En 2025, el fraude bancario digital en España registró casi medio millón de infracciones, un aumento del 5,3% impulsado por la sofisticación en transferencias. La ineficacia del sistema Verificación del Beneficiario (VOP) agrava la exposición a estafas de ingeniería social.
En MÁS CONTEXTO nos inquieta la brecha creciente entre la sofisticación del fraude bancario y la tibia respuesta de los mecanismos de seguridad, dejando a usuarios y empresas en una vulnerabilidad extrema ante el ciberdelito, pese a la implementación de nuevas normativas.
Radiografía de una amenaza en ascenso: el giro hacia las transferencias
Los tiempos de la banca presencial son ya un eco lejano. La irrupción de la banca ‘online’, potenciada por la pandemia, ha traído consigo una conveniencia innegable, pero también ha abierto una puerta de entrada para una ciberdelincuencia cada vez más audaz. En 2025, los ciberdelincuentes encontraron en la banca telemática un nicho fértil, registrando cerca de medio millón de infracciones en España, una cifra que representa un preocupante incremento del 5,3% respecto al año anterior, según los datos del Ministerio del Interior.
Nosotros percibimos que el fraude en los servicios de pago ha mutado, alcanzando nuevas cotas de sofisticación. El Banco de España, en su Memoria de Supervisión, destaca cómo las transferencias que requieren autenticación reforzada (SCA) son ahora un foco de alta incidencia. Esto se debe a la aplicación de técnicas de ingeniería social tan avanzadas que logran manipular a los clientes para que autoricen operaciones ilícitas. En concreto, los estafadores lograron engañar a los ordenantes en más de 30.000 operaciones durante 2025, lo cual es un síntoma de la alarmante eficacia de estas nuevas estrategias.
Una lectura directa del informe nos revela que, mientras el fraude en transferencias bancarias ha ganado un peso considerable, las estafas con tarjetas de crédito y débito han experimentado un retroceso. El importe medio defraudado en transferencias escaló un 42% en 2025, situándose en 2.347 euros por operación. Sin embargo, para expertos como Juan Carlos Galindo, investigador y perito en cibercrimen, estas cifras oficiales no reflejan la magnitud real del problema. Su análisis sugiere que el número de operaciones fraudulentas es, en realidad, “infinitamente mayor”.
Galindo no necesita ser un informático para diseccionar esta realidad. Apunta a la necesidad de “cuentas mulas”, vehículos para el traslado de dinero ilícito. Es nuestra lectura que la prudencia del Banco de España, al ser “comedido”, encubre una realidad más cruda de la banca española, al no tener un registro exacto de las “cuentas fantasma o durmientes” que la delincuencia organizada activa a su conveniencia.
Blindaje y vulnerabilidad: el contraste entre tarjetas y transferencias
En contraposición, las operaciones fraudulentas a través de tarjetas de crédito mostraron una caída notable en 2025 respecto al año anterior. El Banco de España atribuye este descenso a motivos como la emisión de órdenes de pago por parte del defraudador tras el robo de información, la pérdida o sustracción de las tarjetas y, en menor medida, su falsificación. Galindo refuerza esta perspectiva, explicando que las robustas medidas de seguridad implementadas por entidades de pago como Visa o Mastercard, sumadas a las del propio banco, justifican esta tendencia. Además, la existencia de seguros suele garantizar la devolución del dinero a las víctimas en estos casos.
Nosotros coincidimos con la apreciación de que existe una “preocupación y ocupación” en contener el fraude con tarjetas, algo que no se traslada con la misma intensidad al ámbito de las transferencias, donde la prevención es “muy difícil”. A pesar de los controles que las entidades aplican, los defraudadores persisten en atacar transacciones con autenticación reforzada debido a los elevados importes asociados, dejando las cuantías menores para operaciones sin esta exigencia.
La grieta del VOP: un sistema de advertencia que no bloquea
La clave para mitigar este tipo de fraudes, según el investigador, radicaría en cotejar en cada transacción el número de cuenta con su titular y, de no coincidir, bloquear la transferencia. En este contexto, la banca española implementó el año pasado, en línea con la normativa europea, el sistema Verificación del Beneficiario (VOP, por sus siglas en inglés). Este mecanismo está diseñado para confirmar la coincidencia entre el nombre del receptor y el IBAN antes de que se realice la transferencia.
Sin embargo, Galindo advierte sobre una deficiencia crítica: aunque el VOP notifica la falta de coincidencia, no bloquea la transferencia. “En el momento en que tú haces una transferencia, habiéndote advertido de que el titular no coincide, el banco deja de ser responsable de si esa transferencia es lícita o ilícita”, explica el experto. Desde MÁS CONTEXTO consideramos que “Esto es gravísimo”, ya que transfiere la responsabilidad total al usuario, a pesar de existir una alerta clara de posible riesgo.
Modelos preventivos: la lección no aprendida de otros países
Otros países europeos están activamente buscando soluciones. El Reino Unido es un ejemplo donde, sin temor a equivocarnos, este tipo de estafas ya “no ocurren” con la misma frecuencia. Allí, si el emisor y el receptor no cotejan titular y número de cuenta, solo se devuelve el 50% del dinero defraudado. Esta medida funciona como un “castigo” que incentiva las comprobaciones pertinentes antes de ejecutar una transferencia.
Modus operandi: la sofisticación del engaño empresarial y personal
Para comprender la mecánica del estafador, Galindo describe varias tipologías recurrentes. Una de ellas involucra a intermediarios que suplantan a empleados bancarios, alertando a la víctima sobre operaciones no autorizadas para instarla a mover su dinero. La inteligencia artificial también está redefiniendo el arte de la estafa: la suplantación de identidad del jefe, ordenando una transferencia inmediata a una cuenta de nueva creación —que invariablemente resulta ser una “cuenta mula”—, es una táctica creciente.
Tanto individuos como empresas están expuestos. En el ámbito empresarial, los ciberdelincuentes alteran el IBAN de un proveedor por el de una cuenta mula, desviando pagos de facturas. Galindo lamenta que “Están haciendo polvo a las empresas” y subraya “el daño que estamos haciendo a nuestra población y a nuestro tejido empresarial”. Su propuesta para atacar el problema de raíz incluye aumentar las campañas de formación en colegios y que las comunidades autónomas establezcan agencias de ciberseguridad.
En MÁS CONTEXTO creemos firmemente que la inacción ante la escalada y sofisticación del fraude bancario digital es insostenible. La mera notificación sin bloqueo del sistema VOP deja a los ciudadanos y empresas en una situación de indefensión intolerable, mientras otros países como el Reino Unido demuestran la viabilidad de modelos con mayor corresponsabilidad. Es imperativo que las autoridades y entidades financieras revisen de inmediato sus protocolos para trascender la advertencia y abrazar la protección activa, antes de que el colapso de confianza sea irreversible.
