Suena el teléfono en medio de la tarde. El número no está guardado en la memoria del teléfono, pero es un fijo. Mari, de 62 años, descuelga. Al otro lado del teléfono le saluda alguien con mucha educación y buenos modales. Se presenta como trabajador de su banco de confianza. El individuo intenta asegurarse de la identidad de Mari. Le pregunta varios de sus datos y ella los confirma.
Tras esa breve presentación, le comunica que alguien ha accedido a su cuenta bancaria y que su dinero está en peligro. Realmente no es su dinero, puesto que Mari ya no tiene relación con ese banco. Se refieren, sin embargo, a la cuenta de su madre, en la que quedan unos pocos miles de euros. Con mucha urgencia, quien habla al teléfono le pide que se descargue una aplicación nueva, diferente a la habitual. Explica que la aplicación antigua no va a permitirle acceder.
A través de un mensaje de texto, le envían un enlace para que se descargue esa nueva aplicación. Le dicen que tiene que acceder con sus datos para poder frenar el ciberataque. Por desgracia, la realidad es totalmente la contraria. Una vez que entra a la aplicación pirata, el dinero de su madre está perdido. Su teléfono ha sido secuestrado y ni siquiera puede colgar la llamada, ni salirse de la aplicación, ni tampoco apagar el teléfono, hasta que al final lo consigue. Poco a poco, la cuenta se va vaciando a través de pequeñas transferencias a una cuenta de la que se va a perder el rastro en muy poco tiempo.
@mtalaveraperiodista¿Te ha llamado alguna vez tu “banco”… pero algo no te cuadraba? Pues esto que te cuento es un caso real. Y sí: era una estafa perfectamente montada. Suena el teléfono. Número oficial del banco. Voz amable. Todo correcto. Le dicen que alguien ha entrado en la cuenta de su madre y que su dinero está en peligro. Urgencia. Miedo. Y un “descárgate esta nueva app para protegerlo”. Eso es lo que buscan: que no pienses. Que reacciones. Y cuando esta víctima instaló la app fraudulenta… su móvil quedó bloqueado. En minutos, vaciaron la cuenta. Porque sí: los ciberdelincuentes ya clonan números oficiales. Emails, SMS, llamadas… todo parece real. Y lo peor: el 70% de los fraudes solo funcionan si tú haces clic, dices un dato o instalas algo. En España recibimos casi 2.000 ciberataques por semana. Y el fraude por suplantación de identidad subió un 60%. Las interfaces falsas de apps bancarias están tan bien hechas que es difícil distinguirlas. Los bancos nunca te van a pedir: • claves • códigos • instalar apps raras • ni que actúes “ya o tu dinero desaparecerá”. Por eso están reforzando su seguridad digital y también la nuestra: más controles, más autenticación, más avisos… Pero la primera barrera sigue siendo una: tu desconfianza. Si te llaman y algo no encaja, cuelga. Llama tú a tu banco. Compruébalo. Una pausa de 10 segundos puede salvar tus ahorros… y tu tranquilidad. ⚠️ Desconfía. 📵 No instales apps que no conoces. 📩 No compartas códigos. 🛡️ La mejor defensa empieza contigo.♬ The Edge of Infinity - Stefan MD
Al principio de la llamada, empieza a sospechar que es una estafa. Mari busca el número de teléfono con el que la han llamado y coincide con el de la entidad financiera. Sin embargo, no está segura de que es un engaño hasta que accede a la aplicación fraudulenta y, por desgracia, ya es tarde. Su relato está lleno de rabia, porque sospechó desde el principio, pero ello no fue suficiente. Además, quienes la llamaban hicieron todo lo posible por hacerla vulnerable: le provocaron miedo, urgencia por un robo que, en realidad, no se había producido aún, más allá de los datos y la suplantación de identidad.
Como ella, muchos clientes han sufrido este tipo de estafas. El sentido común invita a pensar que es un engaño, pero el número oficial del banco da veracidad a los ciberdelincuentes. Algún tiempo después, tarde para muchos, el banco advirtió a sus clientes de esa estafa.
Casos como el de Mari muestran la vulnerabilidad de la banca así como de los datos que gestiona. Una brecha deja la puerta abierta a miles de millones de euros de los clientes, con la única defensa de su desconfianza.
La banca, entre las víctimas favoritas
Este era un ejemplo reciente de los muchos y variados fraudes que se producen a diario. El volumen y la frecuencia de los ciberataques no dejan de crecer. Según los datos de Check Point Research, España recibió 1.951 ciberataques por semana en el mes de septiembre. Es un 7% más que en el mismo mes del año anterior. Aunque en este mes el sector financiero quedó algo más atrás, sigue siendo de los sectores que más ciberataques recibe, en una lista que lidera el Gobierno.
Un estudio de ENISA, la Agencia de Ciberseguridad Europea, señala que las principales consecuencias de los incidentes fueron la interrupción operativa (58%), la exposición y venta de datos sensibles (17%), pérdidas financieras (13%) y fraudes a gran escala (8%).
En esa línea, el informe, publicado este 2025, advierte de que los ciberatacantes se enfocan a los eslabones más débiles de la cadena: el usuario final y los puntos más vulnerables de autenticación. De hecho, el 70% de los fraudes con éxito requirieron una interacción humana.
