Fraudes por SMS que suplantan a BBVA: señales para no caer

Los SMS que suplantan a BBVA vuelven a aprovechar el miedo al bloqueo de cuentas, cargos o transferencias urgentes. La entidad recuerda que sus mensajes no incluyen enlaces ni teléfonos, una señal clave para proteger claves, tarjetas y movimientos bancarios.
Cliente revisando un SMS sospechoso que suplanta a BBVA en su móvil
Cliente revisando un SMS sospechoso que suplanta a BBVA en su móvil

Qué está pasando con los SMS falsos de BBVA

No estamos ante una nueva comisión ni ante un cambio contractual de BBVA. El problema es otro: mensajes fraudulentos que se hacen pasar por el banco para llevar al cliente a una web falsa, a una llamada controlada por delincuentes o a una operación que puede vaciar dinero de la cuenta.

La clave está en la confianza. El SMS puede aparecer con el nombre de BBVA e incluso dentro del mismo hilo donde el cliente ha recibido antes mensajes reales. El Banco de España advierte de que esta técnica, conocida como SMS spoofing, permite suplantar el identificador del remitente y hacer que el mensaje parezca más creíble de lo que es.

Por eso, el dato importante no es solo si el mensaje “parece” del banco. Lo importante es qué pide. Si contiene un enlace, un teléfono para llamar, una urgencia para anular una operación o una petición de claves, el cliente debe tratarlo como sospechoso.

Las señales que deben hacer saltar la alarma

BBVA insiste en una regla sencilla: sus SMS no incluyen enlaces ni números de teléfono. Si el mensaje pide entrar en un enlace, llamar a un número o actuar de inmediato para evitar un cargo, la entidad recomienda eliminarlo y no seguir las instrucciones.

Otra señal es la urgencia. Los fraudes suelen hablar de cuentas bloqueadas, cargos no reconocidos, transferencias pendientes o supuestas medidas de seguridad. El objetivo es que el cliente no piense, pulse rápido y entregue datos que permiten entrar en la banca online o autorizar movimientos.

También conviene vigilar las claves de un solo uso. BBVA recuerda que los códigos OTP son secretos y no deben compartirse por SMS, correo o llamada. Si alguien los pide, aunque diga llamar del banco, la operación ya huele a fraude.

Cliente usando una app bancaria con funciones de inteligencia artificial.
Te puede interesar: BBVA acelera la IA frente a otros bancos: qué cambios sí pueden notar los clientes

Por qué puede afectar directamente a tu dinero

En estos fraudes, el daño no está solo en hacer clic. El riesgo aparece cuando el usuario introduce su NIF, claves de acceso, número de móvil, datos de tarjeta o códigos de confirmación en una página falsa. BBVA explica que los enlaces de smishing pueden llevar a webs que imitan al banco para capturar datos personales y bancarios.

El segundo paso suele ser una llamada. El delincuente puede hacerse pasar por el departamento de seguridad y pedir que confirmes códigos, anules operaciones o hagas transferencias “para proteger el dinero”. BBVA advierte de que, si el cliente sigue esas instrucciones, las transferencias pueden acabar realmente en cuentas controladas por los estafadores.

Aquí no hay letra pequeña comercial, pero sí una consecuencia bancaria clara: si compartes claves o autorizas una operación, recuperar el dinero puede depender del caso, de la rapidez con la que avises al banco, de la documentación disponible y de cómo se haya producido la operación. No conviene prometer resultados antes de revisar lo ocurrido.

Qué hacer si has recibido el mensaje o has pulsado

Si solo has recibido el SMS, lo prudente es no pulsar, no llamar al número indicado, bloquear el remitente si el móvil lo permite y eliminar el mensaje. La operativa bancaria debe hacerse desde la app oficial o escribiendo tú mismo la dirección del banco en el navegador, no desde enlaces recibidos por SMS.

Si has llamado, dado datos o detectas un cargo no reconocido, la prioridad cambia: contactar con BBVA por canales oficiales, bloquear tarjetas o accesos si procede, revisar movimientos y guardar pruebas. La propia entidad indica el 900 102 801 para incidentes de seguridad relacionados con cuentas o tarjetas.

INCIBE recomienda, en campañas de smishing bancario, informar a la entidad, monitorizar la cuenta, conservar capturas y registros de llamadas y, si hay perjuicio o datos comprometidos, denunciar ante las Fuerzas y Cuerpos de Seguridad. También puede reportarse el incidente a sus canales de ayuda en ciberseguridad.

Revolut opera en España como sucursal bancaria registrada con código 1583
Te puede interesar: Revolut ya figura como sucursal bancaria en España: qué cambia para sus clientes

El punto práctico para el cliente

El mensaje puede parecer pequeño, pero toca una parte sensible de la relación con el banco: la confianza en las comunicaciones. No todo lo que aparece en el hilo de BBVA es necesariamente seguro. Y no toda llamada que menciona un cargo urgente viene de la entidad.

Quien quiera revisar su forma de operar con banca digital puede comparar servicios y condiciones de cuentas online, pero sin mezclar prioridades: ante un posible fraude, lo primero no es cambiar de banco, sino proteger accesos, bloquear lo necesario y hablar con canales oficiales. Si después se revisa la relación bancaria, también conviene mirar comisiones y requisitos en bancos y cuentas sin comisiones.

La idea final es sencilla: un SMS con enlace, teléfono o urgencia no debe decidir por ti. Antes de tocar nada, abre la app oficial, teclea la web del banco o llama a un número verificado. En banca, unos segundos de pausa pueden evitar una transferencia difícil de revertir.

BBVA, Banco de España e INCIBE.

Esta noticia ha sido elaborada por Alejandro Valencia.

Alejandro Valencia

Alejandro Valencia

Especialista

Más del autor

Analiza bancos, cuentas y novedades bancarias en España.

Noticias relacionados