Cómo abordar las estafas bancarias

Los estafadores encuentran formas de atacar a los bancos y a sus clientes, sin importar cuánto luchemos contra ellos. Ante el auge de nuevas estafas bancarias, necesitamos un nuevo enfoque para proteger a las empresas legítimas y a los consumidores inocentes que solo desean gestionar sus finanzas en línea. Lamentablemente, los datos de UK Finance muestran que las pérdidas por fraude alcanzaron los 629 millones de libras solo en los primeros seis meses de 2025; de hecho, las pérdidas por estafas de inversión se dispararon un 55 % interanual, llegando a los 97,7 millones de libras durante dicho periodo. Estas cifras equivalen a más de 500 000 libras robadas cada día. Detrás de estos números hay miles de personas que confiaron en lo que parecía ser el sitio web legítimo de un banco, hicieron clic en un anuncio convincente o descargaron una aplicación con la apariencia de su proveedor financiero.

Ante un problema de tal magnitud, los reguladores no pueden evitar tomar cartas en el asunto. La Autoridad de Conducta Financiera (FCA) suspendió, retiró o bloqueó más de 1 600 sitios web sospechosos de promocionar servicios financieros sin autorización en 2024, e intervino en casi 20 000 promociones financieras que no cumplían la normativa, frente a las menos de 600 registradas en 2021. Sin embargo, el volumen de estafas bancarias que evaden la detección y alcanzan con éxito sus objetivos implica que las organizaciones deben hacer más para tomar el control de un panorama de amenazas en constante evolución.

In this article, we cover the key tactics fraudsters use to impersonate banks and other financial institutions: fake websites, social media ads, phishing attacks, investment fraud, and domain abuse. We also look at how financial organisations can use digital risk protection (DRP) to fight back. If you want to see what that looks like in practice, book a DRP demo and we can walk you through it. 

El auge de los sitios web financieros falsos y las estafas bancarias

Los sitios web falsos representan una de las herramientas más comunes en el arsenal de un defraudador financiero. Son económicos de crear, rápidos de implementar y sorprendentemente convincentes. Los delincuentes registran dominios similares (lookalike domains) y copian la imagen corporativa oficial, utilizándolos para obtener credenciales de acceso, desviar pagos o ganarse la confianza de la víctima antes de ejecutar una estafa.

Los sitios web falsos que se dirigen a los consumidores financieros suelen suplantar a marcas reales hasta el más mínimo detalle: desde la paleta de colores y el logotipo hasta el diseño de la página. En campañas de phishing dirigidas a clientes bancarios canadienses, los investigadores hallaron anuncios de Instagram que redirigían a los usuarios a dominios falsificados, diseñados para imitar las páginas de inicio de sesión de bancos legítimos y capturar credenciales. El dominio RBCpromos1[.]cfd representa otro buen ejemplo: con una apariencia lo suficientemente profesional como para engañar, pero sin relación alguna con ningún banco real. Muchos usuarios nunca comprueban la barra de direcciones o la pasan por alto, sin percatarse de los riesgos hasta que es demasiado tarde.

Anuncios falsos en redes sociales: una superficie de ataque creciente para las estafas bancarias

Para hacer clic en un sitio web falso, primero hay que buscarlo y encontrarlo. A menos que, por supuesto, este llegue a usted en forma de una campaña publicitaria en redes sociales. Los defraudadores publican anuncios de pago que suplantan a marcas financieras, alcanzan a audiencias segmentadas con gran precisión y desaparecen antes de que las plataformas puedan actuar. La combinación de una segmentación precisa, un inventario publicitario económico y la confianza de los usuarios hace que este enfoque sea sumamente eficaz.

