La ciberdelincuencia no da tregua. Con técnicas cada vez más sofisticadas, los estafadores digitales perfeccionan sus estrategias para suplantar la identidad de bancos, empresas de mensajería y plataformas de confianza.
En los últimos días, expertos en ciberseguridad han detectado una nueva campaña que utiliza el mensaje “No podrá utilizar su tarjeta” como gancho para robar credenciales bancarias. El fraude, que afecta especialmente a clientes del BBVA, se propaga por SMS y es tan convincente que resulta casi indistinguible de una comunicación oficial.
Alerta por nueva estafa digital: el fraude de SMS que pone en riesgo las cuentas bancarias
El mecanismo es el de siempre, pero mucho más elaborado. Los atacantes envían un mensaje que aparenta provenir del mismo número que utiliza el banco para sus comunicaciones oficiales.
En la práctica, esto significa que el SMS fraudulento aparece dentro del mismo hilo donde el cliente suele recibir alertas reales, lo que multiplica las posibilidades de que caiga en la trampa.
El texto tipo del mensaje es el siguiente:
“(BBVA) A partir de ahora, no podrá utilizar su tarjeta. Debe actualizar el nuevo sistema de seguridad web: https://urlgo.co/r/clientebbva”.
El enlace incluido redirige a una página web clonada que imita con precisión la interfaz de la banca online del BBVA. Allí, el usuario introduce sus credenciales de acceso, datos personales e incluso información de su tarjeta. Con esa información, los ciberdelincuentes pueden acceder a la cuenta y transferir el dinero en cuestión de minutos.
Un fraude casi imposible de detectar
La gran amenaza de este tipo de ataques es su realismo. Los estafadores utilizan técnicas de spoofing para falsificar el número de origen, replicar el estilo del mensaje y hasta el formato de la URL. Todo parece legítimo. Además, el mensaje juega con el miedo a perder acceso a la tarjeta, apelando a la urgencia y provocando una reacción impulsiva. El resultado: miles de usuarios que, ante el temor de no poder usar su cuenta, acceden al enlace sin sospechar que están entregando su información a los atacantes.
Según los expertos, el phishing bancario representa ya uno de los delitos cibernéticos más comunes en España. En lo que va de 2025, se ha registrado un aumento del 27% en este tipo de estafas, y las entidades financieras se enfrentan a una ola de fraudes que no distingue por edad ni nivel de experiencia tecnológica.
Otra variante: el falso aviso de transferencia
A esta campaña se suma otra modalidad que también suplanta al BBVA. En este caso, los usuarios reciben un SMS alertando sobre una “transferencia inmediata” o “transferencia puntual” de cierta cantidad de dinero. El mensaje invita a llamar a un número de teléfono, normalmente con prefijo 91, para cancelar la supuesta operación.
Esa llamada es el segundo paso del engaño. Los delincuentes simulan ser agentes del banco y piden al cliente que confirme sus datos o autorice una operación de seguridad. En realidad, lo que hacen es tomar el control de la cuenta en tiempo real.
Cómo identificar y evitar estas estafas
BBVA y otros bancos insisten en que jamás solicitan datos personales, contraseñas o códigos de verificación por SMS, correo electrónico o llamada telefónica.
Además, los mensajes oficiales nunca contienen enlaces. Cualquier comunicación que incluya un link o número de teléfono debe considerarse sospechosa, incluso si aparece en el mismo hilo de mensajes legítimos.
Para protegerte, sigue estas recomendaciones básicas de ciberseguridad:
- No hagas clic en enlaces recibidos por SMS o correo. Escribe tú mismo la dirección web del banco en el navegador o accede directamente desde la aplicación oficial.
- Verifica el remitente, pero sin confiarte. Los estafadores pueden falsificar el número del banco.
- Ignora los mensajes alarmantes. Los ciberdelincuentes suelen utilizar un tono urgente o amenazante para forzarte a actuar rápido.
- Desconfía de los errores ortográficos o de formato. Aunque algunos mensajes estén bien escritos, estos detalles siguen siendo pistas de alerta.
- No compartas tus códigos OTP (One Time Password). Son únicos y personales. Ningún empleado de un banco te los pedirá.
- Instala un antivirus actualizado en tu móvil y activa la verificación en dos pasos en todos tus servicios digitales.
Si has recibido uno de estos mensajes o crees haber caído en la trampa, contacta inmediatamente con BBVA a través del número oficial 900 102 801 y bloquea tus tarjetas. También conviene cambiar las contraseñas y revisar los movimientos recientes de tus cuentas.
La Policía Nacional y el Incibe recomiendan
Los expertos alertan de que las estafas por SMS, también conocidas como smishing, están creciendo a un ritmo sin precedentes. Los atacantes aprovechan la confianza que los usuarios depositan en los mensajes de texto, un canal que tradicionalmente se consideraba más seguro que el correo electrónico. Con herramientas de inteligencia artificial y bases de datos filtradas, los ciberdelincuentes personalizan los mensajes para hacerlos aún más creíbles.
La Policía Nacional y el Instituto Nacional de Ciberseguridad (Incibe) recomiendan reportar cualquier intento de fraude en la web www.incibe.es o a través del número gratuito 017, donde expertos pueden orientar al usuario sobre los pasos a seguir.
Un panorama cada vez más complejo
En definitiva, la nueva estafa del mensaje “No podrá utilizar su tarjeta” es una muestra más de cómo la ingeniería social sigue siendo la mayor vulnerabilidad en el mundo digital. La mejor defensa no pasa solo por la tecnología, sino por mantener una actitud crítica, verificar antes de actuar y recordar una regla simple: ningún banco te pedirá nunca tus claves fuera de su app o su web oficial.
En la era de la hiperconectividad, un clic puede marcar la diferencia entre la seguridad y el desastre financiero. Mantente alerta.