Enrique Dans

La estafa perfecta: cuando tu móvil es la puerta y la IA es la llave maestra

IMAGE: A phone shows a fake bank login with a red warning icon as a shadowy scammer figure and phishing symbols loom in the background

Mi columna de esta semana en Invertia se titula «Estamos en 2026: no te van a ‘hackear’, te van a ‘convencer’» (pdf), y trata sobre algo que seguimos resistiéndonos a aceptar porque nos obliga a reconocer una verdad incómoda: la mayoría de los fraudes financieros no son un problema de tecnología, sino de psicología.

No «entran» en tu banco rompiendo sistemas, entran en tu cabeza fabricando urgencias, miedos y atajos. Y lo hacen cada vez mejor porque el móvil se ha convertido en el centro de nuestra vida financiera y la inteligencia artificial les permite industrializar el engaño, multiplicarlo y adaptarlo a cada contexto con una verosimilitud que hace unos años parecía ciencia ficción.

El patrón se repite con una monotonía casi insultante: un mensaje que parece oficial, un enlace «para comprobar», una excusa para que actúes rápido, y una petición que suena razonable si no te paras a pensar. En España lo vemos en campañas recurrentes de suplantación que juegan con servicios públicos y con bancos, con cantidades concretas y con lenguaje institucional para que bajes la guardia. Hace apenas unos días se volvió a viralizar un ejemplo perfecto de este mecanismo, una suplantación de «Mi Carpeta Ciudadana» con un supuesto ingreso que busca exactamente eso: que pinches. Es una estafa de manual y, por eso mismo, conviene verla como lo que es: un recordatorio de que la confianza automática en lo que llega “empujado” al móvil es la rendija por la que entra todo lo demás.

La parte más perversa es que el sistema, en muchos casos, funciona. El banco envía un código, una notificación, un segundo factor, y aun así el fraude triunfa porque el delincuente no necesita romper la autenticación reforzada: necesita que tú se la regales. Esto encaja con lo que están señalando el BCE y la EBA y que en España recoge el Banco de España: la autenticación reforzada sigue siendo eficaz, pero los estafadores se están adaptando, desplazando el ataque hacia el usuario, hacia el momento humano de la decisión. Dicho de otra manera: la tecnología aguanta, pero el guion presiona donde somos vulnerables, que es el comportamiento.

Y ese guion se está haciendo más convincente porque la inteligencia artificial reduce el coste de fabricar credibilidad. Donde antes había mensajes torpes, ahora hay textos impecables. Donde antes había llamadas cutres, ahora puede haber notas de voz que suenan «a alguien», con tonos, ritmos y expresiones que te disparan el piloto automático. El propio FBI, en una alerta pública, describe campañas que combinan smishing y vishing con voces generadas por inteligencia artificial para ganarse la confianza y empujar a la víctima a una plataforma o a un enlace malicioso. No es «cosa de Estados Unidos», es la plantilla industrializada del delito: primero relación, luego transición de canal, luego extracción de credenciales o dinero.

En paralelo, el fraude se profesionaliza como ecosistema. No solo hay quien engaña: hay quien monetiza credenciales, quien proporciona infraestructura, quien compra bases de datos, quien hace de «mula» para mover dinero y diluirlo antes de que nadie reaccione. Europol lo lleva años documentando y en su IOCTA 2024 vuelve a insistir en cómo evolucionan los esquemas de fraude online y de pagos, y cómo se combinan con blanqueo y con redes de intermediarios. En España, cuando se detiene a “mulas” por estafas bancarias, lo que aflora es exactamente eso: no un chaval listo, sino una cadena organizada que necesita cuentas, transferencias y velocidad.

Por eso, más que «consejos de ciberseguridad», lo que planteo es una especie de higiene mental y operativa. La medida más rentable del mundo es no pinchar enlaces que llegan por email, SMS o mensajería, aunque parezcan legítimos. Si algo te preocupa, entras tú por tu propio camino: app oficial, web tecleada, número guardado. INCIBE lo explica con claridad cuando define el phishing y, sobre todo, cuando insiste en la mecánica del enlace como señuelo. No es una cuestión de saber «mucho de informática», es una cuestión de no aceptar que te marquen el camino hacia la verificación.

La segunda es entender que un código de un solo uso no es un trámite: es una firma. Si alguien te pide un OTP «para cancelar», «para comprobar» o «para evitar un cargo», te está pidiendo que autorices algo. Y aquí aparece una idea interesante: introducir fricción hace las cosas más incómodas, pero salva. Justo por eso la Unión Europea está impulsando medidas como la verificación del nombre del beneficiario frente al titular del IBAN, de forma que, antes de completar una transferencia, aparezca una alerta si los datos no encajan. No es magia, pero añade ese segundo de pausa que rompe la urgencia, y la urgencia es el combustible del fraude.