Y en particular, el estudio que se refiere al periodo entre enero de 2023 y junio de 2024, confirma que el fraude y la suplantación de identidad se encuentran en aumento. Concretamente, el fraude basado en suplantación aumentó un 60% con respecto al mismo periodo comparable.
Como en el caso de Mari, los canales favoritos de estos delincuentes son el correo electrónico, los SMS y las llamadas falsas. A través de estas vías, los atacantes convencen a las víctimas de que están interactuando con su banco real. También replican la interfaz de las aplicaciones bancarias, lo que refuerza su persuasión frente a las víctimas.
En esa línea, el CEO de Qaracter, Enrique Galván, explica a Capital su visión sobre el cambio de naturaleza de la banca: “Las entidades financieras están evolucionando hacia modelos operativos propios de compañías tecnológicas: digitalizando procesos, personalizando servicios y reforzando la seguridad en cada capa de su organización”.
El trabajo por hacer del sector
Poco después de aquel fraude, la entidad financiera fue consciente de que se estaba produciendo la suplantación de su número. Es por ello que envió a sus clientes un correo electrónico en el que advertía de que, pese a que el número era el de la compañía, podía tratarse de una suplantación. Asimismo, lo denominaba como “La llamada telefónica del falso gestor”. En esa línea, su advertencia llamaba la atención sobre que los gestores del banco “nunca” piden datos personales, códigos o contraseñas.
Ese es un ejemplo de proactividad, pero no se trata solo de una buena conducta. Los bancos, en asociación con el Ministerio de Economía, la Asociación Española de Banca y CECA, han puesto en marcha diversas iniciativas para formar a los consumidores, de cara a mejorar su protección frente a estafas.
No obstante, la legislación ha hecho sus propios avances, que incrementan la seguridad de los bancos, de los clientes y de sus datos. “La regulación es imprescindible para asegurar la estabilidad y la confianza del ecosistema financiero; sin ese marco, podrían darse riesgos o situaciones no deseadas. Ahora bien, el reto en Europa es lograr que esa protección no frene nuestra capacidad de competir en transformación digital”, afirma Galván.
En primer lugar, se encuentra DORA (por sus siglas en inglés, Digital Operational Resilience Act), una normativa que entró en vigor en enero de 2023, si bien su aplicación plena se ha producido a principios de este 2025. Afecta a todas las entidades de crédito, como bancos, aseguradoras, entidades de pago, etc.
Su objetivo es reforzar la resiliencia operativa digital de entidades financieras ante riesgos relacionados con Tecnologías de la Información y la Comunicación (TIC), ciberataques, fallos operativos, etc. La forma de hacerlo consiste en identificar y evaluar los riesgos tecnológicos. También incluye la obligación de reportar los incidentes a las autoridades y poner a prueba los sistemas periódicamente. Por otro lado, un punto importante de DORA refiere a la transparencia con respecto a la información, con el fin de que las vulnerabilidades y amenazas que afecten a unas entidades puedan servir para reforzar todo el sector.
Por otro lado, cabe mencionar el avance de lo que ahora se conoce como PSD2. Aunque continúa en discusión y su entrada en vigor no llegaría hasta mediados de 2026, PSD3 (Payment Services Directive 3) representa un nuevo avance. En resumen, esta normativa exigirá una mayor autenticación del cliente, control sobre el acceso de terceros (open banking) y mejor supervisión de las API financieras. Entre otros aspectos, PSD3 pretende potenciar el uso de métodos biométricos como el reconocimiento facial o de huellas dactilares para autorizar pagos, con el fin de mejorar la accesibilidad y la seguridad.
Para el CEO de Qaracter, PSD3 contribuye a crear “un entorno financiero más seguro, transparente y conectado”. Asimismo, refuerza la protección del consumidor, mejora la autenticación y garantiza una mayor armonización en los servicios de pago y open finance en toda Europa.
Pero, como con toda regulación, “el reto estará en lograr un equilibrio entre cumplimiento y agilidad: aplicar las nuevas exigencias sin frenar la transformación digital ni la capacidad de ofrecer experiencias de cliente cada vez más rápidas, seguras y personalizadas”, añade Galván.
Hacia una banca blindada, pero humana
La historia de Mari y los miles de casos similares recuerdan que la transformación digital de la banca no es solo un asunto de tecnología, sino de confianza, educación y cultura de seguridad. El futuro de la banca estará marcado por su capacidad de anticipar riesgos, formar a los usuarios y construir un ecosistema en el que la innovación y la seguridad caminen de la mano.
Frente a este escenario, en el que el riesgo cero no existe, “la clave está en construir organizaciones resilientes, capaces no solo de prevenir incidentes, sino también de detectarlos”, afirma Galván. Por ello, cree que los pilares se basan en: “una gestión del riesgo continua y basada en datos, una cultura corporativa que fomente la concienciación y la responsabilidad compartida, y una respuesta coordinada entre tecnología, negocio y personas”.
La banca española está ante un momento crucial: tiene que protegerse de la ciberdelincuencia sin olvidar que detrás de cada transacción hay personas reales. Ese es el camino para convertir la vulnerabilidad en confianza y aprovechar cada brecha como una oportunidad para fortalecer la seguridad de todo el sector.
