Fraud Blocker
Página de inicio Qué hacer si has sido víctima de un phishing, smishing o vishing bancario

Qué hacer si has sido víctima de un phishing, smishing o vishing bancario

, Peritaje judicial informático, 0

En los últimos años hemos visto cómo el fraude bancario ha dejado de ser un problema meramente técnico para convertirse, sobre todo, en un problema de ingeniería social. Ya no se atacan los servidores del banco: se ataca al cliente. Y se hace, además, con una sofisticación tal que resulta, objetivamente, indistinguible de una comunicación auténtica para cualquier usuario medio.
Si acabas de recibir un SMS aparentemente de tu banco, has atendido una llamada desde un número que coincide con el de tu oficina, has terminado facilitando un código de verificación y ahora descubres que se han efectuado transferencias que tú no has autorizado, es posible que hayas sido víctima de un ataque combinado de
phishing, smishing y vishing bancario. Este artículo está pensado para ayudarte a reaccionar con acierto, a no cometer errores que debiliten tu posición jurídica y a recuperar tu dinero.

1. Phishing, smishing y vishing: tres caras del mismo fraude

Aunque los medios de comunicación suelen mezclarlos y emplearlos como sinónimos, se trata de tres técnicas distintas que los ciberdelincuentes combinan en un mismo ataque para aumentar su eficacia:

  • Phishing: es el envío de correos electrónicos fraudulentos que suplantan la identidad de una entidad de confianza (banco, Hacienda, empresa de paquetería) para inducir a la víctima a pinchar un enlace o facilitar sus credenciales.
  • Smishing: es la versión del phishing que viaja por SMS. El atacante manipula el campo «remitente» para que el mensaje aparezca dentro del mismo hilo de conversación que los mensajes auténticos del banco (técnica conocida como SMS spoofing). La aplicación de mensajería del móvil agrupa los SMS por el nombre del remitente sin ningún tipo de verificación criptográfica, de forma que un mensaje fraudulento y otro legítimo conviven en el mismo chat.
  • Vishing: es el fraude telefónico. Mediante centralitas virtuales y sistemas de telefonía IP (call spoofing) el atacante consigue que en la pantalla de la víctima aparezca exactamente el mismo número de teléfono publicado por el banco en su web oficial o, incluso, el número de su oficina habitual. El terminal móvil del usuario no dispone de ningún mecanismo para verificar la autenticidad del identificador de llamada entrante.

La variante más peligrosa —y la que con mayor frecuencia veo como perito— es el ataque combinado smishing + vishing: primero llega un SMS alarmista («Se ha detectado un inicio de sesión desde un nuevo dispositivo») y, acto seguido, entra la llamada de un supuesto empleado del banco que guía a la víctima, paso a paso, hasta realizar transferencias o abrir cuentas nuevas «para proteger su dinero». Es un guion ensayado, diseñado precisamente para superar los mecanismos de desconfianza natural y los sistemas de autenticación reforzada tipo OTP.

¿Por qué el OTP no te protege?

Los códigos OTP (One-Time Password) protegen frente a ataques técnicos, no frente a ataques de ingeniería social. Si un atacante te convence por teléfono para que le dictes el código que acabas de recibir por SMS, el OTP habrá cumplido su función criptográfica pero no habrá servido de nada.

2. Cómo reconocer que has sido víctima

Estos son los indicios que, una vez pasado el momento del ataque, delatan que la comunicación recibida no procedía realmente del banco:

  • El enlace del SMS no apunta a un dominio oficial del banco. Por ejemplo, en un caso reciente el dominio empleado era cajamar-movil-inicio.com, que nada tiene que ver con el dominio legítimo cajamar.es.
  • Las llamadas se producen en horario nocturno o en día inhábil (domingo, festivo), horarios incompatibles con la atención telefónica de cualquier entidad bancaria seria.
  • El supuesto empleado muestra una urgencia inusual y te presiona para que actúes «ya», sin darte tiempo a colgar y llamar al banco por ti misma.
  • Se te pide abrir cuentas nuevas, realizar transferencias a terceros o facilitar verbalmente códigos OTP. Ningún banco, nunca, te pedirá esto.
  • Aparecen movimientos en cuentas que no reconoces, normalmente transferencias fraccionadas por debajo del umbral habitual de alerta (por ejemplo, múltiples operaciones de 2.995 € en lugar de una sola de 20.000 €).