La tercera es tratar el móvil como lo que es: una cartera, una llave, un buzón y, cada vez más, un documento de identidad. Si tu banco, tu correo y tu autenticación viven ahí, el móvil es el punto único de fallo. Actualizaciones, bloqueo sólido, apps de fuentes fiables, permisos revisados y desconfianza total ante cualquier petición de instalar software «para que el banco te ayude» no son paranoia, son mínimos. Y, si de pronto pierdes cobertura o te llegan avisos extraños de la operadora, piensa en SIM swapping antes de pensar en casualidad.

Lo importante, en el fondo, es cambiar el marco mental. Dejar de imaginar «ataques» como un fenómeno técnico y empezar a verlos como un fenómeno de persuasión. En 2026, el delincuente financiero compite por tu atención y por tu reacción emocional, y la inteligencia artificial le ha dado herramientas para hacerlo mejor, más rápido y con más escala. La defensa, por tanto, no empieza en un antivirus: empieza en cortar la prisa, separar canales, verificar por vías propias y asumir que, si algo te empuja a actuar ya, probablemente es porque alguien necesita que no pienses.

Cuando tu distro tiene que preguntarte la edad: la infantilización de Internet como arma regulatoria

4 comentarios

  • #001
    Carlos Jerez - 11 marzo 2026 - 12:15

    Perdona el offtopic Enrique. Vi este interesante post de como en el LSE están integrando la IA en la enseñanza y me pregunté como lo estarías haciendo tú. Es un tema muy interesante y en constante evolución.

    https://x.com/antoniomele101/status/2031671967997219007?s=20

    Responder
    • D. FALKEN - 11 marzo 2026 - 12:24

      Se agradece este tipo de contribuciónes.
      Saludos,

      Responder
    • BUZZWORD - 11 marzo 2026 - 12:45

      Buen aporte. Dentro del tweet hay un enlace que es muy interesante…

      https://python-ec1b1.vercel.app

      Responder
  • #004
    Javier - 11 marzo 2026 - 14:16

    Para sus teléfonos (Android) usen la aplicación URLCheck [Permite analizar (o compartir) las direcciones URL antes de abrirlas.]

    • https://f-droid.org/packages/com.trianguloy.urlchecker/

    Después de descargarla, deberán designarla en su teléfono como navegador predeterminado.

    La idea es que la aplicación funcione como un early warning en dado caso que por el uso de patrones oscuros u otras técnicas hayan/mos sido sutilmente manipulados a hacer clic en un botón o enlace (y vive dios que aún siendo consciente de la seguridad me pasó un par de veces y la aplicación me advirtió)

    Al hacer clic en un link de forma inadverida o apresurada la aplicación va a iniciarse mostrando una pantalla con la información del link, que en las pantallas de los teléfonos nunca es visble de forma inmediata o facilmente.

    En base a esa información, podremos (ahora sí) elegir conscientemente si queremos ir al sitio web, o no usando el segundo navegador del teléfono (Firefox, Chrome…) o hacerlo en modo incógnito, etc…

    Ideal para instalársela al familiar ese (padres/madres) que ni siquiera es conscientes de los riesgos de meter los dedos en cualquier lado.

    • Sin publicidad
    • Sin rastreadores
    • Un solo permiso necesario: tener acceso completo a la red (lo explica en la instalación)

    100% tranquilizadora y recomendada

    Responder

Dejar un Comentario a BUZZWORD

Los comentarios en esta página están moderados, no aparecerán inmediatamente en la página al ser enviados. Evita, por favor, las descalificaciones personales, los comentarios maleducados, los ataques directos o ridiculizaciones personales, o los calificativos insultantes de cualquier tipo, sean dirigidos al autor de la página o a cualquier otro comentarista. Estás en tu perfecto derecho de comentar anónimamente, pero por favor, no utilices el anonimato para decirles a las personas cosas que no les dirías en caso de tenerlas delante. Intenta mantener un ambiente agradable en el que las personas puedan comentar sin temor a sentirse insultados o descalificados. No comentes de manera repetitiva sobre un mismo tema, y mucho menos con varias identidades (astroturfing) o suplantando a otros comentaristas. Los comentarios que incumplan esas normas básicas serán eliminados.

 

XHTML: Puedes utilizar estas etiquetas: A ABBR ACRONYM B BLOCKQUOTE CITE CODE DEL EM I Q STRIKE STRONG IMG

Cancelar respuesta

Logo de Enrique Dans
Resumen de privacidad

Este sitio web utiliza cookies para que pueda ofrecerte la mejor experiencia de usuario/a posible. La información de las cookies se almacena en tu navegador y realiza funciones tales como reconocerte cuando vuelves al sitio web o ayudar a comprender qué secciones del sitio web encuentras más interesantes y útiles.