...

Phishing bancario: qué es, cómo funciona y qué hacer si eres víctima

Actualizado el 04/07/2026 | Penal


El phishing bancario es una modalidad de estafa en la que un delincuente se hace pasar por tu banco para robarte las claves de acceso y vaciar tu cuenta. Llega por correo, SMS o llamada, imita a la entidad con bastante realismo y busca que tú mismo entregues tus datos bancarios sin darte cuenta. En esta guía verás qué es, cómo funciona, qué tipos existen, cómo detectarlo y, sobre todo, qué hacer si ya has sido víctima y cuándo el banco está obligado a devolverte el dinero.

¿Qué es el phishing bancario?

El phishing bancario es un fraude que suplanta la identidad de una entidad bancaria para obtener información confidencial del cliente: usuario, contraseña, PIN o los códigos de confirmación de las operaciones. Con esos datos, el atacante accede a la banca online y ordena transferencias o compras a nombre de la víctima.

En términos legales encaja en el delito de estafa recogido en el artículo 249 del Código Penal, en su modalidad informática. No hace falta que el delincuente fuerce nada: la clave del phishing es el engaño, conseguir que la propia persona facilite sus credenciales creyendo que habla con su banco.

¿Cómo funciona el phishing bancario?

El esquema casi siempre es el mismo y se apoya en la urgencia. Primero llega un mensaje que aparenta venir de tu entidad financiera: un aviso de «movimiento sospechoso», un bloqueo de la cuenta o la caducidad de la tarjeta.

Ese mensaje incluye un enlace que lleva a una web falsa, una copia casi idéntica a la banca online real. Cuando introduces tu usuario y tu contraseña, los datos viajan directos al delincuente. Muchos ataques dan un paso más y, en ese mismo momento, te piden el código que el banco te envía por SMS, con lo que consiguen validar una operación no autorizada en tiempo real.

El objetivo final es siempre el mismo: mover el dinero fuera de tu cuenta antes de que te des cuenta.

¿Qué tipos de phishing bancario existen?

El phishing bancario adopta varias formas según el canal por el que llega. Estas son las más frecuentes.

Phishing por correo electrónico

Es la modalidad clásica. Un email que imita el diseño y el remitente del banco te pide «verificar tus datos» a través de un enlace. Sigue siendo el phishing más común, sobre todo en campañas masivas.

Smishing (SMS)

El smishing usa mensajes de texto. Suele colarse en el mismo hilo de SMS legítimos del banco, lo que le da una apariencia de veracidad enorme. Avisa de un cargo o un acceso extraño y adjunta un enlace corto.

Vishing (llamada telefónica)

En el vishing, alguien te llama identificándose como personal del banco o de su servicio antifraude. Con datos que ya conoce de ti, gana confianza y te guía para que le facilites claves o autorices un traspaso. Funciona igual que otras estafas telefónicas por spoofing, donde el número que aparece en la pantalla también está falsificado.

Suplantación de web y SIM swapping

Aquí el atacante reproduce la web del banco (pharming) o duplica tu tarjeta SIM para interceptar los SMS de confirmación. El fraude por SIM swapping es especialmente grave porque anula el doble factor de seguridad basado en el móvil.

¿Cómo detectar un intento de phishing bancario?

Ningún banco te pide las claves completas por correo, SMS ni teléfono. Esa es la primera regla. A partir de ahí, hay señales que delatan casi cualquier intento.

  • Tono de urgencia o amenaza: «su cuenta será bloqueada en 24 horas».
  • Remitente o número que no coincide exactamente con el de tu entidad.
  • Enlaces que, al pasar el ratón por encima, apuntan a una dirección rara.
  • Faltas de ortografía o un saludo genérico, sin tu nombre.
  • Peticiones de datos personales, códigos o el PIN de la tarjeta.

Ante la duda, no respondas al mensaje. Entra a tu banca online escribiendo tú la dirección o desde la app oficial, nunca desde el enlace que te han mandado.

¿Qué hacer si has sido víctima de phishing bancario?

Actúa rápido, porque las primeras horas son decisivas para bloquear el dinero y para tu futura reclamación. Estos son los pasos.

  • Llama a tu banco de inmediato y pide bloquear la cuenta y las tarjetas.
  • Cambia las contraseñas de la banca online y del correo asociado.
  • Reúne pruebas: capturas del mensaje, del enlace, de las operaciones y de las horas.
  • Presenta denuncia ante la Policía Nacional o la Guardia Civil.
  • Reclama por escrito a la entidad la devolución de las cantidades.

