Cómo verificar si una llamada o SMS de tu banco es real

Si recibes una llamada o un SMS de tu banco y dudas, la regla es simple: no des ningún dato, cuelga o ignora el mensaje, y verifica tú mismo por un canal que tú controlas. Abre la app oficial del banco, llama al número del reverso de tu tarjeta y comprueba si hay algún aviso real. Un banco legítimo nunca pierde nada porque tú verifiques.

Esta guía no va de explicarte cómo funciona el engaño (para eso tienes el artículo de vishing y la sección de guías). Aquí vamos a lo práctico: cómo confirmar, en 2026, que una comunicación bancaria es auténtica antes de hacer nada. Porque el problema no suele ser caer en un engaño obvio. El problema es la duda razonable: un mensaje que parece real, llega en mal momento y te mete prisa.

¿Por qué ya no puedes fiarte del número ni del nombre que aparece?

Durante años, la gente confió en lo que mostraba la pantalla. Si ponía "BBVA" o "Banco Santander" en el remitente del SMS, o si llamaba un número parecido al de tu oficina, asumías que era verdad. Eso se acabó.

El identificador de llamada se puede falsificar (es lo que se conoce como spoofing) y los nombres de remitente de SMS también se pueden imitar. Un estafador puede hacer que en tu pantalla aparezca exactamente el mismo nombre y número que usa tu banco. Y aquí está el detalle más incómodo: muchos teléfonos agrupan los SMS por remitente, así que el mensaje fraudulento puede colarse en el mismo hilo donde tienes los avisos reales de tu banco. Verlo junto a mensajes legítimos no garantiza nada.

Por eso la verificación moderna no consiste en mirar quién parece llamar, sino en comprobar el contenido por un canal independiente. La señal que aparece en la pantalla es justo lo que el atacante controla. Lo que el atacante no controla es tu app del banco, el número del reverso de tu tarjeta y tu sentido común.

¿Qué canales sí son verificables y cuáles no?

No todos los canales que usa un banco ofrecen el mismo nivel de garantía. Algunos están diseñados para ser comprobables; otros, por su naturaleza, nunca lo serán. Conocer la diferencia es la mitad del trabajo.

La idea de fondo es sencilla. Un canal es fiable cuando tú inicias el contacto o cuando el propio sistema te muestra una prueba criptográfica de identidad (como el remitente verificado de RCS). Un canal no es fiable cuando alguien te contacta a ti y la única "prueba" es un nombre o un número en pantalla, porque eso es precisamente lo que se manipula.

¿Qué es el remitente verificado de RCS y por qué importa?

RCS es la evolución del SMS: mensajes enriquecidos que viajan por datos o Wi-Fi en lugar de por la red telefónica clásica. Su gran ventaja frente al SMS para este tema es el remitente verificado.

Cuando un banco envía mensajes por RCS con remitente verificado, tu móvil muestra el logotipo oficial de la entidad y un distintivo de verificación dentro de la conversación. No es un nombre que cualquiera pueda escribir: es una identidad que el operador y el sistema de mensajería han comprobado. BBVA, por ejemplo, desplegó un canal de mensajes verificados por RCS a principios de 2026 precisamente para que sus clientes pudieran distinguir de un vistazo lo que es real de lo que no.

Dos matices importantes para que no te confíes de más:

• El distintivo de verificación es la señal, no el nombre. Un SMS normal puede poner "BBVA"; solo el sello verificado de RCS te da la garantía.
• No todos los bancos ni todos los móviles tienen RCS activo todavía. Si tu banco aún te escribe por SMS clásico, no asumas que el SMS es falso por no llevar sello; simplemente trátalo como no verificado y comprueba por la app.

Hay un cambio normativo que conviene tener en el radar: a partir de junio de 2026, los identificadores de remitente alfanuméricos de SMS y RCS (esos nombres tipo "BANCO" en lugar de un número) deberán estar registrados en un registro de la CNMC, y los operadores bloquearán a los remitentes no registrados. Es una buena noticia, pero no cambia tu rutina: hasta que el ecosistema esté limpio, la verificación la sigues haciendo tú.

