ni que instales una aplicación para “proteger” tu cuenta, ni que transfieras tus ahorros a una cuenta segura. Esa expresión, cuenta segura, debería activar todas las alarmas. Los bancos pueden bloquear, verificar, avisar y pedir confirmaciones dentro de sus canales oficiales. Lo que no hacen es convertir al cliente en bombero de su propia cuenta con instrucciones improvisadas por teléfono.

La inteligencia artificial ha empeorado el paisaje porque permite redactar mensajes más limpios, traducir sin errores groseros, automatizar respuestas, generar voces o personalizar ataques con información pública. Pero tampoco conviene caer en la mitología tecnológica. Muchas estafas siguen funcionando por razones muy antiguas: miedo, confianza, cansancio, prisa, vergüenza. El delincuente no hackea solo dispositivos. Hackea momentos. Un lunes de facturas. Una venta rápida. Una llamada cuando se está conduciendo. Una notificación mientras se cocina. La vulnerabilidad tiene olor a vida normal.

Qué hacer cuando el dinero ya se ha movido

Cuando alguien detecta un fraude, el primer impulso suele ser quedarse mirando la pantalla, como si el saldo fuera a recomponerse por educación. No lo hace. La reacción importa porque el tiempo financiero corre de otra manera. Hay que avisar inmediatamente al banco, bloquear tarjetas o credenciales si procede, cambiar contraseñas desde un dispositivo seguro, guardar pantallazos, conservar números, mensajes y justificantes, y denunciar ante Policía Nacional o guardia civiles. No por liturgia, sino porque cada prueba ayuda a reconstruir la ruta del dinero y a sostener una reclamación.

En operaciones no autorizadas, cuando el cliente no reconoce la autoría de la operación ni una falta de diligencia en la custodia de sus credenciales, la entidad debe analizar el caso con rapidez y explicar su respuesta. Esta frontera es relevante porque no todo fraude se discute igual. No es lo mismo un cargo que el cliente niega haber autorizado que una transferencia enviada por la propia víctima tras una manipulación. En la vida real, por desgracia, las categorías se mezclan como tinta en agua.

La vergüenza es aliada del delincuente. Muchas víctimas tardan en contarlo porque se sienten tontas. Error. La estafa bien hecha está diseñada para que una persona razonable caiga en un momento vulnerable. Ese silencio es gasolina para el problema: impide bloquear patrones, rastrear teléfonos, cerrar cuentas utilizadas como puente y mejorar los filtros antifraude. Nadie presume de haber sido engañado, claro. Pero callarlo solo beneficia al que acaba de llevarse el dinero.

La reclamación bancaria tampoco debería redactarse como un desahogo, aunque ganas no falten. Conviene ordenar hechos, hora, canal, importe, capturas y actuación posterior. Qué se recibió, qué se pulsó, qué dijo el supuesto agente, cuándo se llamó al banco, cuándo se denunció. Frío, concreto, sin novela. El banco evaluará si puede recuperar fondos, si hubo operación no autorizada, si hay indicios de negligencia grave o si procede rechazar la devolución. Después queda el servicio de atención al cliente, el defensor del cliente cuando exista, el Banco de España y, en último término, la vía judicial. No es un paseo. Pero el dinero robado rara vez vuelve por generación espontánea.

Bancos más seguros, clientes más cansados

La banca digital española es robusta en muchos aspectos. Hay autenticación reforzada, biometría, alertas, límites, validaciones, monitorización de operaciones anómalas y equipos de seguridad bancaria que no duermen demasiado. Aun así, el fraude se adapta. En el Espacio Económico Europeo, los pagos digitales han obligado a reforzar controles y a revisar la manera en que se autentican operaciones, pero los defraudadores han cambiado de carril: cuando no pueden romper la puerta, intentan convencer al dueño de que abra.

Este matiz importa. Más seguridad bancaria puede desplazar el ataque hacia la persona. Si la puerta tiene tres cerraduras, el estafador intenta convencer al dueño de que abra. Por eso crecen los engaños donde el cliente valida una operación creyendo que la está evitando, devuelve un dinero que nunca recibió o cambia el IBAN de un proveedor porque un correo perfectamente redactado se lo pide. La tecnología reduce ciertos riesgos y crea otros. No por maldad, sino porque cada avance reorganiza el tablero.

También hay una fatiga de alertas. El cliente recibe avisos de cookies, verificaciones de identidad, dobles factores, notificaciones de app, correos de seguridad, SMS de operaciones y mensajes promocionales. Demasiado ruido. Cuando todo pide atención, nada parece merecerla. El delincuente lo sabe y se cuela ahí, en esa zona gris donde la seguridad se vuelve paisaje. Una alerta real y una alerta falsa pueden parecer primas hermanas. El usuario termina aceptando para quitarse la molestia. Clic. Y fuera.

La solución no puede consistir en convertir a cada ciudadano en perito informático. Sería absurdo, y bastante cómodo para todos los demás. Los bancos deben mejorar detección, claridad de mensajes, bloqueos preventivos y respuesta ante reclamaciones. Las operadoras deben cortar rutas de suplantación telefónica. Las plataformas de compraventa deben vigilar patrones. Las empresas españolas deben implantar doble validación para pagos sensibles. Y el cliente, sí, debe leer antes de autorizar. Pero no como culpable permanente. Como alguien que vive en una selva cada vez mejor iluminada, aunque siga siendo selva.

El clic que decide demasiado

El fraude bancario de 2026 no se entiende como una sucesión de trucos aislados, sino como una industria del engaño que ha aprendido a parecer cotidiana. Bizum inverso, falsa devolución, transferencias manipuladas, llamadas del falso banco, correos empresariales comprometidos, IBAN cambiados y alertas fabricadas forman parte de un mismo movimiento: desplazar la decisión crítica al usuario y hacerlo decidir deprisa. El delincuente no siempre rompe la caja fuerte. A veces consigue que le entreguen la llave con un mensaje educado.

La defensa empieza por una sospecha sencilla, casi humilde: cuando el dinero va a moverse, la prisa es mala señal. Una operación legítima soporta una comprobación. Un comprador real puede esperar. Un proveedor verdadero puede confirmar por otro canal. Un banco auténtico no se ofende porque cuelgues y llames tú al número oficial. Un Bizum recibido no necesita confirmación. Una devolución no se hace sin ver antes el ingreso. Una transferencia grande no debería depender de un único correo. Son gestos pequeños, sí, pero el fraude moderno vive exactamente ahí: en los gestos pequeños.

El dato de fondo es áspero. Las transferencias fraudulentas ya alcanzan importes cada vez más altos, las estafas financieras crecen y la inteligencia artificial está puliendo el disfraz. Pero el núcleo sigue siendo humano. El ladrón busca el segundo de confianza, el parpadeo, el “será verdad”. Y en ese segundo se decide demasiado: una cuenta, una factura, una nómina, meses de ahorro. La banca digital nos ha regalado comodidad; ahora exige una nueva cortesía con nuestro propio dinero. Antes de pulsar, mirar. Antes de confiar, comprobar. Antes de obedecer, colgar.