El lado oculto del fraude bancario: la mayoría de las víctimas autoriza los pagos tras ser engañadas por los delincuentes

El fraude bancario en España presenta en 2025 una evolución inquietante: el 58% de los casos detectados son autorizados directamente por los propios usuarios, engañados por sofisticadas técnicas de manipulación. Esta es una de las principales conclusiones que arroja el último informe Tendencias de Fraude Bancario Digital en España 2025, elaborado por BioCatch, firma especializada en delincuencia financiera.

El informe, realizado a partir del análisis de millones de sesiones digitales y patrones reales recabados en entidades financieras nacionales, dibuja un escenario en el que los métodos clásicos de fraude han perdido fuerza frente a nuevas estrategias mucho más eficaces.

El despliegue de mejores controles y medidas de seguridad tradicionales ha conseguido reducir un 23% los intentos de fraude durante el primer trimestre de 2025 respecto al mismo periodo del año anterior. Sin embargo, las bandas criminales han afilado sus técnicas, apostando por el fraude consentido, en el que las propias víctimas —bajo engaño— acaban facilitando el acceso y la autorización de los pagos.

“La mejora de los controles hace más difícil la apropiación de cuentas por parte de terceros, pero los delincuentes se han adaptado con rapidez: ya no necesitan vulnerar sistemas, solo convencer a sus víctimas para que hagan ellas mismas las transferencias”, explica Thomas Peacock, director de Global Fraud Intelligence en BioCatch.

La clave reside en la ingeniería social, ámbito donde los avances tecnológicos se han puesto del lado de los estafadores, que perfeccionan mensajes, llamadas y manipulaciones, logrando que el usuario confíe en una situación falsa y voluntariamente complete el proceso.

El estudio incide en otra tendencia a tener en cuenta: ocho de cada diez fraudes bancarios se producen ya a través de dispositivos móviles. Este porcentaje, que representa un salto significativo respecto al 72% registrado un año antes, confirma que los smartphones constituyen el nuevo escenario preferido para los delincuentes financieros en España.

Dentro del entorno móvil, predominan los dispositivos Android, responsables del 70% del tráfico bancario detectado por la investigación de BioCatch. Esta preeminencia se convierte en un factor de riesgo, ya que Android es el sistema más atacado por malware bancario.

En los últimos ejercicios, se ha detectado una oleada continua de campañas maliciosas que logran colarse en los teléfonos mediante aplicaciones fraudulentas. El estudio documenta un caso reciente en el que cientos de dispositivos acabaron comprometidos por una aplicación engañosa, permitiendo a los atacantes acceder a datos sensibles y ejecutar transacciones no autorizadas.

A pesar de que el móvil es aparato preferido por los delincuentes para estafar, los ordenadores tampoco están exentos. Herramientas como Grandoreiro, un troyano de acceso remoto ya conocido por bancos y cuerpos policiales, continúan propagándose entre usuarios españoles, a menudo con la capacidad de sortear controles de seguridad tradicionales y esquemas de autenticación.

El informe de BioCatch subraya igualmente la expansión rápida del fraude relacionado con tarjetas bancarias. Ya más del 30% de las estafas detectadas tienen como núcleo la manipulación o robo de tarjetas, bien a través de su registro fraudulento en monederos y aplicaciones de pago, bien mediante transferencias y compras autorizadas mientras la víctima permanece en línea en una llamada telefónica, convencida de estar interactuando con empleados de su propia entidad.

Uno de los patrones más frecuentes es el llamado 'fraude por suplantación’, en el que la víctima, convencida de estar hablando con un representante legítimo del banco, recibe instrucciones para autorizar pagos o facilitar información delicada. Los delincuentes logran hacerse pasar por oficinas bancarias utilizando técnicas de falsificación digital y suplantación de identidad, provocando que la víctima actúe bajo presión y cometa errores en su propio perjuicio.

Las estafas tradicionales siguen presentes y muestran una capacidad de adaptación constante. Las falsas inversiones, falsas ofertas de empleo y compras inexistentes se mantienen como los grandes clásicos del fraude digital en España. No obstante, en 2025 emerge un factor adicional: la utilización de inteligencia artificial generativa (GenAI).

A través de herramientas de IA, los estafadores pueden crear mensajes más personalizados, simular voces o incluso duplicar identidades visuales en video, incrementando el grado de persuasión y la dificultad para detectar el ardid.

En contraste con el auge del fraude por ingeniería social, el período analizado destaca un retroceso del 52% en los casos de “toma de control” de cuentas (Account Takeover o ATO), principalmente como resultado de la adopción de tecnologías de biometría conductual. Estas soluciones, que se centran en analizar cómo interactúa un usuario con la aplicación (velocidad de tecleo, movimientos, gestos táctiles o rutinas de acceso), permiten identificar en apenas segundos anomalías que alertan sobre un posible fraude, incluso cuando el atacante emplea dispositivos nuevos o modifica patrones conocidos.

Esta metodología, según BioCatch, resulta cada vez más eficaz para frenar la apropiación ilegal de cuentas, aunque no soluciona el nuevo paradigma en el que la propia víctima se convierte en facilitadora involuntaria de la estafa.

Los expertos advierten que el sector bancario español se enfrenta a retos inéditos. La evolución del fraude hacia el ‘consentido’ obliga a combinar la tecnología de detección con una mayor formación de los usuarios y la implementación de campañas de concienciación. Para el consumidor, adoptar hábitos de seguridad estrictos y desconfiar ante comunicaciones inesperadas se vuelve esencial.

El informe incide en que, aunque la tecnología evoluciona y mejora la protección, la creatividad y velocidad de adaptación del fraude digital siguen marcando el ritmo, desplazando el objetivo desde los sistemas hacia las propias personas. En este nuevo escenario, la ingeniería social, los dispositivos móviles y el uso de IA generativa imponen el desafío de repensar las estrategias de defensa y mantener al usuario siempre en el centro de la prevención.