Una menor utilizando un móvilEuropa Press

La nueva estafa que afecta a los madrileños en Navidad: «Recibí el mensaje en el hilo de SMS del BBVA»

Mientras su aplicación móvil se bloqueaba, comenzaron a registrarse retiradas de efectivo en cajeros y cargos adicionales

Manuel Manahén García

Madrid

La campaña navideña está dejando, un año más, un incremento notable de ciberfraudes vinculados a la banca digital. Entre ellos, destaca una variante especialmente sofisticada que ya ha afectado a numerosos madrileños: la estafa del hilo oficial de SMS, una técnica diseñada para engañar al usuario aprovechando el mismo canal donde recibe las comunicaciones legítimas de su entidad.

Según datos del INCIBE, los fraudes por smishing han crecido más del 37 % solo el año pasado, y el organismo prevé un nuevo repunte durante las fiestas de este 2025, coincidiendo con el aumento de operaciones bancarias y compras online.

Una de las víctimas ha prestado testimonio a este periódico y a la que llamaremos María, relata que todo comenzó con un aviso aparentemente auténtico del BBVA: «Acceso indebido desde un dispositivo no reconocido».

El mensaje apareció dentro del hilo oficial de SMS en el que habitualmente recibe claves, notificaciones y comunicaciones del banco. Esta circunstancia, explican los especialistas, es clave para entender la eficacia de la estafa, ya que los ciberdelincuentes logran insertar mensajes falsos utilizando técnicas que explotan vulnerabilidades en los sistemas de identificación de remitentes.

María, preocupada por la seguridad de su cuenta, llamó al número incluido en el mensaje. Al otro lado, respondió una supuesta gestora del banco que le aseguró que su cuenta estaba siendo atacada y que era necesario seguir una serie de instrucciones para detener las operaciones fraudulentas.

Bajo esa guía, la víctima terminó realizando dos transferencias que creía destinadas a proteger sus fondos, pero que en realidad acabaron en manos de los estafadores. Según explica, «los mensajes falsos se mezclaban con los reales» en el propio hilo del banco, lo que le hizo creer que estaba actuando de forma segura.

La estafa no acabó ahí. Mientras su aplicación móvil se bloqueaba, comenzaron a registrarse retiradas de efectivo en cajeros y cargos adicionales. María calcula que, en menos de una hora, había perdido prácticamente todos los ahorros disponibles en su cuenta.

«Llamé al banco inmediatamente y solo entonces comprendí que había sido víctima de una estrategia muy elaborada», explica. Según denuncia, el teleoperador no pudo frenar las operaciones a tiempo, pese a que las transferencias estaban ejecutándose en ese mismo momento.

Una técnica en auge

El INCIBE advierte desde hace meses que este tipo de fraude, conocido como smishing de hilo híbrido, es ya una de las variantes más peligrosas porque explota la confianza del usuario en un canal que percibe como seguro.

«No hablamos de un SMS aislado, sino de mensajes que se integran en un historial previo con la entidad bancaria. El usuario se siente protegido y baja la guardia», señalan fuentes técnicas del organismo.

La estafa se articula en tres fases:

  1. Inserción del SMS falso en el hilo oficial, mediante suplantación del identificador alfanumérico.
  2. Contacto directo con la víctima, haciéndose pasar por personal del banco.
  3. Ejecución guiada de transferencias, que la víctima cree que detendrán el fraude, pero que en realidad lo completan.

Consejo de abogados

Desde Asoban Abogados, despacho especializado en estafas bancarias y fraudes online que ha llevado el caso de María, confirman que este patrón se ha disparado en Madrid durante los últimos meses.

Afirman que el incremento de casos en diciembre no es casual: «Las festividades elevan el volumen de compras, operaciones bancarias y avisos de seguridad. Esto crea el caldo de cultivo perfecto para ataques muy sofisticados».

Los abogados destacan que uno de los motivos por los que estas estafas prosperan es que el banco no siempre activa mecanismos de detección temprana.

«Existen obligaciones regulatorias, como el principio de Know Your Customer, que exigen al banco bloquear o verificar operaciones que no encajan con el perfil habitual del cliente», explican desde el despacho. Según añaden, en algunos casos la entidad podría ser responsable si permitió operaciones atípicas, incoherentes o ejecutadas en un contexto evidentemente fraudulento.

Preguntados por las primeras medidas que debe adoptar una persona que ha sufrido una estafa como la de María, desde Asoban Abogados ofrecen una guía clara:

  1. Contactar inmediatamente con el banco y solicitar el bloqueo de cuentas, tarjetas y operaciones en curso.
  2. Solicitar un registro detallado de todas las transferencias y movimientos ejecutados.
  3. Presentar denuncia ante Policía Nacional o Guardia Civil, detallando el contenido de los mensajes y el número desde el que se produjo la llamada.
  4. Guardar capturas y documentos, incluido el hilo de SMS, que actúa como prueba clave en la reclamación.
  5. Solicitar asesoramiento jurídico especializado, ya que es posible reclamar la devolución del dinero cuando el banco no ha cumplido las medidas de seguridad exigibles.

El despacho subraya que muchos afectados desconocen que, en una parte significativa de estos casos, la entidad bancaria debe reembolsar los importes si no demuestra que el cliente actuó con negligencia grave.

«El engaño es tan sofisticado que difícilmente puede sostenerse que la víctima actuó sin diligencia. La estructura del fraude busca precisamente reproducir los protocolos de seguridad del banco», afirman desde el despacho.

Cómo evitar la estafa

Los expertos consultados por este periódico recomiendan aplicar medidas concretas para evitar caer en esta estafa:

  • Nunca llamar a números que aparecen en SMS, aunque estén en el hilo oficial. Los delincuentes pueden manipularlo.
  • Contactar siempre con el banco a través de la app oficial o del teléfono impreso en la tarjeta.
  • Desconfiar de cualquier solicitud de transferencia «de seguridad». Ningún banco utiliza este procedimiento.
  • Actualizar el móvil y la app bancaria, ya que los fallos de seguridad pueden facilitar ataques de suplantación.
  • Activar verificaciones adicionales, como notificaciones push o doble factor de autenticación.

Asoban Abogados recuerda además que, tras un fraude, «el tiempo es decisivo». Cuanto antes se bloquee la cuenta y se denuncien las operaciones, mayor es la probabilidad de recuperar fondos o paralizar la transferencia a tiempo.