¿Cómo verifico paso a paso un SMS o una llamada del banco?

Esta es la parte operativa. Memoriza la secuencia, porque funciona igual para un SMS, una llamada o un email.

1. No reacciones en caliente. El primer objetivo del estafador es que actúes deprisa: una cuenta "bloqueada", un "cargo no autorizado", un envío "retenido". La prisa es la señal de alarma número uno. Respira. Nada legítimo se resuelve en treinta segundos.

2. No pulses ningún enlace ni descargues nada. Da igual lo creíble que parezca el dominio. Si el mensaje te lleva a una web para "confirmar" datos, asume que es una copia hasta que verifiques por tu cuenta.

3. No des claves, códigos ni datos. Tu banco nunca te pedirá la contraseña completa, el PIN, el CVV de la tarjeta ni un código de un solo uso (OTP) por teléfono o SMS. Ese código que te llega para "confirmar tu identidad" es justo lo que el estafador necesita para entrar o validar una operación. Dictarlo equivale a darle las llaves.

4. Cierra el canal por el que te contactaron. Cuelga la llamada. No respondas al SMS. No uses el teléfono que aparece en el mensaje.

5. Abre la app oficial del banco por tu cuenta. Ábrela desde el icono de tu móvil, no desde ningún enlace. Si hay un problema real (un cargo sospechoso, una verificación pendiente), aparecerá ahí dentro, en el buzón de avisos o en notificaciones. La app es tu fuente de verdad.

6. Si necesitas hablar con alguien, llama tú. Usa el número que figura en el reverso de tu tarjeta o en la web oficial del banco (tecleada por ti, no buscada en Google donde a veces se cuelan anuncios falsos). Así eres tú quien inicia el contacto por un canal que controlas.

7. Comprueba el remitente con criterio. Si era un mensaje RCS con sello de verificación y logo, gana muchos enteros de credibilidad. Si era un SMS a secas o una llamada, trátalo como no verificado por defecto, por muy bien que estuviera redactado.

La regla de oro que resume todo esto: la verificación válida siempre la inicias tú, por un canal que tú eliges. Si el contacto vino de fuera y te pide que actúes ahí mismo, no es verificación, es presión.

¿Y si la "llamada del banco" suena como una persona real, incluso conocida?

Aquí entra una capa nueva de 2026: la voz clonada con IA. Con unos pocos segundos de audio, un atacante puede generar una voz que suena como un agente convincente o incluso como un familiar. INCIBE ha documentado casos en España de voces clonadas usadas en fraudes, y la defensa es exactamente la misma que para cualquier llamada: cuelga y verifica por otro medio.

Que una voz suene humana, segura y profesional no prueba nada. Que sepa tu nombre o algún dato tuyo, tampoco: muchos datos personales circulan tras filtraciones. La identidad no se demuestra por cómo suena alguien, sino porque tú confirmas la operación dentro de tu app o llamando al número oficial. Si quieres entender mejor esta técnica, lo desarrollamos en voz clonada con IA en estafas telefónicas.

¿Qué te pedirá tu banco de verdad y qué no?

Tener clara esta línea roja te ahorra la mayoría de los disgustos. No hace falta que sepas detectar cada estafa; basta con saber qué es imposible que tu banco te pida.

Presta especial atención a la última fila. Si alguien que dice ser de tu banco (o de "soporte") te pide instalar una aplicación para "ver tu pantalla" o "ayudarte a resolverlo", cuelga sin más. Ese es el patrón clásico del falso soporte técnico, y darle acceso remoto a tu dispositivo es entregarle tus cuentas. Lo mismo aplica a Hacienda o a la Seguridad Social: ninguna administración te pedirá datos confidenciales ni pagos por SMS o llamada. Si te llega algo así, tienes una guía dedicada en cómo verificar una notificación de Hacienda o Seguridad Social.

