¿Una llamada del "equipo de seguridad"? No somos nosotros.
En el artículo completo: cómo funciona la estafa paso a paso, las señales de alerta para detectar un ataque y una lista de comprobación de 6 puntos para proteger su cuenta hoy mismo.
Una llamada telefónica y su cuenta queda vacía
Una sola llamada telefónica puede costarle a una empresa todo lo que tiene en su cuenta. Los estafadores se hacen pasar por el equipo de atención al cliente de su banco, se dirigen a usted por su nombre, le meten prisa – y le piden el código de un mensaje de texto "para cancelar un pago sospechoso". Dos minutos después, el dinero ha desaparecido para siempre.
Hemos analizado casos reales de apropiación de cuentas empresariales desde principios de 2026. La conclusión es clara: 6 de cada 10 ataques no comienzan con un hackeo, sino con una llamada telefónica o un enlace cualquiera – y en el 58 % de los casos la primera acción del estafador es cambiar su número de teléfono para poder interceptar todos los códigos.
Recuerde una regla: Finom nunca llama a los clientes para pedirles un código, una contraseña o que hagan clic en un enlace. Si alguien llama "en nombre de Finom" para pedirle algo de eso – se trata de un estafador.
Descubra nuestra cuenta de empresaPor qué es importante ahora mismo
La apropiación de cuentas (ATO, por sus siglas en inglés) suena a algo técnico y poco habitual. En realidad, es una de las amenazas más comunes y rápidas a las que se enfrentan los emprendedores. Y esto es lo fundamental que hay que entender: en la gran mayoría de los casos, los estafadores no necesitan hackear nada. Necesitan que usted les abra la puerta.
Al analizar incidentes reales de principios de 2026, descubrimos que el 60 % de los ataques se basan en la ingeniería social, (en otras palabras, en una conversación) y que aproximadamente la mitad también implica phishing (correos electrónicos y enlaces falsos). Las brechas técnicas, el malware y los cambios de tarjeta SIM representan una proporción mucho menor. En resumen, su mayor riesgo no es una “contraseña débil” – es una voz convincente al otro lado de la línea.
La buena noticia es que, dado que estos ataques se basan en engañar a una persona, la defensa se reduce principalmente a hábitos sencillos, y no a tecnología costosa.
La única regla que merece la pena recordar para siempre
Antes de entrar en detalles, este es el punto más importante:
Finom nunca llama ni envía mensajes a los clientes para pedirles una contraseña, un mensaje de texto o un código de verificación, ni para que hagan clic en un enlace para “confirmar” o “cancelar” una transacción.
El servicio de atención al cliente auténtico nunca necesita sus códigos – estos existen precisamente para protegerle de personas ajenas. Por lo tanto, cualquier llamada o mensaje “del equipo de seguridad de Finom” que haga una solicitud de este tipo es un fraude, sin excepciones. En caso de duda, simplemente finalice la conversación y póngase en contacto con el banco usted mismo a través de la aplicación.
Información sobre el servicio gratuito de facturaciónCómo funciona la estafa
El escenario más habitual y con mayor éxito es una combinación de dos pasos (representa más del 40 % de todos los casos):
- Phishing. Usted recibe un correo electrónico o un mensaje de texto “de su banco”: “Confirme su inicio de sesión”, “Su cuenta está bloqueada”, “Se ha detectado un nuevo dispositivo”. El enlace lleva a una página de inicio de sesión falsa que tiene exactamente el mismo aspecto que la auténtica. Introduce su nombre de usuario y contraseña, y estos datos llegan al instante a manos del estafador.
- Vishing (una llamada). Para superar su segunda capa de protección, recibe inmediatamente una llamada del “equipo de seguridad”. Una voz tranquila y segura se dirige a usted por su nombre, menciona una “transacción sospechosa” y le pide que lea en voz alta el código de su SMS “para cancelar el pago”. Ese código es su última barrera.
