Un gesto cotidiano con consecuencias imprevisibles
Las notificaciones no dejan de llegar. Entre la rutina del día a día y las prisas por resolverlo todo, un simple toque en la pantalla ha adquirido un peso desproporcionado.
Hoy, mucha gente trata el móvil como una prolongación natural de su banco: vibra, se mira, se toca, y asunto "resuelto". Esa comodidad —diseñada para facilitar la vida— se ha convertido en un blanco. Los delincuentes han aprendido a convertir en arma el instante en que alguien pulsa «Sí».
Lo que está ocurriendo en la práctica dentro de las aplicaciones bancarias
La mayoría de las apps bancarias utiliza ahora una confirmación por notificación para cumplir con la autenticación reforzada de clientes. El usuario intenta iniciar sesión, añadir un beneficiario o validar una transferencia; el móvil muestra una solicitud; se abre la app y se pulsa «Aprobar». En teoría, este segundo factor debería elevar el listón de seguridad. En la práctica, es exactamente lo que los atacantes explotan.
En lugar de intentar romper el cifrado, muchos grupos simplemente insisten hasta que pillan un momento de distracción. Lanzan oleadas de solicitudes a cualquier hora. La víctima rechaza algunas, pero en algún momento cede por agotamiento, confusión o presión.
En otros casos existe fraude en tiempo real: el atacante usa una página falsa para obtener el primer factor —las credenciales— y después desencadena una solicitud legítima de confirmación en el móvil de la víctima. A eso se suma el componente humano: alguien haciéndose pasar por «soporte técnico» que convence a la persona de aprobar «para verificar su identidad». En dispositivos Android, el malware bancario puede llegar a crear una superposición —una pantalla falsa sobre la aplicación real— para capturar el gesto de aprobación. La fricción ha desaparecido y, con ella, la prudencia.
Los atacantes no necesitan romper el cifrado. Les basta con ganar un segundo apresurado, distraído o presionado.
La dinámica del agotamiento por autenticación multifactor (fatiga de MFA)
El método es tan sencillo como efectivo. Primero, los delincuentes obtienen combinaciones de acceso a través de filtraciones de datos y kits de páginas fraudulentas. Después intentan iniciar sesión, lo que dispara la notificación al verdadero titular de la cuenta.
Si el titular la rechaza, el atacante lo vuelve a intentar, a veces cada pocos minutos o incluso cada pocos segundos. Para aumentar las probabilidades de éxito, añaden presión mediante llamada o mensaje: «Apruebe ya para bloquear un pago sospechoso.» Ese guion social convierte un control de seguridad en un reflejo automático: «Vale, adelante».
El origen del problema
La directiva PSD2 en Europa empujó a los bancos hacia la autenticación reforzada de clientes y alejó muchas operaciones de los códigos por SMS, trasladándolas a aprobaciones dentro de la propia aplicación. Formalmente es una mejora: vinculación al dispositivo, biometría, validaciones en el servidor. El problema es que el riesgo no desapareció, simplemente cambió de forma.
Con los pagos instantáneos, los feeds de notificaciones cada vez más saturados y ciertas particularidades técnicas —como los enlaces profundos que abren pantallas específicas de la app—, han surgido nuevas brechas que explotar.
Los factores que alimentan este escenario tienden a repetirse:
- Poco contexto en las solicitudes: muchas notificaciones no muestran claramente el beneficiario, el importe ni el motivo. Sin información, se responde en piloto automático.
- Reutilización de credenciales: las direcciones de correo electrónico y contraseñas filtradas siguen siendo el punto de entrada más habitual.
- Las transferencias inmediatas elevan el "premio": el dinero puede llegar a una cuenta mula y salir del país en cuestión de minutos.
- El móvil concentra todo: banco, correo electrónico, autenticadores y mensajes. El abuso de las funciones de accesibilidad y los fallos en los enlaces internos amplían la superficie de ataque de los troyanos móviles.
- Banca abierta (open banking): más intermediaciones, redireccionamientos y consentimientos generan momentos de confusión que la ingeniería social aprovecha sin dudarlo.
Cuando se elimina fricción sin criterio, también se suprime la pausa que ayuda a detectar una trampa.
