El Timo de la Falsa Alerta de Seguridad y la Suplantación de INCIBE – Análisis Completo y Pasos para Reclamar
Introducción
Nos encontramos ante una de las modalidades de fraude de ingeniería social más críticas y destructivas del escenario de la ciberseguridad actual: el vishing combinado con SMS Spoofing. Esta técnica delictiva no utiliza plataformas de inversión ficticias, sino que asalta directamente la confianza del usuario mediante la suplantación de su propia entidad bancaria tradicional (CaixaBank y Bankintercard) y la posterior usurpación de funciones de la máxima autoridad nacional en materia de seguridad digital: el INCIBE (Instituto Nacional de Ciberseguridad).
Si has recibido un SMS de alerta en el hilo oficial de tu banco, has sido atendido por un falso agente con un código corporativo inventado y has sido inducido a validar operaciones de «rastreo de IP» que han resultado en el vaciado de tus tarjetas en comercios electrónicos, te encuentras ante un ataque de fraude bancario dirigido de alta sofisticación. El daño económico suele ser severo, pero el impacto emocional se agrava debido a la crueldad, coacción psicológica y posterior burla de los atacantes. Sin embargo, en estos escenarios, la legislación de pagos europea ampara al usuario frente a la quiebra de los sistemas de autenticación de las entidades financieras.
¿Cómo opera la red criminal de suplantación de INCIBE?
La ejecución de este fraude técnico requiere una infraestructura informática avanzada y el dominio de técnicas de manipulación psicológica coercitiva. A través de las auditorías de seguridad, se desglosa con precisión cómo actúan estas organizaciones criminales:
1. Envenenamiento de los canales SMS oficiales (SMS Spoofing)
El ataque se inicia cuando el usuario recibe un mensaje de texto de alta urgencia en su terminal móvil. Los ciberdelincuentes utilizan plataformas de envío masivo de SMS (Gateways) capaces de enmascarar el identificador del remitente (Sender ID). Esto provoca de manera forzosa que el teléfono móvil del usuario indexe el mensaje fraudulento dentro del mismo canal o buzón legítimo de las comunicaciones oficiales de CaixaBank o Bankinter. El mensaje incluye un texto alarmante sobre un cargo preaprobado falso y un número de teléfono de contacto de urgencia, como el 610048300 o 6100048300.
2. Despliegue del escenario institucional: El falso agente de INCIBE
Al llamar el usuario presa del pánico, es atendido en una centralita virtual configurada para simular un entorno profesional (con sonidos de tecleo de ordenadores de fondo y tiempos de espera coordinados). El operador criminal utiliza nombres comunes de apariencia española, como «Rubén García Suárez», y se dota de falsos códigos identificativos («Agente AG51-12»).
Para desactivar cualquier sospecha, el estafador no solicita contraseñas bancarias; al contrario, demuestra disponer de una base de datos previamente filtrada y dicta a la víctima de forma exacta el número, caducidad y código CVV real de sus tarjetas físicas de CaixaBank y Bankintercard. Para asentar el engaño, el delincuente lee textos corporativos exactos extraídos de la web institucional de INCIBE, haciéndose pasar por un centro de respuesta rápida (INCIBE-CERT) que actúa coordinadamente con el Ministerio para la Transformación Digital para interceptar un supuesto hackeo originado por un terminal «iPhone» en una provincia remota.
3. La trampa de las validaciones de «Rastreo de IP»
El núcleo del fraude se basa en hacer creer a la víctima que el dinero no se está moviendo, sino que se están lanzando «solicitudes de validación» técnicas indispensables para capturar la dirección IP del ciberdelincuente. Mediante una presión comercial y temporal asfixiante («debe aceptar rápido porque el proceso está coordinado para todos los usuarios a la vez»), obligan a la víctima a entrar a sus aplicaciones de banca digital y pulsar los botones de autorización de transacciones pendientes.
Los fondos son cargados de inmediato en comercios electrónicos de alta liquidez (como Cash Converters y Wallapop. Una vez aseguradas las confirmaciones de los comercios y completado el vaciado de las líneas de crédito, los delincuentes rompen la ficción mediante la mofa directa y el corte radical de la línea telefónica. Este tipo de asalto patrimonial se categoriza entre los tipos de estafas de ingeniería social más lesivos.
