Los fraudes por phishing crecieron un 25% en España durante 2025, según datos del propio INCIBE, y la mayoría de las víctimas cometen el mismo error: no saben qué hacer en los primeros minutos tras caer en la trampa. Esos minutos, según el Instituto Nacional de Ciberseguridad, son los que más pesan. El daño raramente llega de golpe: los ciberdelincuentes actúan en cadena, y cortar esa cadena a tiempo es posible si sabes cómo.
La buena noticia es que existe un protocolo oficial, gratuito y accesible desde el teléfono 017, que te guía paso a paso. INCIBE recibe decenas de consultas diarias de ciudadanos que han facilitado sus datos bancarios sin darse cuenta, y la respuesta siempre empieza igual: actúa ahora, no mañana.
Los primeros pasos que recomienda INCIBE tras un fraude bancario
El primer movimiento que recomienda INCIBE es llamar de inmediato a tu banco para bloquear la cuenta o las tarjetas comprometidas. No esperes a confirmar si hubo cargo: la palabra clave que debes usar es "operación no autorizada", porque tiene peso legal y obliga al banco a abrir un expediente de reclamación desde ese instante.
El segundo paso es cambiar todas las contraseñas afectadas, empezando por la banca online y siguiendo por cualquier servicio que comparta esas credenciales. Si usabas la misma clave en varios sitios —algo muy habitual— los estafadores lo saben y lo explotan. INCIBE insiste en activar la verificación en dos pasos en todos los servicios donde sea posible, especialmente en el correo electrónico.
INCIBE y el phishing: cómo documentar el fraude antes de denunciar
El tercer paso es no borrar nada. Muchas víctimas de phishing eliminan el SMS o el correo fraudulento por vergüenza o por el impulso de olvidar lo ocurrido, y eso destruye pruebas. Según INCIBE, hay que guardar capturas de pantalla del mensaje, del enlace y de la web falsa, y usar servicios de testigo online para dar validez legal a esas evidencias ante un juzgado.
El cuarto paso es escanear el dispositivo con un antivirus actualizado. Si pulsaste un enlace o descargaste un archivo, es posible que quede malware activo que siga enviando datos. Phishing, en su variante más sofisticada, puede instalar programas que capturan lo que tecleas mucho después del incidente inicial. Desconectar el dispositivo de internet antes del análisis es la recomendación de INCIBE para cortar cualquier comunicación activa con el servidor malicioso.
Denuncia y egosurfing: los pasos que más se saltan
El quinto paso es presentar denuncia ante la Policía Nacional o la Guardia Civil. Muchas víctimas lo omiten porque creen que no servirá de nada, pero la denuncia es imprescindible para reclamar al banco y para que las autoridades puedan localizar variantes activas de la campaña fraudulenta. Los tribunales españoles están fallando cada vez más a favor de las víctimas de phishing bancario, especialmente cuando existe denuncia formal.
El sexto paso es practicar egosurfing: buscar tu propio nombre, DNI o datos de contacto en internet para detectar si ya circula información tuya sin consentimiento. INCIBE recomienda hacerlo de forma periódica tras un incidente, porque los efectos de una filtración de datos pueden aparecer semanas o meses después, cuando ya casi no recuerdas lo ocurrido.
Qué puedes reclamar y a quién tras un phishing bancario
Reclamación al banco
El séptimo paso es exigir al banco la devolución del dinero sustraído en operaciones no autorizadas. El Real Decreto-ley 19/2018 de servicios de pago, que transpone la directiva europea PSD2, establece que el banco debe devolver el importe antes del fin del día hábil siguiente si la operación no fue autorizada por el cliente. La carga de la prueba recae sobre la entidad: es el banco quien debe demostrar negligencia del usuario, no al revés.
Reclamación a la AEPD
Si tus datos personales están siendo usados sin consentimiento, puedes ejercer tus derechos ante la Agencia Española de Protección de Datos (AEPD). INCIBE recuerda que facilitar el DNI a una web de phishing puede derivar en suplantación de identidad para abrir créditos o contratar servicios a tu nombre, un daño que no desaparece aunque recuperes el dinero.
INCIBE y el 017: el recurso gratuito que casi nadie usa a tiempo
Uno de los patrones que más se repite en los casos que atiende INCIBE es el retraso en llamar al 017. La línea es gratuita, confidencial y disponible todos los días, y sus operadores pueden orientarte en tiempo real sobre qué hacer con tu caso concreto. No es una línea de denuncia, sino de acompañamiento técnico: te dicen exactamente qué pasos dar y en qué orden según lo que hayas facilitado.
La tendencia apunta a que los ataques de phishing serán cada vez más difíciles de detectar con la incorporación de la inteligencia artificial generativa a las campañas de fraude. Pero también crecen las herramientas de respuesta: INCIBE lleva años documentando casos reales y publicando alertas actualizadas en su web, lo que convierte al organismo en la primera referencia ante cualquier incidente de seguridad digital en España.
