"Le informamos de que su cuenta ha sido temporalmente restringida debido a actividad inusual. Para restaurar el acceso, verifique su identidad haciendo clic en el siguiente enlace."
Ese email no es de tu banco. Es phishing. Y cada día, miles de españoles reciben mensajes idénticos que suplantan a Santander, BBVA, CaixaBank, ING y otros bancos. En este artículo te muestro ejemplos reales para que sepas distinguir lo falso de lo auténtico.
Si quieres un panorama más amplio de todas las estafas que circulan en España, consulta nuestra guía completa anti-estafas 2026.
¿Por qué el phishing bancario es tan efectivo?
El phishing bancario funciona porque los estafadores han perfeccionado la imitación:
- Logos idénticos: Copian el logo oficial del banco píxel a píxel
- Colores corporativos: Usan la misma paleta de colores
- Lenguaje formal: El tono es idéntico al de un email real del banco
- Dominios parecidos: URLs que a primera vista parecen legítimas
- Certificados HTTPS: Las webs falsas también tienen candado verde
- Datos personalizados: Pueden incluir tu nombre real (de filtraciones)
Según INCIBE, el phishing bancario representó el 40% de todos los incidentes de ciberseguridad en España en 2025. Y en 2026, con el uso de inteligencia artificial para generar los mensajes, los errores de ortografía que antes delataban a los estafadores han desaparecido.
Phishing de Santander: ejemplos reales
Email 1: "Actividad sospechosa detectada"
Asunto del email falso:
Santander - Actividad inusual detectada en su cuenta [Ref: ST-2026-84721]
Contenido del email falso:
Estimado cliente,
Hemos detectado actividad inusual en su cuenta Santander. Por seguridad, hemos restringido temporalmente el acceso a su banca online.
Para restaurar el acceso completo, verifique su identidad haciendo clic en el siguiente enlace:
[Verificar mi identidad]
Tiene un plazo de 48 horas para completar la verificación. De lo contrario, su cuenta permanecerá restringida.
Atentamente, Departamento de Seguridad - Banco Santander
¿Cómo saber que es falso?
Señal
Detalle
Remitente
[email protected] (el dominio no es santander.es)
Enlace
Apunta a santander.verificacion-clientes.com (dominio falso)
Urgencia
"48 horas" para presionarte
Generalización
Dice "Estimado cliente" en vez de tu nombre real
Acción imposible
Santander no "restringe acceso" y te avisa por email para desbloquearlo
¿Cómo sería un email REAL de Santander?
- Remitente: @santander.es o @gruposantander.com
- Te llama por tu nombre
- No incluye enlaces para "verificar identidad"
- Te pide que accedas a la app o a santander.es directamente
- No amenaza con bloqueos de cuenta
Email 2: "Nuevo dispositivo conectado"
Asunto del email falso:
Alerta: Inicio de sesión desde un dispositivo no reconocido
Contenido resumido:
Se ha detectado un inicio de sesión en su cuenta desde un iPhone 15 en Lisboa, Portugal. Si no reconoce esta actividad, pulse aquí para proteger su cuenta.
¿Por qué engaña? Este email es especialmente peligroso porque apela al miedo real de que alguien haya entrado en tu cuenta. La mención de una ciudad extranjera y un dispositivo concreto le da verosimilitud. Pero el enlace no lleva a santander.es.
¿Qué hacer? Abre la app de Santander directamente (no por el enlace) y revisa tus dispositivos vinculados y últimos accesos.
Phishing de BBVA: ejemplos reales
Email 1: "Actualización de seguridad obligatoria"
Asunto del email falso:
BBVA - Actualización obligatoria de datos de seguridad
Contenido del email falso:
Estimado/a cliente,
Debido a la nueva normativa europea de seguridad bancaria (PSD3), es necesario que actualice sus datos de seguridad antes del 28 de febrero de 2026.
Complete la actualización aquí: [Actualizar datos]
Si no completa el proceso, su acceso a BBVA Online podrá verse afectado.