Investigadores han destacado recientemente anuncios de Instagram que imitaban la imagen corporativa de un banco real y dirigían directamente a páginas de phishing o formularios de recolección de datos. Una campaña llegó a fabricar un perfil completo en torno a la figura de un estratega jefe de inversiones, publicando anuncios diseñados como asesoramiento financiero creíble de un experto bancario de alto nivel con nombre y apellidos. Los anuncios atraían a los usuarios hacia un grupo de inversión privado en WhatsApp, una táctica clásica de ingeniería social.

Lo que hace que estas campañas sean especialmente difíciles de contrarrestar es la infraestructura que las sustenta. La página de Facebook utilizada en una de las campañas existía desde octubre de 2023, pero solo contenía dos publicaciones, lo que sugiere que se trataba de una cuenta robada y reutilizada, a la que se le dio antigüedad y número de seguidores para parecer creíble. Los defraudadores reutilizan cada vez más páginas de redes sociales antiguas y dominios con solera para evadir las alertas que generan las cuentas de nueva creación. Incluso después de que los anuncios fraudulentos fueran denunciados a Instagram, estos siguieron apareciendo durante varios días, lo que ilustra los retrasos operativos que dan a los estafadores margen de maniobra para atacar a sus víctimas.

Ataques de phishing que suplantan a entidades bancarias

Los ataques de phishing explotan la confianza, ganada con tanto esfuerzo, entre las personas y sus bancos. Un correo electrónico, un SMS o un anuncio convincente de una institución de confianza puede burlar incluso a los usuarios precavidos, especialmente cuando llega a través de un canal en el que creen, directo a su dirección de correo electrónico.

Los ataques modernos de phishing bancario han evolucionado mucho más allá de los burdos correos electrónicos masivos. Las campañas actuales utilizan vídeos generados por IA de ejecutivos reales para añadir credibilidad. Por ejemplo, un estratega jefe mediante deepfake promociona un grupo de inversión falso, desviando a los visitantes. Estas tácticas elevan el listón a la hora de distinguir lo real de lo falso, demostrando que la inspección visual ya no es suficiente para mantenernos seguros en línea.

La banca móvil también amplía la superficie de ataque para las estafas bancarias modernas. Las aplicaciones falsas imitan a bancos e instituciones de inversión reales en las tiendas de aplicaciones, capturando credenciales de acceso, interceptando códigos de autenticación de dos factores y monitorizando transacciones en tiempo real. Para los bancos, los ataques mediante aplicaciones falsas socavan la confianza y el bienestar de los clientes, al tiempo que obstruyen los ingresos por canales digitales. Cada cliente defraudado por una aplicación falsa es un cliente que culpará a su banco por no haber sabido protegerlo.

Esquemas de inversión, criptoactivos falsos y la promesa de grandes rentabilidades

El fraude de inversión es una de las categorías de estafas bancarias de más rápido crecimiento en el Reino Unido. Los datos de UK Finance muestran que las pérdidas por estafas de inversión alcanzaron los 97,7 millones de libras en la primera mitad de 2025, un aumento del 55 % interanual, y la inteligencia del sector señala al fraude relacionado con las criptomonedas como el motor dominante. Los delincuentes prometen cada vez más altas rentabilidades mediante elaboradas plataformas falsas, para luego desaparecer en cuanto los depósitos llegan a las cuentas.

Los estafadores prometen rentabilidades que las inversiones legítimas no pueden igualar, combinadas con una fachada digital que parece lo suficientemente profesional como para resultar creíble. Para contraatacar estas afirmaciones engañosas, las instituciones financieras deben monitorizar activamente las plataformas de inversión falsas que utilizan su imagen de marca. Monitorizar e identificar estas suplantaciones le ayuda a cerrar su ventana operativa y a clausurarlas tan pronto como aparezcan.

Typosquatting, abuso de dominios y el argumento a favor de .Bank y .Finance

El abuso de dominios constituye el núcleo de la mayoría de las estafas bancarias. Los defraudadores utilizan con suma frecuencia una táctica denominada typosquatting, que consiste en registrar dominios que se asemejan mucho a la dirección web de un banco real para captar a los usuarios que cometen un error al teclear una URL o que hacen clic en un enlace suplantado. Registran cientos de variantes de dominios bancarios reales cada mes, específicamente para interceptar el tráfico y capturar credenciales.

