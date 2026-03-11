Mi columna de esta semana en Invertia se titula «Estamos en 2026: no te van a ‘hackear’, te van a ‘convencer’» (pdf), y trata sobre algo que seguimos resistiéndonos a aceptar porque nos obliga a reconocer una verdad incómoda: la mayoría de los fraudes financieros no son un problema de tecnología, sino de psicología.

No «entran» en tu banco rompiendo sistemas, entran en tu cabeza fabricando urgencias, miedos y atajos. Y lo hacen cada vez mejor porque el móvil se ha convertido en el centro de nuestra vida financiera y la inteligencia artificial les permite industrializar el engaño, multiplicarlo y adaptarlo a cada contexto con una verosimilitud que hace unos años parecía ciencia ficción.

El patrón se repite con una monotonía casi insultante: un mensaje que parece oficial, un enlace «para comprobar», una excusa para que actúes rápido, y una petición que suena razonable si no te paras a pensar. En España lo vemos en campañas recurrentes de suplantación que juegan con servicios públicos y con bancos, con cantidades concretas y con lenguaje institucional para que bajes la guardia. Hace apenas unos días se volvió a viralizar un ejemplo perfecto de este mecanismo, una suplantación de «Mi Carpeta Ciudadana» con un supuesto ingreso que busca exactamente eso: que pinches. Es una estafa de manual y, por eso mismo, conviene verla como lo que es: un recordatorio de que la confianza automática en lo que llega “empujado” al móvil es la rendija por la que entra todo lo demás.

La parte más perversa es que el sistema, en muchos casos, funciona. El banco envía un código, una notificación, un segundo factor, y aun así el fraude triunfa porque el delincuente no necesita romper la autenticación reforzada: necesita que tú se la regales. Esto encaja con lo que están señalando el BCE y la EBA y que en España recoge el Banco de España: la autenticación reforzada sigue siendo eficaz, pero los estafadores se están adaptando, desplazando el ataque hacia el usuario, hacia el momento humano de la decisión. Dicho de otra manera: la tecnología aguanta, pero el guion presiona donde somos vulnerables, que es el comportamiento.

Y ese guion se está haciendo más convincente porque la inteligencia artificial reduce el coste de fabricar credibilidad. Donde antes había mensajes torpes, ahora hay textos impecables. Donde antes había llamadas cutres, ahora puede haber notas de voz que suenan «a alguien», con tonos, ritmos y expresiones que te disparan el piloto automático. El propio FBI, en una alerta pública, describe campañas que combinan smishing y vishing con voces generadas por inteligencia artificial para ganarse la confianza y empujar a la víctima a una plataforma o a un enlace malicioso. No es «cosa de Estados Unidos», es la plantilla industrializada del delito: primero relación, luego transición de canal, luego extracción de credenciales o dinero.

En paralelo, el fraude se profesionaliza como ecosistema. No solo hay quien engaña: hay quien monetiza credenciales, quien proporciona infraestructura, quien compra bases de datos, quien hace de «mula» para mover dinero y diluirlo antes de que nadie reaccione. Europol lo lleva años documentando y en su IOCTA 2024 vuelve a insistir en cómo evolucionan los esquemas de fraude online y de pagos, y cómo se combinan con blanqueo y con redes de intermediarios. En España, cuando se detiene a “mulas” por estafas bancarias, lo que aflora es exactamente eso: no un chaval listo, sino una cadena organizada que necesita cuentas, transferencias y velocidad.

Por eso, más que «consejos de ciberseguridad», lo que planteo es una especie de higiene mental y operativa. La medida más rentable del mundo es no pinchar enlaces que llegan por email, SMS o mensajería, aunque parezcan legítimos. Si algo te preocupa, entras tú por tu propio camino: app oficial, web tecleada, número guardado. INCIBE lo explica con claridad cuando define el phishing y, sobre todo, cuando insiste en la mecánica del enlace como señuelo. No es una cuestión de saber «mucho de informática», es una cuestión de no aceptar que te marquen el camino hacia la verificación.

La segunda es entender que un código de un solo uso no es un trámite: es una firma. Si alguien te pide un OTP «para cancelar», «para comprobar» o «para evitar un cargo», te está pidiendo que autorices algo. Y aquí aparece una idea interesante: introducir fricción hace las cosas más incómodas, pero salva. Justo por eso la Unión Europea está impulsando medidas como la verificación del nombre del beneficiario frente al titular del IBAN, de forma que, antes de completar una transferencia, aparezca una alerta si los datos no encajan. No es magia, pero añade ese segundo de pausa que rompe la urgencia, y la urgencia es el combustible del fraude.

La tercera es tratar el móvil como lo que es: una cartera, una llave, un buzón y, cada vez más, un documento de identidad. Si tu banco, tu correo y tu autenticación viven ahí, el móvil es el punto único de fallo. Actualizaciones, bloqueo sólido, apps de fuentes fiables, permisos revisados y desconfianza total ante cualquier petición de instalar software «para que el banco te ayude» no son paranoia, son mínimos. Y, si de pronto pierdes cobertura o te llegan avisos extraños de la operadora, piensa en SIM swapping antes de pensar en casualidad.

Lo importante, en el fondo, es cambiar el marco mental. Dejar de imaginar «ataques» como un fenómeno técnico y empezar a verlos como un fenómeno de persuasión. En 2026, el delincuente financiero compite por tu atención y por tu reacción emocional, y la inteligencia artificial le ha dado herramientas para hacerlo mejor, más rápido y con más escala. La defensa, por tanto, no empieza en un antivirus: empieza en cortar la prisa, separar canales, verificar por vías propias y asumir que, si algo te empuja a actuar ya, probablemente es porque alguien necesita que no pienses.