Un saludo, BBVA - Banca Digital
¿Cómo saber que es falso?
Señal
Detalle
Normativa inventada
No existe "PSD3". La normativa vigente es PSD2 (y nunca requiere que el cliente actúe por email)
Remitente
[email protected] (el dominio no es bbva.es)
Fecha límite
Crean urgencia con una fecha cercana
Enlace
Apunta a un dominio que no es bbva.es
¿Cómo sería un email REAL de BBVA?
- Remitente: @bbva.es o @bbva.com
- Las actualizaciones de seguridad se hacen dentro de la app
- Nunca te piden "datos de seguridad" por email
- No inventan normativas como excusa
Email 2: "Cargo no reconocido de 1.890 EUR"
Asunto del email falso:
Confirmación de pago: 1.890,00 EUR - Amazon.es
Contenido resumido:
Se ha procesado un pago de 1.890,00 EUR con su tarjeta BBVA terminada en **** 4521 en Amazon.es. Si no reconoce esta operación, cancele inmediatamente.
¿Por qué engaña? La cantidad específica, el nombre de Amazon y los últimos dígitos de una "tarjeta" (inventados, pero parecen reales) generan pánico. La víctima hace clic en "cancelar" sin pensar.
¿Qué hacer? Abre la app BBVA y revisa los movimientos de tu tarjeta. Si no hay ningún cargo de 1.890 EUR, el email era falso. Si tienes dudas, llama al número del reverso de tu tarjeta.
Phishing de CaixaBank: ejemplos reales
Email 1: "Verificación de identidad por normativa"
Asunto del email falso:
CaixaBank - Verificación de identidad requerida [Importante]
Contenido del email falso:
Estimado/a cliente de CaixaBank,
En cumplimiento con la normativa de prevención del blanqueo de capitales, necesitamos verificar su identidad. Este proceso es obligatorio para todos los clientes.
Acceda al portal de verificación: [Verificar identidad]
Plazo máximo: 5 días hábiles.
CaixaBank - Departamento de Cumplimiento Normativo
¿Cómo saber que es falso?
Señal
Detalle
Remitente
[email protected] (dominio falso)
Proceso inventado
CaixaBank ya verifica tu identidad cuando abres la cuenta
Portal externo
Te manda a una web fuera de caixabank.es
Plazo presionante
Los 5 días generan urgencia
SMS falso de CaixaBank Sign
"CaixaBank: Se ha solicitado una transferencia de 2.500 EUR desde su cuenta. Si no la reconoce, cancele aquí: https://caixabank.es-sign-verificar.com"
Este SMS es doblemente peligroso porque menciona "CaixaBank Sign", que es una herramienta real del banco. La URL parece contener "caixabank.es" pero el dominio real es "es-sign-verificar.com".
Anatomía de una web de phishing bancario
Cuando haces clic en un enlace de phishing, llegas a una web que imita a la del banco. Esto es lo que debes fijarte:
La URL (lo más importante)
Banco
URL real
URL phishing típica
Santander
santander.es/particulares
santander.es-particulares.com
BBVA
bbva.es/personas
bbva-personas.online
CaixaBank
caixabank.es/particular
caixabank.particular-es.com
ING
ing.es/clientes
ing-es.clientes-acceso.com
Sabadell
bancsabadell.com
bancsabadell.com-acceso.es
La clave: El dominio real está ANTES del primer /. Todo lo que hay antes de la barra es el dominio. Si no es exactamente santander.es, bbva.es o caixabank.es, es falso.
Antes de introducir datos en cualquier web, verifica si el enlace es seguro. Puedes copiar la URL y analizarla con herramientas como BeValk.
El formulario
Las webs de phishing te piden:
- Primero: Usuario y contraseña de banca online
- Después: Número de tarjeta, fecha de caducidad y CVV
- Finalmente: El código SMS que recibes (es el código real para autorizar una operación del estafador)
Un banco real NUNCA te pedirá el CVV de tu tarjeta en su web de banca online. Y mucho menos te pedirá todos estos datos en una misma sesión.
