He metido mi tarjeta en una web falsa: qué hacer ahora.
Es urgente, pero no está fuera de control. Los próximos quince minutos importan más que los últimos quince — esto es exactamente lo que hay que hacer, en orden.
Meter la tarjeta en una web falsa es urgente, pero no es lo mismo que perder el control. Las páginas de pago falsas suelen imitar una tienda real, una empresa de mensajería o una pasarela de pago, y piden el número de tarjeta, la fecha de caducidad, el CVV, el nombre, la dirección de facturación y, a veces, un código de un solo uso enviado por SMS. Si has introducido alguno de esos datos en una página que ahora sospechas que era falsa, el objetivo es sencillo: reducir al máximo el margen de uso de la tarjeta y conservar pruebas mientras lo haces.
1. Contacta con tu banco inmediatamente
Usa la app oficial de tu banco o el teléfono que aparece al dorso de la tarjeta — nunca un enlace o número que venga del SMS o del correo sospechoso que te llevó hasta la web falsa. Pide que bloqueen la tarjeta o que limiten las operaciones online mientras se investiga. La mayoría de las apps bancarias permiten congelar la tarjeta al instante desde el propio móvil; hazlo primero, y llama después para asegurarte de que queda constancia formal del fraude en tu cuenta.
Si en la misma web falsa también introdujiste las claves de tu banca online, cámbialas cuanto antes, y hazlo desde un dispositivo de confianza, no desde el mismo en el que pudiste haber sido comprometido.
2. Revisa movimientos y operaciones pendientes
Los cargos pendientes suelen aparecer antes de que la operación quede confirmada — no esperes a que un movimiento se "confirme" para reportarlo. Revisa también las autorizaciones y preautorizaciones, no solo los cargos ya liquidados. Anota el importe exacto, el comercio que aparece y la fecha de cada movimiento que no reconozcas, por pequeño que sea; los cargos de prueba de un euro o menos son una forma habitual de comprobar que una tarjeta sigue siendo válida antes de un cargo mayor.
El Banco de España recomienda avisar de inmediato a tu entidad en cuanto detectes un uso fraudulento de la tarjeta: cuanto antes lo comuniques, más margen tiene el banco para bloquear operaciones posteriores y menor es tu responsabilidad sobre los cargos no autorizados.
3. No confirmes códigos SMS ni llamadas posteriores
Es habitual que, tras introducir los datos en una web falsa, llegue una segunda oleada: una llamada o un SMS haciéndose pasar por el "departamento de fraude" de tu banco, pidiéndote que "canceles" una operación leyendo un código que te acaba de llegar. Ese código es, casi siempre, el que autorizaría una transferencia real o el alta de la tarjeta en un monedero digital ajeno.
Ningún departamento de fraude legítimo necesita que le leas un código para cancelar nada. Cuelga, y llama tú mismo al número oficial de tu banco. Nunca compartas códigos de un solo uso, el PIN ni tus contraseñas por teléfono, por SMS ni por correo, sea quien sea quien lo pida.
4. Guarda todas las pruebas
Las webs falsas suelen darse de baja rápido, a veces en cuestión de horas. Antes de que desaparezca, guarda:
- La URL completa, copiada de la barra de direcciones, no escrita de memoria
- Capturas de pantalla de la página, especialmente del formulario de pago
- El SMS o correo que te llevó hasta allí, con el remitente o número de origen
- La fecha y hora de la visita, y qué datos llegaste a introducir exactamente
- Cualquier cargo o intento de cargo relacionado, con capturas del extracto
5. Reporta la web fraudulenta
Reporta la web a INCIBE a través de su canal de ayuda ante fraude, en incibe.es/ciudadania/ayuda/reporte-de-fraude. Es el punto de entrada del Instituto Nacional de Ciberseguridad para que la ciudadanía reporte fraudes y webs fraudulentas, y ayuda a que se investigue y se dé de baja la infraestructura detrás del engaño.
Repórtala también a Google Safe Browsing y a Microsoft, para que la marquen como peligrosa en Chrome y en Edge y protejan a quien haga clic en el mismo enlace después de ti. Si la web suplantaba a una marca o entidad concreta (un banco, una tienda, una empresa de paquetería), repórtala además a esa empresa por su canal oficial de phishing o abuso; casi todas las grandes marcas tienen una dirección o formulario específico para esto.
6. Cambia contraseñas si reutilizaste datos
Si en la web falsa también dejaste tu correo electrónico, una contraseña o tu DNI, cambia esa contraseña en todos los sitios donde la hayas reutilizado, empezando por tu correo principal, que suele ser la vía de recuperación de todo lo demás. Activa la verificación en dos pasos en todo lo que puedas, si todavía no lo has hecho.
7. Vigila intentos de fraude posteriores
Quien ha conseguido datos reales tuyos una vez suele intentarlo de nuevo, usando lo que ya sabe para sonar más creíble la segunda vez: un "reembolso" que pide pagar antes una pequeña cantidad, una "entrega bloqueada" que pide confirmar la dirección, una "alerta de seguridad" con otro enlace urgente. Trata cualquier contacto inesperado relacionado con este incidente con la misma desconfianza que la web original.