Señales de alerta detectadas
A pesar de la perfecta simulación del canal del SMS, se identifican indicadores de riesgo absoluto (Red Flags) que delatan la intromisión delictiva:
-
Derivación a números móviles convencionales: Ni CaixaBank, ni Bankinter, ni un organismo público como el INCIBE utilizan líneas móviles de la red comercial (como el
610048300) como teléfonos centrales de atención a crisis o alertas de fraude masivo. El INCIBE opera exclusivamente a través de su línea corta pública 017. -
Aprobación de operaciones para «rastrear delincuentes»: Ninguna entidad financiera ni institución gubernamental de ciberseguridad requiere jamás que un ciudadano valide, acepte o autorice un cargo económico real en su aplicación bancaria con fines de investigación policial o rastreo informático.
-
Solicitud de paciencia ante cargos visibles: La afirmación de que es «normal» que el dinero desaparezca y que ya se revertirá automáticamente es una estrategia de retención temporal diseñada por los criminales para evitar que la víctima llame a los servicios legítimos de atención al fraude de inmediato.
Pruebas del fraude y advertencias oficiales
La estafa de suplantación de INCIBE mediante vishing y spoofing es un vector delictivo plenamente tipificado y denunciado por las Fuerzas y Cuerpos de Seguridad del Estado. El propio Instituto Nacional de Ciberseguridad emite de forma constante alertas críticas aclarando que el personal de INCIBE jamás realiza llamadas telefónicas ni emite mensajes SMS para solicitar datos de identidad, DNI, ni para coordinar operaciones de bloqueo de banca digital con usuarios particulares. Su función es estrictamente consultiva y preventiva a través del número 017, careciendo de competencias operativas sobre las cuentas corrientes de la banca privada.
La inoperancia de los comercios digitales
Un factor recurrente que facilita la consumación de estas macroestafas es la rigidez y falta de coordinación de los departamentos de facturación de los grandes comercios de compraventa electrónica. A pesar de recibir notificaciones, correos urgentes a cuentas como [email protected] o solicitudes de mediación a través de entidades como Confianza Online mientras las operaciones se encuentran en estado «pendiente de confirmar», las pasarelas automatizadas de comercios como Cash Converters y Wallapop terminan dando conformidad a los cargos.
Al no existir cuentas de usuario reales de la víctima en dichas plataformas, los sistemas de soporte genéricos se muestran incapaces de vincular el dinero robado con las transacciones fraudulentas internas realizadas por los criminales, permitiendo que el fraude se liquide de forma definitiva.
Cómo denunciar la suplantación de INCIBE y reclamar a la banca
En los casos de spoofing y vishing, la reclamación principal no debe dirigirse únicamente contra los delincuentes locales, sino contra las propias entidades bancarias por fallos en sus deberes de custodia y control de seguridad. Debes ejecutar de forma inmediata las directrices forenses para denunciar la estafa online:
1. Consolidación del expediente probatorio
No restaures el teléfono ni borres ninguna información. Reúne en formato físico y digital:
-
El extracto oficial definitivo emitido por CaixaBank y Bankintercard donde aparezcan confirmados los tres cargos fraudulentos por los importes exactos
-
Fotografías nítidas de la pantalla del móvil donde se demuestre que los SMS trampa entraron exactamente en el mismo hilo de mensajes legítimos de CaixaBank y Bankinter.
-
El registro de llamadas del terminal donde conste la comunicación de 52 minutos de duración con el número
610048300del falso agente Rubén García Suárez. -
Copia de las comunicaciones escritas y correos enviados a Wallapop, Cash Converters y al servicio de fraude 24h de Bankinter (
900810062) y CaixaBank (938872525).
2. Presentación de la denuncia penal
Acude a la comisaría de la Policía Nacional o de la Guardia Civil. Interpón una denuncia penal exhaustiva por un delito informático de estafa agravada y suplantación de identidad. Exige que conste explícitamente en el redactado que fuiste objeto de una manipulación técnica basada en el spoofing (enmascaramiento del remitente del SMS), lo que anuló por completo tu capacidad de discernir la falsedad del mensaje.
