La señal importante no es el logo, sino lo que te pide el mensaje
El phishing que suplanta a Trade Republic no convierte a todos sus clientes en víctimas ni significa que cualquier comunicación de la entidad sea falsa. Lo que sí confirma la CNMV es que ha detectado entidades no autorizadas que usan nombres parecidos o se presentan como empleados de Trade Republic Bank GmbH, pese a que la entidad legítima está registrada en España como entidad de crédito que presta servicios de inversión en libre prestación.
Ese matiz es importante. El problema no está en recibir un mensaje de Trade Republic, sino en responder sin comprobar si realmente procede de la entidad. Los fraudes suelen apoyarse en una urgencia concreta: una retirada no reconocida, un supuesto bloqueo de cuenta, una operación sospechosa o una petición para “confirmar” credenciales.
El Banco de España lo explica con claridad en sus materiales sobre phishing: estos mensajes buscan datos personales, claves de acceso, códigos de un solo uso o datos de tarjeta. Y una regla sigue siendo válida para bancos, neobancos y plataformas de inversión: ninguna entidad debería pedirte por SMS o correo que entregues tus claves completas.
Por qué un SMS falso puede parecer real
Uno de los errores más habituales es confiar solo en el remitente. Si el mensaje aparece con un nombre conocido, dentro de un hilo antiguo o con un tono parecido al de la entidad, muchos usuarios bajan la guardia. Ahí está precisamente el riesgo.
El Banco de España advierte sobre la suplantación de SMS y del identificador de llamadas: un mensaje fraudulento puede aparentar venir de una entidad conocida mediante técnicas de spoofing. Por eso no basta con mirar si pone “Trade Republic” o si el aviso parece urgente.
La comprobación práctica es otra: no entrar por el enlace del mensaje, no llamar al número que aparece en el SMS y no introducir usuario, contraseña, PIN, códigos de verificación ni datos de tarjeta en una página abierta desde ese aviso. Si hay duda, el camino más prudente es abrir la app o escribir manualmente la web oficial, no seguir el acceso directo que propone el mensaje.
Este criterio vale especialmente para clientes de neobancos y plataformas digitales, donde casi toda la relación con la entidad pasa por el móvil. La comodidad de operar desde la app también exige más disciplina: verificar antes de actuar, aunque el mensaje parezca venir de un canal conocido.
El Registro de alias ayudará, pero no sustituye la prudencia
España está reforzando las reglas contra los SMS fraudulentos. La CNMC ha modificado la circular del Registro de alias, una base de datos pensada para identificar los nombres comerciales que aparecen como remitentes en SMS, MMS y RCS enviados a números españoles.
A partir del 15 de septiembre de 2026, deberán entrar plenamente en vigor las obligaciones de bloqueo de mensajes enviados con alias no registrados o no cursados por proveedores habilitados. En la práctica, la medida busca que no cualquiera pueda enviar un SMS usando el nombre de una marca o entidad financiera.
Pero conviene no sacar una conclusión equivocada. Que exista una nueva barrera técnica no significa que desaparezca el fraude. Los delincuentes pueden usar correos, llamadas, webs clonadas, anuncios falsos o mensajes por otras vías. Para el cliente, la protección real sigue estando en combinar medidas del sistema con una rutina sencilla: desconfiar de la urgencia, verificar por canal oficial y no entregar claves.
Qué debe revisar un cliente antes de responder
La primera pregunta es muy simple: ¿el mensaje me pide hacer algo que afecta a mi dinero o a mis datos? Si la respuesta es sí, conviene parar. Una comunicación que exige actuar de inmediato, amenaza con bloquear la cuenta o pide llamar a un número desconocido merece una comprobación independiente.
La segunda pregunta es si el enlace lleva de verdad al dominio oficial. La propia CNMV identifica la web legítima como traderepublic.com al distinguirla de clones o correos sospechosos. Aun así, lo más prudente no es revisar el enlace con prisa, sino evitarlo: entra desde la app instalada o desde una dirección escrita por ti.
La tercera es si el aviso encaja con tu actividad. Si no has iniciado una operación, no tiene sentido introducir un código recibido en el móvil ni comunicarlo a nadie. Un código de verificación sirve para confirmar algo que tú has empezado, no para “cancelar” una supuesta operación que otro te anuncia por teléfono o SMS.
Si el usuario ya ha pulsado un enlace o ha facilitado datos, debe actuar rápido: cambiar credenciales desde el canal oficial, bloquear tarjeta o acceso si procede, avisar a la entidad, conservar capturas y denunciar. El INCIBE permite reportar fraudes de phishing, smishing o vishing aportando evidencias como capturas o URLs maliciosas.
El fondo de la noticia no es que haya que vivir con miedo a cada SMS. Es justo lo contrario: entender cómo funciona la suplantación para no tomar decisiones bancarias bajo presión. En una relación cada vez más digital con cuentas online y plataformas de inversión, la mejor defensa empieza antes del clic.