El certificado HTTPS
Muchas personas creen que el candado verde (HTTPS) significa que la web es segura. Falso. Solo significa que la conexión está cifrada, no que la web sea legítima. Cualquiera puede obtener un certificado HTTPS gratis en minutos.
¿Qué hacer si recibes un email de phishing?
Paso 1: No hagas clic en nada
No abras enlaces ni descargues archivos adjuntos.
Paso 2: Verifica el remitente
Mira la dirección de email completa (no solo el nombre que aparece). Si no termina en @[banco].es, es falso.
Paso 3: Comprueba por tu cuenta
Abre la app de tu banco o escribe la URL directamente en el navegador. Si hubiera un problema real, lo verás ahí.
Paso 4: Reporta
- A tu banco: La mayoría tienen canales de reporte de phishing
- Santander: [email protected]
- BBVA: [email protected]
- CaixaBank: a través de la app
- A INCIBE: Reenvía el email a [email protected]
- A Google/Microsoft: Marca como phishing en tu gestor de correo
Paso 5: Borra el email
Una vez reportado, elimínalo para no hacer clic por error en el futuro.
¿Cómo proteger tu cuenta de phishing bancario?
- Nunca accedas a tu banco desde un enlace: Siempre desde la app o escribiendo la URL
- Activa todas las alertas: Notificaciones push para cada operación
- Usa autenticación biométrica: Huella o Face ID para acceder a la app
- Revisa tus dispositivos vinculados: Periódicamente, comprueba que no hay dispositivos desconocidos
- Cuidado con el vishing: A veces el email va seguido de una llamada "del banco" para completar la estafa
- Mantén actualizada la app: Las actualizaciones incluyen mejoras de seguridad
Preguntas frecuentes
¿Cómo sé que un email de mi banco es auténtico?
Comprueba siempre la dirección del remitente (no el nombre visible). Los bancos usan dominios propios (@santander.es, @bbva.es). Además, los emails reales te llaman por tu nombre, no dicen "estimado cliente". Ante la duda, ignora el email y comprueba directamente en la app.
¿Los bancos envían emails con enlaces?
Los bancos pueden enviar emails informativos (resumen de movimientos, nuevos productos) que incluyen enlaces a su web. Pero NUNCA te envían emails urgentes pidiendo que "verifiques tu identidad" o "actualices tus datos de seguridad" a través de un enlace.
¿Qué hago si ya introduje mis datos en una web falsa?
Cambia inmediatamente tu contraseña de banca online. Llama a tu banco para alertarles. Bloquea tu tarjeta si diste los datos. Revisa los movimientos de las últimas horas. Denuncia a la policía y guarda todas las pruebas.
¿Por qué siguen llegando emails de phishing aunque los reporto?
Porque los estafadores usan miles de cuentas de email y dominios diferentes. Al reportar, ayudas a que los filtros antispam mejoren, pero es imposible bloquearlos todos. La mejor defensa es saber identificarlos.
¿Las apps del banco son seguras?
Sí, mucho más que acceder por el navegador. Las apps oficiales verifican el servidor al que se conectan (certificate pinning), lo que hace prácticamente imposible que te redirijan a una web falsa. Por eso, siempre accede a tu banco desde la app oficial.
Protégete con BeValk
Si recibes un email o SMS sospechoso de tu banco:
- No hagas clic en el enlace
- Copia la URL (mantén pulsado sin abrir)
- Pégala en BeValk para analizarla
- Recibe un veredicto instantáneo: Dominio real o phishing
Nuestra IA detecta:
- Dominios que suplantan a bancos españoles
- Webs de phishing recién creadas
- Patrones conocidos de fraude bancario
Descarga para iOS y Android y verifica antes de hacer clic.
Última actualización: febrero 2026