3. Reclamación formal de responsabilidad civil ante el Banco
Una vez dispongas de la denuncia y los extractos, no te limites a rellenar el formulario de fraude básico de la web. Presenta una reclamación formal ante el Servicio de Atención al Cliente (SAC) de CaixaBank y de Bankintercard exigiendo el reintegro íntegro de los fondos bajo el amparo del Real Decreto-ley 19/2018 de servicios de pago (Directiva Europea PSD2).
El argumento legal es sólido: las entidades financieras tienen la obligación legal de proveer mecanismos de autenticación reforzada que impidan la suplantación de sus propios canales de comunicación. El hecho de que un SMS fraudulento se aloje en el canal oficial del banco constituye una quiebra de la seguridad técnica de la entidad, induciendo a un error invencible al usuario. Salvo que el banco demuestre una «negligencia grave» (y los tribunales españoles ya están dictaminando que caer en un spoofing tan avanzado no se considera negligencia grave), el banco está obligado a restituir el dinero de los cargos no consentidos.
¿Se puede recuperar el dinero?
El análisis para determinar las opciones reales de recuperar el dinero de una estafa por vishing bancario se traslada al terreno del derecho bancario. Al haberse confirmado ya los pagos en las plataformas de Wallapop y Cash Converters, la vía de la retrocesión directa por parte del comercio queda prácticamente anulada.
Sin embargo, la vía de la reclamación por responsabilidad contractual bancaria cuenta con un índice de éxito sumamente elevado en los tribunales españoles. Si el Servicio de Atención al Cliente del banco deniega la devolución del dinero (lo cual suele ocurrir en primera instancia mediante cartas tipo pre-redactadas), se debe elevar el caso ante el Banco de España o iniciar la vía judicial. Para formalizar esta demanda con plenas garantías, es indispensable contar con el apoyo técnico de abogados para estafas. La intervención de abogados expertos en víctimas de estafas especializados te permitirá litigar contra los servicios jurídicos de las entidades de crédito, fundamentando la falta de diligencia del banco al permitir que sus canales corporativos sean vulnerados por redes criminales.
Qué hacer si has sido víctima
El impacto psicológico de haber sido engañado durante una llamada de casi una hora y sufrir la mofa final de los delincuentes requiere apoyo y una acción técnica decidida. Es prioritario que revises detalladamente las pautas sobre qué hacer si te han estafado para restablecer la seguridad de tu entorno digital.
Si has sido víctima de este ataque de vishing con suplantación de INCIBE y de tus cuentas de CaixaBank o Bankinter, y necesitas que un equipo especializado perite tus pruebas y dirija la reclamación formal contra los Servicios de Atención al Cliente de tus bancos, puedes cumplimentar el formulario de la asociación.
Caja de Autoridad
Por Jéssica González Valiente Presidenta de Victifin (Asociación de Víctimas de Chiringuitos Financieros) Autora del libro: «Tras la Pantalla: Anatomía de las Mafias Digitales y el Fraude Financiero Global» Víctima directa de un fraude financiero en el pasado y dedicada en exclusiva a la investigación forense de la ingeniería social, la protección del usuario de banca digital y la defensa legal colectiva frente a los abusos y fallos de seguridad de las entidades financieras. Artículo revisado y validado bajo los criterios técnicos de la ciberseguridad forense y el derecho de los servicios de pago vigentes.
Conclusión
La llamada del supuesto agente Rubén García Suárez bajo el amparo de INCIBE constituye un fraude de ingeniería social avanzado que utiliza el spoofing de SMS para infiltrarse en los canales de comunicación de CaixaBank y Bankinter. Ningún protocolo legítimo de seguridad nacional requiere que un ciudadano valide transacciones económicas reales para rastrear un delito telemático. La responsabilidad final de la seguridad de los canales no puede recaer sobre el usuario cuando los sistemas bancarios permiten la falsificación de su propia identidad corporativa. La recopilación exhaustiva de los registros temporales, la formalización de la denuncia penal detallando la manipulación técnica y la interposición de una reclamación de responsabilidad civil ante el Servicio de Atención al Cliente de las entidades de crédito representan las únicas herramientas legales eficaces para forzar la restitución íntegra de los capitales sustraídos.