La mayoría de los bancos y empresas de servicios financieros operan en el TLD .com, donde se produce el grueso del tráfico (y la mayor parte del typosquatting). Sin embargo, los estafadores también explotan extensiones específicas del sector, como los dominios .bank y .finance. La ICANN autorizó el TLD .bank en septiembre de 2014 y se lanzó en mayo de 2015, concebido exclusivamente para la comunidad bancaria con requisitos de identidad verificada antes de que cualquiera pueda registrar un dominio. Las instituciones financieras también utilizan la extensión .finance como una opción sectorial creíble.

Resulta bastante preocupante que los estafadores también fijen su objetivo en estos dominios con sitios web falsos y páginas de inicio de sesión simuladas. Un defraudador que se hace con un dominio .bank o .finance obtiene un impulso de credibilidad instantáneo, ya que los clientes asocian estas extensiones con servicios financieros legítimos. En lugar de levantar sospechas, un dominio .bank o .finance puede, de hecho, hacer que el objetivo baje la guardia.

Las instituciones financieras deben patrullar mucho más allá del .com. Los bancos deben supervisar activamente los dominios .bank, .finance y otros TLD pertinentes en busca de registros similares que pudieran sustentar campañas de suplantación de identidad. El registro defensivo de dominios también puede ayudar a proteger el entorno digital, asegurando el nombre de su marca en estas extensiones antes de que lo haga un estafador. También puede explorar servicios de bloqueo de dominios como GlobalBlock, que impiden por completo que actores malintencionados registren un nombre de marca en determinadas categorías de TLD.

Cómo contraatacar: inteligencia de ciberamenazas, IA y protección contra riesgos digitales (DRP)

Abordar las estafas bancarias a gran escala requiere pasar de las eliminaciones reactivas a la inteligencia proactiva. La inteligencia de ciberamenazas (CTI) otorga a los equipos de seguridad visibilidad sobre las amenazas antes de que lleguen a los clientes: dominios similares recién registrados, perfiles falsos en redes sociales, aplicaciones fraudulentas en desarrollo y kits de phishing que circulan en foros criminales. Teniendo en cuenta la magnitud de las nuevas señales de amenaza en línea, las herramientas de seguridad necesitan todos los recursos disponibles para detener la propagación de las estafas.

Si bien la IA y los LLM aportan mucho al panorama de las amenazas, también resultan muy útiles a la hora de eliminar el ruido. En lugar de enviar miles de alertas en bruto a los analistas, las plataformas modernas de protección de riesgos utilizan la IA para triar, puntuar y contextualizar las señales, mostrando solo aquellas amenazas que requieren atención humana. Los sistemas de IA pueden evaluar si un dominio recién registrado supone un riesgo real de typosquatting, correlacionarlo con infraestructuras relacionadas y marcarlo con el contexto suficiente para que un analista de seguridad actúe de inmediato, en lugar de perder tiempo en investigaciones preliminares.

Conclusión: Apostar por la protección contra riesgos

Las estafas bancarias parecen sofisticadas, rápidas y financieramente devastadoras. La evolución de estas tácticas de estafa actúa en conjunto para erosionar la base de clientes y drenar los fondos de víctimas inocentes y confiadas. Con millones en juego, la presión es máxima.

Los bancos con visión de futuro actúan de forma proactiva, anticipándose y mitigando las amenazas antes de que se propaguen. Con las herramientas adecuadas, es posible filtrar el ruido y desmantelar la infraestructura fraudulenta antes de que cause daños. Descubra cómo funciona la protección contra riesgos digitales en la práctica y proteja su futuro con una demostración gratuita aquí mismo.