Esta web funciona sin JavaScript en gran parte del contenido, pero algunas funciones opcionales como mapas, métricas o gestión avanzada del consentimiento pueden no estar disponibles.
Scam Alert

Micro-píldoras informativas para prevenir fraudes o actuar tras sufrirlos

Phishing BBVA: guía para identificar y reportar fraudes

Cómo reconocer emails, SMS y webs falsas que suplantan al BBVA, y pasos urgentes si ya has proporcionado tus credenciales.

high bancario phishing suplantación email sms web

Phishing del BBVA: qué buscar y qué hacer

El BBVA es uno de los tres bancos más suplantados en España. Las campañas de phishing contra sus clientes son frecuentes, sofisticadas y visualmente muy convincentes. Esta guía te enseña a detectarlas y actuar.

🔴 Si introdujiste tus datos de BBVA en una web no oficial: Cambia tu contraseña en bbva.es ahora mismo y llama al 900 102 801 (línea antifraude BBVA).

Señales de que un mensaje de BBVA es falso

Señales en el email

  • El remitente no termina exactamente en @bbva.com o @bbva.es
  • El enlace no apunta exactamente a bbva.es o bbva.com
  • Te pide “verificar” o “confirmar” tus datos bancarios completos
  • Hay urgencia extrema: “Su cuenta será suspendida en 48 horas”
  • Las imágenes del logo o el diseño no coinciden exactamente con los oficiales

Señales en el SMS

  • El enlace no apunta a bbva.es
  • El número de origen no es el habitual del banco
  • Frases como “Acceso inusual detectado. Acceda para confirmar”
  • Te pide datos que el banco ya tiene

La URL oficial de BBVA y cómo verificarla

La URL legítima de la banca online del BBVA es bbva.es. La conexión debe ser HTTPS y el certificado debe pertenecer a BBVA S.A.

Patrones de URLs fraudulentas documentadas:

  • bbva-seguro.com
  • bbva-verificacion.es
  • acceso-bbva.net
  • bbva.verificar-cuenta.com

🟡 Truco: Haz clic en el candado del navegador y verifica que el certificado pertenece a BBVA S.A. Si no aparece el nombre de la empresa o el certificado es de un tercero desconocido, sal inmediatamente.

Acciones urgentes si ya caíste

  1. Ve directamente a bbva.es (escríbelo tú, no hagas clic en ningún enlace)
  2. Cambia la contraseña de BBVA Online
  3. Llama al 900 102 801 (gratuito, 24h) — línea antifraude de BBVA
  4. Revisa movimientos de las últimas 24h
  5. Si hay operaciones no autorizadas, solicita su cancelación
  6. Denuncia en policia.es con capturas del email o SMS fraudulento

Cómo reportar un phishing de BBVA

Puedes reportar mensajes fraudulentos directamente al BBVA para que ayuden a neutralizar la campaña:

  • Por email: phishing@bbva.com
  • En la app BBVA: sección de seguridad
  • Por teléfono: 900 102 801

Phishing avanzado: la técnica del “man in the middle”

En casos más sofisticados, la web falsa actúa como intermediaria en tiempo real: lo que tú introduces en la web falsa se envía inmediatamente a la web real, permitiendo al atacante completar operaciones con tus credenciales mientras tú crees que estás en el banco.

Esta técnica derrota incluso a quienes comprueban que la página “parece correcta” después de introducir los datos.

Preguntas frecuentes

¿BBVA me pedirá mis datos completos por email? Nunca. El banco puede enviarte información, pero nunca te pedirá contraseña, PIN o códigos de seguridad por email.

¿Qué hago si el phishing llegó desde el hilo de SMS oficial del banco? Es smishing avanzado: los atacantes consiguen inyectar su SMS en el hilo del banco. Reporta específicamente este detalle al banco porque es una técnica sofisticada que necesitan investigar.

Phishing de BBVA en redes sociales y anuncios patrocinados

Además del email y SMS, existe una variante cada vez más frecuente: anuncios patrocinados en Google o redes sociales que aparecen cuando buscas “BBVA” y que llevan a webs falsas. El anuncio puede parecer completamente legítimo porque usa el logo oficial y un texto convincente.

Cómo protegerte de esta variante:

  • Ignora siempre los anuncios patrocinados cuando buscas tu banco
  • Usa el marcador (favorito) que ya tengas guardado con la URL correcta
  • O escribe directamente bbva.es en la barra del navegador

Qué datos no debes proporcionar nunca en una web que diga ser BBVA

🔴 Lista de datos que BBVA nunca pedirá en un formulario web:

  • Contraseña completa de acceso
  • Código PIN de tarjeta
  • Código CVV de la tarjeta
  • Código OTP o de verificación recibido por SMS
  • Número completo de tarjeta + fecha de caducidad en el mismo formulario

La cadena de daño típica en un phishing de BBVA

  1. Recibes SMS: “Movimiento sospechoso en tu cuenta BBVA. Verifica ahora”
  2. Haces clic en el enlace del SMS
  3. Llegas a una web que parece BBVA (mismo diseño, logo correcto)
  4. Introduces usuario, contraseña y a veces el código SMS que te llega
  5. La web muestra “Verificación completada” y te redirige a bbva.es real
  6. En paralelo, los atacantes usan tus credenciales para iniciar operaciones

💡 El redireccionamiento final a la web real es deliberado: hace que pienses que todo estaba bien y retrasar la detección del fraude horas o días.

Errores comunes al recibir un mensaje de phishing de BBVA

ErrorPor qué ocurreConsecuencia
Hacer clic sin revisar la URLPrisa, mensaje convincenteAcceso a web fraudulenta
Introducir datos porque “la web parecía real”El diseño era idénticoCredenciales comprometidas
No reportar pensando “ya cambié la contraseña”Alivio prematuroFalta de investigación
Esperar para ver si hay cargosIncredulidadRetraso en bloqueo

¿Necesitas ayuda específica por país?

Consulta la guía de ayuda para ver qué organismos oficiales, teléfonos y pasos inmediatos están disponibles según tu país.

Ver ayuda para España Volver al listado de fraudes