A partir de ahí, todo sucede muy rápido. Una vez dentro, el estafador casi siempre cambia primero el número de teléfono vinculado – en el 58 % de los casos documentados, esa fue la primera acción registrada. Este es el momento crítico: el teléfono es la “llave maestra” de la cuenta. Al controlar su número, el atacante recibe todos los códigos de los mensajes de texto, los enlaces para restablecer la contraseña y las confirmaciones. A continuación, cambia el correo electrónico y la contraseña – y el propietario legítimo pierde por completo el acceso a su propia cuenta.
El dinero desaparece casi al instante. En casos reales, se realizó una transferencia en menos de 2 minutos tras el cambio de credenciales – mediante pagos instantáneos que no se pueden revertir. Es más, un tercio de estos ataques están automatizados: el siguiente paso se produce en menos de 10 minutos, porque las cuentas receptoras se habían configurado de antemano.
Por qué incluso personas con experiencia caen en la trampa
No se trata de ser ingenuo. Los estafadores son expertos en pulsar botones psicológicos específicos:
- Urgencia. “El pago se realizará en 5 minutos a menos que lo confirme”. No hay tiempo para pensar.
- Confianza en la marca. La persona que llama conoce su nombre, su empresa y, a veces, incluso sus transacciones recientes. Parece un servicio de asistencia real.
- Miedo de perder acceso o dinero. La paradoja: una persona lee en voz alta el código para “salvar” su cuenta – y así es precisamente como la pierde.
- Autoridad. “Equipo de seguridad”, “empleado del banco”, “representante de Google”– roles a los que estamos condicionados a obedecer.
Un detalle importante que se desprende de los datos: la raíz del problema suele encontrarse fuera del banco, concretamente en el correo electrónico de la víctima, que ha sido pirateado. En el 41 % de los casos, el estafador ya tenía acceso al correo electrónico de la víctima antes incluso de tocar la cuenta. El correo electrónico es la llave de repuesto para todo, por lo que protegerlo es tan importante como proteger la propia aplicación bancaria.
Más información sobre FinomCómo se ve un ataque desde dentro: un escenario real
El propietario de una pequeña empresa recibe un mensaje de texto: “Finom: se ha detectado un inicio de sesión desde un nuevo dispositivo. Si no has sido usted, pulse aquí”. Hace clic, ve el formulario de inicio de sesión que le resulta familiar e introduce sus datos. Al parecer, no pasar nada – cierra la página y se olvida del asunto.
Un minuto más tarde, una llamada: “Hola, somos el equipo de seguridad de Finom. Hemos detectado un intento de retirada de 3900 €. Para cancelarlo, lea en voz alta el código de su mensaje de texto.” El usuario lo lee en voz alta. “Gracias, el pago está bloqueado, todo en orden.”
En realidad, en ese mismo instante se está cambiando el número de teléfono de la cuenta, luego el correo electrónico y, a continuación, la contraseña. Unos minutos más tarde, se realiza una transferencia instantánea. El empresario no se da cuenta de nada – la aplicación ha dejado de enviar notificaciones, porque los datos ya no son los suyos. De media, el problema no se descubre hasta tres semanas después – cuando ya no queda nada que recuperar.
Y, de nuevo, el punto clave: en esta situación, la empresa Finom real no llama ni pide ningún código. La propia llamada es, en sí misma, un indicio de un ataque.
Señales de alerta
Manténgase alerta si:
- Alguien se pone en contacto con usted primero y le pide un código, una contraseña o que haga clic en un enlace.
- La persona que llama le mete prisa y no le dejará “colgar y volver a llamar”.
- Recibe una notificación sobre un cambio en su número de teléfono, correo electrónico o contraseña que usted no ha realizado.
- Sus mensajes SMS y notificaciones emergentes habituales del banco dejan de llegar repentinamente.
- Un enlace en un correo electrónico apunta a una dirección similar, pero no exacta (por ejemplo, finom-secure.com en lugar del dominio real).