3. Qué hacer, paso a paso, si has sido víctima

Las primeras 24 a 48 horas son críticas. Lo que hagas —y lo que dejes de hacer— en este plazo condicionará tanto la posibilidad de recuperar el dinero como la solidez de una eventual reclamación judicial.

Paso 1. Bloquea inmediatamente tus cuentas y medios de pago

Llama al teléfono de atención al cliente de tu banco —buscado en su web oficial, nunca marcando el número desde el que te acaban de llamar— y solicita el bloqueo de todas las tarjetas, accesos y dispositivos de firma. Deja constancia por escrito (correo electrónico o formulario oficial) de que desautorizas cualquier operación pendiente.

Paso 2. Denuncia en Policía Nacional o Guardia Civil

Acude a una comisaría o cuartel y presenta denuncia por estafa, detallando: hora y fecha de los mensajes y llamadas, número de teléfono desde el que contactaron contigo, contenido de los SMS, URLs visitadas, cuentas de destino de las transferencias e importes exactos. La denuncia es un documento imprescindible: el propio Banco de España la exige para tramitar reclamaciones por operaciones no autorizadas y los bancos suelen escudarse en su falta para no devolver el dinero.

Paso 3. NO borres nada. Preserva todas las evidencias digitales

Este es, probablemente, el paso más importante desde un punto de vista pericial. Por el impulso comprensible de «limpiar» lo ocurrido, muchas víctimas cometen errores irreversibles: borran los SMS, eliminan el registro de llamadas, desinstalan aplicaciones, formatean el teléfono, entregan el terminal a un familiar o, peor aún, lo «rootean» para intentar investigarlo. Cualquiera de estas actuaciones puede destruir evidencias imprescindibles para acreditar el fraude.

Lo que sí debes hacer:

  • Conservar el terminal móvil tal y como está, sin borrar mensajes ni llamadas y sin reinstalarlo.
  • Hacer capturas de pantalla de los SMS y del registro de llamadas, cuidando que se vea fecha, hora y número o remitente.
  • Guardar los correos electrónicos recibidos del banco y las notificaciones de la app, sin vaciar la papelera.
  • Anotar, mientras lo recuerdes bien, el desarrollo cronológico de los hechos: a qué hora llegó el primer SMS, cuándo llamaron, qué te pidieron y en qué orden.
  • Descargar el extracto bancario de todas las cuentas afectadas y un justificante de cada una de las transferencias fraudulentas.

Regla de oro del perito informático

La evidencia digital es frágil y volátil. Un terminal no manipulado, con sus SMS y registro de llamadas intactos, vale mucho más en un procedimiento judicial que mil capturas de pantalla hechas «por si acaso». Si tienes la más mínima duda, no toques nada y consulta primero con un profesional.

Paso 4. Reclama formalmente al banco

Envía un burofax con acuse de recibo y certificación de contenido al Servicio de Atención al Cliente de tu entidad. Exige, con cita expresa de los artículos 45 y siguientes del Real Decreto-ley 19/2018 de Servicios de Pago, la devolución inmediata de los importes correspondientes a operaciones que tú no has autorizado. Recuerda que la carga de la prueba de que la operación fue autenticada, registrada y no se vio afectada por un fallo técnico corresponde, por ley, al banco y no a ti.

Paso 5. Reclamación ante el Banco de España

Si el banco no responde en dos meses o lo hace rechazando tu petición, puedes presentar reclamación ante el Departamento de Conducta de Entidades del Banco de España. Su informe no es vinculante, pero es un documento muy relevante en sede judicial, porque suele reconocer el derecho a la devolución cuando ha mediado vicio del consentimiento y las medidas de seguridad de la entidad se han mostrado insuficientes.

Paso 6. MASC: intento de solución extrajudicial

Desde la entrada en vigor de la Ley Orgánica 1/2025, de 2 de enero, de medidas en materia de eficiencia del Servicio Público de Justicia, resulta obligatorio acreditar el intento de un Medio Adecuado de Solución de Controversias (MASC) antes de acudir a los tribunales. Lo habitual es formular una oferta vinculante confidencial a la entidad mediante burofax. Conserva la copia sellada y el certificado de entrega: serán necesarios para interponer después la demanda.

