El fraude bancario en España se sofisticó en 2025, con casi medio millón de infracciones, impulsando el ataque hacia transferencias autenticadas mediante ingeniería social avanzada, mientras el riesgo en tarjetas disminuye.
Contexto y escala del nuevo panorama fraudulento
La transición del modelo bancario presencial a la operativa digital, acelerada significativamente tras la pandemia, ha reconfigurado el escenario de la ciberseguridad. Esta evolución, si bien ofrece innegables ventajas en accesibilidad y eficiencia, ha ampliado también las vulnerabilidades ante la acción de los ciberdelincuentes. En el año 2025, la banca telemática se consolidó como un objetivo primordial para estos actores, registrando cerca de medio millón de infracciones en España. Este volumen representa un incremento del 5,3% respecto al ejercicio anterior, según los datos recogidos por el Ministerio del Interior.
La mutación del fraude: foco en transferencias y sofisticación técnica
La naturaleza del fraude en servicios de pago experimentó una transformación sustancial en 2025, tal como lo ha percibido el Banco de España. Un hallazgo clave de su Memoria de Supervisión es la mayor incidencia de fraude en las transferencias que incorporan autenticación reforzada (SCA). Los atacantes desarrollan técnicas de ingeniería social progresivamente sofisticadas, logrando persuadir a los clientes para que autoricen operaciones fraudulentas. En 2025, esta manipulación resultó en más de 30.000 operaciones ilícitas, de acuerdo con las estadísticas del organismo regulador.
Mientras las estafas con transferencias bancarias incrementaron su prevalencia y volumen, el fraude asociado a tarjetas de crédito y débito mostró una tendencia a la baja. El importe medio defraudado en transferencias escaló un 42% durante 2025, alcanzando una cifra promedio de 2.347 euros por operación. Esta situación contrasta con la percepción del investigador y perito en cibercrimen, Juan Carlos Galindo, quien sugiere que las cifras oficiales no reflejan la magnitud real del problema. Este experto sostiene que la cantidad de operaciones fraudulentas es, de hecho, “infinitamente mayor”.
Radiografía de las “cuentas mulas” y el submundo del fraude
Galindo enfatiza que la ejecución de una ciberestafa no requiere conocimientos avanzados en informática. La clave reside en la utilización de “cuentas mulas”, las cuales funcionan como vehículos para el movimiento de dinero de origen ilícito. El experto critica la postura del Banco de España, calificándola de “comedida” y sugiriendo que “encubre la realidad de la banca española en estos momentos”. Argumenta que el sistema financiero carece de un registro preciso sobre las “cuentas fantasma o durmientes” –cuentas mula que la delincuencia organizada activa solo cuando es conveniente.
Blindaje en tarjetas: por qué disminuye el engaño
En contraste con el aumento del fraude en transferencias, las operaciones fraudulentas a través de tarjetas de crédito registraron una disminución notable en 2025, en comparación con el año anterior. Los factores principales de este tipo de fraude identificados por el Banco de España incluyen la emisión de órdenes de pago no autorizadas debido al robo de información de tarjetas, la pérdida o sustracción física de las mismas y, en menor medida, su falsificación.
Juan Carlos Galindo atribuye este descenso a las robustas medidas de seguridad implementadas por las entidades de pago, como Visa o Mastercard. Estas capas de protección adicionales se suman a las ya existentes en las propias entidades bancarias. Además, en el ámbito de las tarjetas, la existencia de seguros y protocolos de compensación facilita que las víctimas recuperen los fondos defraudados, mitigando así el impacto para los usuarios.
Desafíos en la prevención de transferencias: el sistema VOP bajo escrutinio
Galindo observa una dedicación activa a la contención del fraude con tarjetas, un esfuerzo que no se percibe con la misma intensidad en el ámbito de las transferencias. La prevención en este último segmento se considera “muy difícil”. A pesar de los controles aplicados por las entidades, los defraudadores priorizan las transacciones con autentificación reforzada debido a los elevados importes que suelen asociarse a estas operaciones, mientras que las transferencias de menor cuantía, por lo general, no requieren dicha autenticación.
La estrategia propuesta para mitigar este tipo de fraudes, según el investigador, se basa en la verificación sistemática del titular de la cuenta en cada transacción, bloqueando las operaciones si no existe una coincidencia. En este marco, y en cumplimiento de la normativa europea, la banca española introdujo el año pasado el sistema de Verificación del Beneficiario o VOP (Verification of Payee). Este protocolo está diseñado para confirmar la coincidencia entre el nombre del receptor y el IBAN antes de la ejecución de una transferencia. Sin embargo, Galindo advierte sobre una deficiencia crítica: la transferencia puede proceder incluso si el sistema detecta una discrepancia.
Cuando un banco notifica que el titular de la cuenta no coincide con el receptor y el usuario decide continuar con la transferencia, la entidad financiera se exime de responsabilidad sobre la licitud o ilicitud de la operación. Esta situación es calificada como “gravísima” por el experto.
Modelos de contención europeos: el caso del Reino Unido
Otros países europeos exploran mecanismos para frenar este tipo de fraude. El Reino Unido, por ejemplo, implementa un sistema donde solo se devuelve el 50% del importe transferido a la víctima si el emisor y el receptor no cotejan adecuadamente el titular y el número de cuenta. Este enfoque busca “castigar” la negligencia en la verificación. Como resultado de estas políticas, Galindo afirma que, en el Reino Unido, “este tipo de estafas no ocurren” con la misma frecuencia o impacto.
Estrategias del engaño: del intermediario a la inteligencia artificial
Para comprender las tácticas de los estafadores, Galindo describe varias tipologías frecuentes de fraude relacionadas con transferencias. Una de ellas involucra a un intermediario que simula ser un empleado bancario. Este falso agente informa a la víctima sobre supuestas operaciones no autorizadas en su cuenta, instándoles a mover los fondos como medida de seguridad.
La inteligencia artificial (IA) también se ha integrado en la metodología de estafa. Los ciberdelincuentes suplantan la identidad del jefe de la víctima, emitiendo órdenes para realizar una transferencia inmediata a una cuenta recién creada. Estas cuentas, al igual que en otros esquemas, son “cuentas mula” destinadas al blanqueo. Tanto individuos como empresas son vulnerables a estas tácticas. En el ámbito corporativo, los estafadores alteran el IBAN de un proveedor legítimo por el de una cuenta mula, desviando así el pago de facturas. Galindo expresa su preocupación: “Están haciendo polvo a las empresas”, lamenta, y subraya el “daño que estamos haciendo a nuestra población y a nuestro tejido empresarial”.
Impacto sistémico y soluciones estructurales: una visión de futuro
La complejidad y el aumento del fraude bancario requieren intervenciones profundas. Para Galindo, la solución definitiva pasa por atacar estas actividades ilícitas “de raíz”. Además, propone la intensificación de campañas de formación dirigidas desde edades tempranas, en colegios, para educar a la población sobre los riesgos y métodos de prevención. Finalmente, aboga por la creación de agencias de ciberseguridad en cada comunidad autónoma, fortaleciendo así la infraestructura de protección a nivel regional.