¿Y los SMS de "paquete retenido" o de cobros sueltos?

Aunque no lleven el nombre de tu banco, muchos fraudes acaban en lo mismo: una pasarela de pago falsa donde introduces los datos de tu tarjeta. El gancho del paquete retenido que pide un pago pequeño (por ejemplo, una tasa de aduanas de un par de euros) busca exactamente eso: que normalices meter tu tarjeta en un formulario que no controlas. Correos y las empresas de paquetería no envían enlaces de pago por SMS; los pagos se hacen en su app oficial o en oficina.

La verificación es idéntica a la bancaria: no pulses el enlace, entra tú al seguimiento oficial tecleando la dirección, y si te piden datos de tarjeta para "liberar" algo, es fraude. Tienes el detalle en estafas de paquetería: el SMS falso de Correos y, si el gancho viene en forma de código QR, en quishing: códigos QR y enlaces en SMS.

¿Cómo confirmo si un número que me ha llamado es sospechoso?

Una herramienta muy práctica antes incluso de devolver una llamada o de tomarte en serio un mensaje: comprueba el número en una base de datos comunitaria. En el directorio de números reportados de NoCall puedes buscar un teléfono y ver si otras personas lo han marcado como fraude, suplantación bancaria o spam, junto con sus comentarios.

No es infalible (el spoofing significa que un número limpio también puede usarse de forma fraudulenta), pero suma contexto. Si decenas de personas reportan ese mismo número como "falsa llamada del banco", tu duda se despeja sola. También puedes mirar el prefijo para entender el origen, o revisar las tendencias actuales para saber qué campañas están activas estos días.

Aprender a leer estas señales es una habilidad por sí misma; lo explicamos en cómo leer las señales de riesgo de un número.

¿Qué hago si creo que ya he dado algún dato?

Si has llegado hasta aquí porque ya has pulsado un enlace, dictado un código o dado datos de tarjeta, no entres en pánico, pero actúa rápido y en orden:

• Llama a tu banco por el número oficial (reverso de la tarjeta) y explica lo ocurrido. Pide bloquear tarjetas y operaciones si procede.
• Cambia las contraseñas de la banca online y de cualquier cuenta donde uses la misma clave.
• Vigila tus movimientos los días siguientes y activa alertas de operaciones en la app.
• Reúne pruebas: capturas del SMS, número que llamó, hora, lo que dijeron.
• Reporta a INCIBE llamando al 017 (o 900 116 117), un servicio gratuito de ayuda en ciberseguridad.
• Si hubo cargos, presenta denuncia en Policía o Guardia Civil con las pruebas.

Cuanto antes avises al banco, más margen hay para frenar o revertir operaciones. La rapidez aquí juega a tu favor, al revés que durante el engaño.

En resumen: tres frases que te protegen

Si solo te quedas con tres ideas de esta guía, que sean estas:

• El canal que te contacta no demuestra nada. Nombre, número y voz se falsifican. La verdad está en tu app y en el número del reverso de tu tarjeta.
• Tu banco nunca te pide claves, PIN ni códigos OTP por teléfono ni por SMS. Si te los piden, es fraude, sin excepción.
• La verificación válida la inicias tú. Cuelga, cierra el mensaje y comprueba por un canal que tú eliges. La prisa es del estafador, no tuya.

Cuando RCS con remitente verificado esté extendido y el registro de remitentes de la CNMC funcione a pleno rendimiento, distinguir lo real será más fácil. Hasta entonces, tu mejor herramienta sigue siendo el hábito: parar, no dar nada y verificar tú.

Si has recibido una llamada o un SMS que suplantaba a tu banco, ayuda a los demás reportándolo en el directorio de NoCall. Cada reporte hace que el siguiente vecino lo tenga más fácil para reconocer el fraude. Y si quieres seguir aprendiendo a defenderte, pásate por nuestras guías y por el blog, donde cubrimos cada técnica con el mismo enfoque práctico.