Paso 7. Encarga un informe pericial informático

Cuando la entidad bancaria se niega a devolver el dinero, el paso decisivo para llevar el asunto a los tribunales con garantías es disponer de un informe pericial informático independiente. Lo explicamos con detalle en el siguiente apartado.

4. Por qué el informe pericial informático es clave

La estrategia habitual de las entidades bancarias consiste en sostener que la operación fue autorizada por el cliente, que se verificó mediante OTP y, por tanto, que el cliente fue negligente. Frente a ese argumento, un informe pericial informático permite acreditar, entre otros extremos:

  • La existencia real de los mensajes SMS y llamadas fraudulentas recibidas en el terminal, con su fecha, hora y contenido íntegro.
  • Que el dominio del enlace del SMS no pertenece al banco y presenta características compatibles con una página de phishing.
  • Que las llamadas se efectuaron desde un número aparentemente asociado a una sucursal real del banco, pero en horario y día (nocturno, festivo) incompatibles con su actividad, por lo que responden a una técnica de call spoofing.
  • Que el terminal móvil no ha sido «rooteado» ni manipulado, de forma que los mensajes y llamadas son auténticos y no insertados a posteriori.
  • Que, desde un punto de vista técnico, un usuario con un nivel de conocimiento tecnológico medio no puede distinguir una comunicación legítima de una fraudulenta cuando se emplean técnicas de spoofing, por lo que no cabe hablar de negligencia del cliente.
  • Que las medidas de seguridad descritas por el banco —reducidas en muchos casos a simples recomendaciones de conducta y al uso de OTP— son insuficientes frente a este tipo de ataques sofisticados.

Para que ese informe tenga fuerza probatoria en juicio debe cumplir unos estándares técnicos estrictos: análisis del terminal en presencia de la víctima, grabación íntegra del examen como anexo, certificación del contenido web mediante terceros de confianza independientes (por ejemplo, eGarante o Safe Stamper), cálculo de las huellas digitales SHA-256 de todos los ficheros anexos y firma del perito con su número de colegiado. Sólo un perito informático colegiado puede asegurar esa cadena de custodia digital.

5. Marco legal: ¿tienes derecho a recuperar tu dinero?

La respuesta corta es: en la gran mayoría de los casos, sí. Estas son las bases jurídicas principales:

  • Real Decreto-ley 19/2018, de 23 de noviembre, de Servicios de Pago: establece que una operación de pago sólo se considera autorizada cuando el ordenante haya prestado su consentimiento conforme a lo pactado. Si ha mediado engaño, ese consentimiento está viciado.
  • Artículo 45 del RDL 19/2018: en caso de operación no autorizada, el proveedor de servicios de pago debe devolver el importe inmediatamente y, en todo caso, no más tarde del final del día hábil siguiente a la notificación.
  • Artículos 1261, 1265 y 1300 del Código Civil: regulan la nulidad del consentimiento prestado por error esencial o dolo, lo que permite solicitar la declaración de nulidad de las transferencias y la restitución de las cantidades.
  • Texto Refundido de la Ley General para la Defensa de los Consumidores y Usuarios: protege reforzadamente a quien actúa en un ámbito ajeno a su actividad profesional, como ocurre con la práctica totalidad de las víctimas de estos fraudes.

La tendencia de la jurisprudencia más reciente (Audiencias Provinciales y Tribunal Supremo) es clara: cuando el banco no acredita que ha implementado medidas de seguridad eficaces frente a los ataques de smishing y vishing —y las simples recomendaciones de conducta o el OTP no se consideran suficientes— procede la devolución íntegra de los importes transferidos.

6. Cómo reducir el riesgo en el futuro

  • Desconfía de todo SMS o correo que te transmita urgencia y te pida acceder a un enlace. Accede siempre a tu banca electrónica escribiendo tú la dirección oficial, nunca desde un enlace recibido.
  • Si recibes una llamada supuestamente del banco, cuélgala y llama tú al número oficial que figura en el dorso de tu tarjeta o en la web oficial.
  • Ningún empleado de una entidad bancaria seria te pedirá nunca el código OTP, ni la clave de firma, ni te guiará para abrir cuentas nuevas ni para realizar transferencias.
  • Activa las notificaciones push de todas las operaciones en la app oficial del banco y revisa periódicamente los movimientos.
  • Mantén el sistema operativo del móvil actualizado y no instales aplicaciones fuera de las tiendas oficiales.
  • No «rootees» ni manipules tu terminal: pierdes garantías, comprometes evidencias digitales y debilitas tu posición jurídica si llegas a sufrir un fraude.