Conservar las pruebas y presentar la denuncia cuanto antes es lo que después sostiene el caso. Si necesitas orientación para denunciar el phishing bancario y dirigir la reclamación, conviene contar con un abogado desde el principio.

¿Tiene el banco que devolverte el dinero?

En muchos casos, sí. Cuando se produce una operación de pago no autorizada, la normativa sitúa la responsabilidad de partida en la entidad financiera, no en el cliente. Lo regula el Real Decreto-ley 19/2018 de servicios de pago, que traspuso la normativa europea al ordenamiento español.

La regla general es que, si notificas la operación no autorizada sin demora, el banco debe reintegrar el importe, en principio a más tardar al día hábil siguiente. Y hay un punto clave para la víctima: la carga de la prueba recae en el banco. Es la entidad la que tiene que demostrar que la operación estaba autorizada o que el cliente actuó con negligencia grave, no al revés.

El Tribunal Supremo ha reforzado esa protección. En su sentencia de la Sala de lo Civil 571/2025, de 9 de abril, confirmó que un banco debía devolver más de 56.000 euros a un cliente que sufrió un fraude combinado de phishing y duplicado de la tarjeta SIM. El tribunal recordó que el simple hecho de que un tercero llegue a conocer las claves no supone, por sí solo, negligencia grave del usuario. Que hayas caído en un engaño sofisticado no equivale a haber actuado con negligencia grave. Cada caso depende de las circunstancias, de las medidas de seguridad de la entidad y de cómo se produjo el fraude, por lo que merece un análisis individual antes de dar nada por perdido. Si te encuentras en esta situación, puedes reclamar al banco la devolución del dinero sustraído.

¿Cómo evitar el phishing bancario?

La prevención pasa por unos hábitos sencillos que cierran la puerta a la mayoría de los ataques.

  • No pulses enlaces de correos o SMS del banco: entra siempre por la app o escribiendo la dirección.
  • Activa el doble factor de autenticación y revisa los avisos de operaciones.
  • Nunca facilites claves completas ni códigos de confirmación por teléfono.
  • Desconfía de cualquier mensaje que meta prisa o pida verificar datos.
  • Mantén el móvil y el navegador actualizados.

Puedes ampliar consejos de prevención en el portal del INCIBE y en la sección de fraude del Banco de España.

¿Te han estafado con un phishing bancario?

Revisamos tu caso y te decimos si es viable reclamar la devolución al banco y denunciar el fraude.

Cuéntanos tu caso

Preguntas frecuentes sobre el phishing bancario

¿Qué es el phishing en un banco?

Es una estafa en la que el delincuente suplanta a la entidad bancaria para conseguir tus claves y acceder a tu cuenta. Se apoya en el engaño, no en forzar sistemas: busca que seas tú quien facilite los datos.

¿Cuáles son los 4 tipos de phishing?

Los más habituales son el phishing por correo electrónico, el smishing (por SMS), el vishing (por llamada) y la suplantación de páginas web. Todos persiguen lo mismo: robar credenciales bancarias.

¿Cuál es el phishing más común?

El correo electrónico masivo sigue siendo el canal más frecuente, aunque el smishing por SMS ha crecido mucho porque se cuela en los hilos de mensajes reales del banco.

Cuando te estafan con phishing, ¿el banco te devuelve el dinero?

En operaciones no autorizadas, la ley obliga al banco a devolver el importe salvo que pruebe que hubo autorización o negligencia grave del cliente. La carga de esa prueba recae en la entidad, así que en muchos casos la devolución es reclamable.

¿Qué hacer si he sido víctima de phishing bancario?

Bloquea la cuenta con tu banco, cambia las contraseñas, guarda todas las pruebas, denuncia ante la Policía o la Guardia Civil y reclama por escrito la devolución. Cuanto antes actúes, mejor.

Socio Director en  ~ Web ~  Más Artículos

Soy abogado con más de 15 años de ejercicio profesional. He participado en más de 200 procedimientos judiciales y he cultivado más de 2200 horas de formación continuada tras licenciarme.

Me gusta el Derecho y he dedicado la mayor parte de mi carrera a las áreas del derecho Inmobiliario, Urbanismo y Mercantil.

Artículos relacionados

Aviso Legal

Aviso Legal

Artículos relacionados
Consulta con un abogado

Hemos ayudado a cientos de personas y empresas a resolver sus problemas legales y podemos ayudarte a ti también. Escríbenos al WhatsApp y agenda tu primera consulta.

Share This
WhatsApp
WhatsApp ×

¡Hola! ¿Necesitas ayuda?
Escríbenos ahora haciendo click en el botón.