- Le piden que transfiera dinero a una cuenta “segura” o “de respaldo”.
Cómo protegerse
Medidas concretas, ordenadas por importancia:
- Nunca lea en voz alta los códigos de SMS o notificaciones emergentes a nadie. Ningún empleado bancario auténtico, incluido Finom, le pedirá jamás un código – solo lo haría un estafador. Esta es la regla número uno.
- No haga clic en enlaces de correos electrónicos ni de mensajes de texto. Acceda a su banco únicamente a través de la aplicación oficial o de una dirección web que usted escriba manualmente.
- Cambie los códigos mediante SMS por la confirmación dentro de la aplicación (notificación emergente/clave de acceso) si su banco lo admite. De este modo, si cambia de número de teléfono, el estafador no tendrá control alguno.
- Proteja su correo electrónico – es la segunda clave para todo. Active la autenticación de dos factores y utilice una contraseña única.
- Utilice contraseñas seguras y diferentes, y un gestor de contraseñas. Si utiliza la misma contraseña para el correo electrónico y la banca, una sola filtración pone en peligro ambas cuentas.
- Active todas las notificaciones de inicio de sesión, cambios de datos y transacciones – para detectar un ataque en cuestión de minutos, no de semanas.
- En caso de duda, cuelgue e inicie sesión usted mismo a través de la aplicación oficial.
Qué hacer si sospecha que su cuenta ha sufrido un ataque
Si ha leído en voz alta un código, ha hecho clic en un enlace sospechoso o ha observado cambios que no ha realizado – actúe de inmediato; cada minuto cuenta:
- Abra la aplicación y compruebe si sigue teniendo acceso.
- Cambie su contraseña tanto en el banco como en su correo electrónico.
- Póngase en contacto con Finom a través de la aplicación oficial y denuncie el acceso no autorizado – pídales que bloqueen la cuenta y las transacciones.
- Revise las transacciones recientes y anote cualquier cosa sospechosa.
- Compruebe su número de teléfono y su correo electrónico en los ajustes – asegúrese de que no hayan sido sustituidos.
- Denuncie el fraude a la policía si le han sustraído dinero.
La rapidez lo es todo: las transferencias instantáneas son casi imposibles de recuperar, pero un bloqueo rápido suele salvar los fondos que queden.
En resumen
La apropiación de cuentas no tiene que ver con hackers brillantes. Tiene que ver con una voz tranquila, un enlace falso y un minuto de precipitación por su parte. Los estafadores buscan su atención y su confianza, no "agujeros" en el banco. La mejor defensa son un par de hábitos sencillos pero firmes. Y el primero no podría ser más sencillo: si alguien llama “desde Finom” pidiéndole un código – no somos nosotros. Cuelgue.
Lista de comprobación: 6 cosas que puede hacer hoy mismo
- Nunca comparta códigos de SMS o notificaciones emergentes – ni siquiera con “el equipo de seguridad”. Finom nunca se los solicitará.
- Active el inicio de sesión mediante la aplicación o una clave de acceso en lugar de los códigos por SMS.
- Active la autenticación de dos factores para su correo electrónico y establezca una contraseña única.
- Utilice un gestor de contraseñas – contraseñas diferentes para su banco, correo electrónico y otros servicios.
- Active todas las notificaciones de inicios de sesión, cambios de datos y pagos.
- Recuerde la regla: en caso de duda, ponga fin a la conversación e inicie sesión usted mismo en su banco a través de la aplicación.
Últimos artículos

Línea de crédito para empresas: qué es, cómo funciona y cuándo solicitarla

VeriFactu y la facturación electrónica: ¿cuáles son las diferencias?

Conciliación bancaria: qué es, cómo funciona y por qué es importante

Noticias destacadas de Finom: Acaban de llegar grandes novedades

Diferencia entre crédito y préstamo: guía para escoger correctamente

Financiación para autónomos: opciones disponibles y cómo solicitarlas

Financiación para empresas: tipos, requisitos y mejores opciones