Conclusión y recomendación final

Ser víctima de un ataque combinado de phishing, smishing y vishing no es una cuestión de torpeza ni de falta de cuidado. Es el resultado de un fraude técnicamente diseñado para engañar incluso al usuario más prudente, aprovechando la confianza natural en los identificadores de remitente y los números de teléfono. Reconocerlo es el primer paso para defenderse.

Si ya has sido víctima, mi consejo como perito informático es sencillo: no borres nada, denuncia cuanto antes, reclama por escrito al banco y pon tu caso en manos de profesionales —abogado especializado en derecho bancario y perito informático colegiado— antes de tomar cualquier decisión irreversible. La mayor parte de las víctimas que acuden con prontitud y con las evidencias bien preservadas consiguen recuperar su dinero.

¿Necesitas un informe pericial informático?

Si crees que has sido víctima de un fraude bancario por smishing o vishing y necesitas un informe pericial informático forense que respalde tu reclamación, puedes contactarme. Estudiaré tu caso, analizaré tu terminal preservando la cadena de custodia y emitiré un dictamen ratificable ante los tribunales.

 

Este artículo tiene finalidad divulgativa y no constituye asesoramiento jurídico. Cada caso requiere un análisis individualizado.

(No realizo análisis de hackeos ni recupero chats borrados)

Hablar en WhatsApp

0 Comentarios

Contesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

*

5,0
5,0 de 5 estrellas (basado en 44 reseñas)

Profesional de 10

24 abril, 2026

Gran profesional, lo recomiendo 100%. .

Avatar para Sheila Fernández Menéndez
Sheila Fernández Menéndez

Perito informático contra falsificación documental procesal

10 marzo, 2026

No fue fácil encontrar un perito informático dispuesto a ayudarme en mi caso de autopromotor injustamente demandado -como lo oyen- por expulsar de la obra a una constructora con prácticas claramente extorsionadoras. Por un golpe de suerte conocí a Eduardo por internet y desde el primer momento me pareció observador, diligente y brillante. En un momento crítico para mi familia, su trabajo lo confirmó.

Nos demandaba una gran constructora muy conocida en la Costa del Sol, agresiva y con métodos poco éticos -difíciles de probar-, al igual que su equipo de letrados e informáticos. Eduardo logró demostrar, con métodos y herramientas muy sofisticados, las falsificaciones en documentos y evidencias digitales clave, desmontando con su demoledor informe una causa ruinosa e injusta.

Domina técnicas cercanas a la ingeniería inversa para reconstruir manipulaciones en e-mails, firmas electrónicas, documentos y metadatos, y además sabe explicarlo con claridad frente a abogados y jueces. En nuestro caso, esa claridad fue decisiva. Lo recomiendo sin ninguna duda.

Avatar para Gonzalo S. del Rio
Gonzalo S. del Rio

Muy contenta

16 febrero, 2026

Quiero destacar la excelente labor profesional realizada por Eduardo. Desde el primer momento demostró un alto nivel de conocimiento técnico, rigor metodológico y claridad en la explicación de los procedimientos realizados.

El informe pericial fue elaborado con gran detalle, bien estructurado y fundamentado técnicamente, lo que transmitió confianza y solidez. Además, supo explicar aspectos técnicos complejos de forma comprensible, algo fundamental cuando se trata de procedimientos judiciales.

Avatar para Maria Ros Nicolás
Maria Ros Nicolás

Opinión sobre mi experiencia

12 diciembre, 2025

Súper diligente y muy rápido, sin hablar que el precio es inmejorable por el servicio desempeñado,, totalmente recomendable

Avatar para Fernando
Fernando

Muy profesional

20 noviembre, 2025

La profesiobalidad , la dedicacion y la competencia del señor Eduardo lo situa rn un nivel muy ato , muy profesional e inmejorable. Gracias por su gran ayuda.

Avatar para Siham
Siham

¿Necesitas que analice tu caso?

(No realizo análisis de hackeos de teléfonos ni recupero chats borrados)

Hablar en WhatsApp

Aviso legalPolítica de privacidadPolítica de cookies

©2019-2026 Mi Perito Informático - Reservados todos los derechos

Inicia Sesión con tu Usuario y Contraseña

¿Olvidó sus datos?