Las nuevas estafas bancarias ya no llegan solo por SMS: ahora combinan llamadas, IA y datos reales tuyos
El fraude bancario digital ha evolucionado radicalmente en los últimos años. Las clásicas estafas mediante SMS falsos ya no actúan solas: ahora los ciberdelincuentes combinan llamadas telefónicas, spoofing, inteligencia artificial, clonación de voz y datos reales filtrados para manipular psicológicamente a las víctimas.
Organismos como Instituto Nacional de Ciberseguridad, Europol o el Banco de España llevan tiempo alertando del crecimiento de estas campañas híbridas, mucho más sofisticadas y difíciles de detectar que los fraudes tradicionales.
El problema ya no consiste únicamente en recibir un mensaje sospechoso. Ahora el usuario puede recibir:
- Un SMS dentro del hilo real de su banco.
- Una llamada desde un número aparentemente oficial.
- Una voz que conoce sus datos personales.
- Mensajes que parecen completamente legítimos.
- Supuestas verificaciones antifraude.
- Alertas de movimientos sospechosos.
- Códigos QR maliciosos.
- Incluso voces clonadas mediante inteligencia artificial.
La combinación de todas estas técnicas está provocando una nueva generación de fraudes financieros mucho más peligrosos.
Qué es el fraude híbrido: smishing, vishing e ingeniería social avanzada
Los expertos en ciberseguridad ya hablan de “fraude híbrido”, una modalidad que mezcla distintas técnicas de manipulación para aumentar la credibilidad del ataque.
Las más utilizadas actualmente son:
Smishing
Mensajes SMS fraudulentos que aparentan proceder del banco.
Suelen incluir:
- cargos sospechosos,
- bloqueos de cuenta,
- alertas urgentes,
- enlaces falsos,
- supuestas verificaciones de seguridad.
El gran problema es que muchas veces esos SMS aparecen dentro del mismo hilo legítimo del banco debido a técnicas de spoofing.
Vishing
Llamadas telefónicas donde el atacante se hace pasar por:
- el banco,
- el departamento antifraude,
- el servicio de seguridad,
- la policía,
- un técnico,
- o incluso un familiar.
El objetivo es conseguir:
- códigos OTP,
- accesos,
- autorizaciones,
- transferencias,
- instalación de aplicaciones,
- o acceso remoto al dispositivo.
Spoofing telefónico
Los ciberdelincuentes manipulan el identificador del número para que en pantalla aparezca:
- el número oficial del banco,
- el nombre de la entidad,
- o incluso el mismo teléfono real que aparece en la web oficial.
Esto destruye una de las barreras psicológicas más importantes: la desconfianza inicial.
El papel de la inteligencia artificial y la clonación de voz
Uno de los aspectos más preocupantes en 2026 es el uso creciente de inteligencia artificial en fraudes financieros.
Con apenas unos segundos de audio publicados en redes sociales, vídeos o notas de voz, algunas herramientas permiten clonar voces con una precisión sorprendente.
Esto facilita campañas de vishing mucho más creíbles.
Actualmente ya existen casos donde los delincuentes utilizan:
- voces clonadas,
- asistentes automatizados,
- bots conversacionales,
- mensajes personalizados,
- simulaciones de atención bancaria,
- y respuestas automatizadas con IA.
El objetivo sigue siendo el mismo: generar confianza suficiente para que sea la propia víctima quien autorice la operación.
Por qué estas estafas son tan efectivas
La clave del fraude moderno no está en hackear bancos.
Está en hackear emocionalmente a la víctima.
Los atacantes utilizan:
- miedo,
- urgencia,
- presión,
- autoridad,
- confianza,
- agotamiento mental,
- y saturación emocional.
Muchos usuarios creen que “jamás caerían”, pero cuando:
- el SMS aparece en el mismo hilo del banco,
- la llamada llega desde un número aparentemente oficial,
- conocen tus datos,
- hablan como un operador real,
- y además generan sensación de peligro inmediato,
el cerebro entra en modo automático y reduce enormemente la capacidad crítica.
Datos reales filtrados: por qué saben tanto sobre ti
Uno de los motivos por los que estas campañas resultan tan convincentes es el uso de datos reales obtenidos en filtraciones masivas.
Los ciberdelincuentes pueden disponer de:
- nombre completo,
- teléfono,
- dirección,
- correo electrónico,
- DNI,
- entidad bancaria,
- hábitos digitales,
- e incluso parte de movimientos financieros.
Por eso muchas víctimas afirman:
“Parecía realmente mi banco.”
Y en muchos casos, psicológicamente, lo era casi todo… salvo la intención.
Qué es el “quishing”: la nueva amenaza mediante códigos QR
Otra técnica que está creciendo rápidamente es el llamado “quishing”.
Consiste en utilizar:
- códigos QR falsos,
- pegatinas manipuladas,
- correos,
- SMS,
- o anuncios fraudulentos
para redirigir a páginas clonadas donde la víctima introduce:
- claves,
- credenciales,
- tarjetas,
- o códigos de seguridad.
El QR elimina además una barrera importante: el usuario no ve directamente la URL sospechosa.
Qué dice la normativa PSD2 y cuándo responde el banco
La expansión de estas estafas ha abierto un enorme debate jurídico sobre la responsabilidad bancaria.
La normativa PSD2 obliga a las entidades financieras a:
- aplicar autenticación reforzada,
- monitorizar operaciones sospechosas,
- detectar anomalías,
- implementar medidas antifraude,
- y reducir riesgos de ingeniería social.
Además, en España, distintas resoluciones judiciales recientes están endureciendo el análisis sobre la responsabilidad bancaria cuando:
- existen operaciones anómalas,
- hay fallos de monitorización,
- el cliente fue claramente manipulado,
- o no puede acreditarse negligencia grave.
Esto es especialmente relevante porque muchos bancos siguen intentando rechazar reclamaciones alegando simplemente que:
“el cliente autorizó la operación.”
Sin embargo, cada vez más tribunales analizan el contexto completo del fraude híbrido moderno.
Señales de alerta que nunca debes ignorar
Los organismos de ciberseguridad coinciden en varias señales comunes:
- sensación de urgencia,
- amenazas de bloqueo,
- cargos sospechosos,
- llamadas inesperadas,
- presión para actuar rápido,
- petición de códigos OTP,
- instalación de apps,
- acceso remoto,
- enlaces por SMS,
- códigos QR sospechosos.
Ningún banco debería pedirte:
- claves completas,
- códigos OTP por teléfono,
- acceso remoto,
- ni transferencias “de seguridad”.
Qué hacer si has sido víctima
Si has caído en una estafa bancaria:
- contacta inmediatamente con tu banco,
- solicita bloqueo de operaciones,
- guarda capturas y mensajes,
- presenta denuncia,
- conserva números y registros,
- y documenta cronológicamente todo lo ocurrido.
Yo también sufrí una estafa financiera y precisamente por esa experiencia fundé Victifin, una asociación creada para ayudar a víctimas durante todo el proceso.
En Victifin estudiamos tu caso y te orientamos gratuitamente. Puedes solicitar ayuda aquí:
También puedes consultar:
- Cómo denunciar una estafa financiera
- Cómo recuperar el dinero de una estafa
- Listado de chiringuitos financieros y alertas
- Listado oficial de chiringuitos financieros de la CNMV
- Abogados especializados en estafas financieras
El fraude financiero digital seguirá evolucionando, pero comprender cómo operan estas estructuras es una de las mejores defensas frente a ellas.