Qué implica esto para clientes, bancos y reguladores
Para los clientes, la frontera entre fraude «autorizado» y «no autorizado» se vuelve borrosa. Si se pulsó «Aprobar», ¿eso cuenta como consentimiento? En algunos casos, los bancos tienden a interpretar ese gesto como una validación inequívoca, incluso cuando fue obtenida mediante manipulación.
En el Reino Unido, los reguladores han endurecido el modelo de compensación en estafas de pago push autorizado, trasladando más costes a las entidades y mejorando los reembolsos en muchos casos. A medida que los sistemas de transferencias rápidas se generalizan y la verificación del nombre del beneficiario se convierte en práctica habitual, la presión para tratar estos casos con mayor rigor irá en aumento.
Para los bancos, la ecuación también ha cambiado. Las pérdidas por fraude crecen, pero hacer el acceso más engorroso penaliza la conversión y la satisfacción del cliente. Por eso, muchos proveedores refuerzan capas «invisibles»: biometría conductual, puntuación de riesgo del dispositivo, detección de anomalías y bloqueo en tiempo real cuando un móvil parece comprometido. Estándares como las claves de acceso (FIDO2) refuerzan la autenticación vinculada al dispositivo y reducen la eficacia de la interceptación de credenciales. Aun así, el factor humano sigue siendo determinante: un par de claves bien diseñado no evita una pulsación precipitada inducida por una voz convincente.
Y existe un problema de contexto social: vivimos inundados de alertas —trabajo, entregas, promociones, mensajes—. Una notificación bancaria ya no destaca como algo infrecuente o relevante. Por eso, el texto y el diseño de la pantalla se vuelven críticos: la forma en que la app enmarca ese instante influye directamente en la decisión del usuario.
Un aspecto que suele ignorarse: alfabetización digital y colectivos vulnerables
Hay segmentos especialmente expuestos a este tipo de ataque: personas mayores, usuarios con menor alfabetización digital y quienes dependen del móvil como canal bancario principal o único. Aquí, la ingeniería social no necesita sofisticación técnica: basta con explotar la urgencia, la vergüenza («usted está bloqueando el proceso») o la autoridad («le llamo del departamento de seguridad»). Ofrecer un lenguaje claro, ejemplos comprensibles y mecanismos de confirmación accesibles no es solo «buena experiencia de usuario»: es protección real y efectiva.
Otro efecto secundario: la fatiga de notificaciones como riesgo sistémico
Incluso los usuarios más experimentados cometen errores cuando son interrumpidos repetidamente durante el trabajo, al volante o en entornos familiares. La fatiga de MFA es en parte un fenómeno de diseño: si todas las aprobaciones parecen iguales y rápidas, el cerebro aprende a despacharlas sin pensar. La seguridad, en este punto, depende tanto de la ergonomía y el contenido como de la tecnología subyacente.
Qué proponen los expertos y qué correcciones funcionan
Los profesionales de seguridad señalan repetidamente el mismo fallo de base: un botón «Aprobar» sin contexto suficiente. Las medidas más eficaces buscan frenar el reflejo automático, restituir información y vincular la aprobación a la acción concreta que se está autorizando.
| Medida | Qué cambia | Limitaciones |
|---|---|---|
| Correspondencia de números | El usuario introduce o selecciona un código mostrado en la pantalla de inicio de sesión; pulsar sin pensar deja de funcionar | Las páginas fraudulentas pueden retransmitir el código en tiempo real |
| Vinculación dinámica al detalle | La aprobación muestra beneficiario e importe; el vínculo criptográfico impide modificaciones silenciosas | Depende de una interfaz clara; en pantallas pequeñas, los detalles importantes pueden quedar ocultos |
| Claves de acceso y claves respaldadas por hardware | Vincula el acceso al dispositivo y al dominio legítimo; resiste la interceptación en tiempo real | La pérdida del dispositivo y los procesos de recuperación o migración requieren un diseño cuidadoso |
| Limitación de frecuencia de solicitudes | Bloquea o retrasa ráfagas tras varios rechazos; añade avisos al usuario | Los atacantes cambian a llamadas telefónicas y prueban con nuevos objetivos o cuentas |
| Refuerzo de la aplicación móvil | Bloquea superposiciones, detecta dispositivos manipulados y protege el entorno de ejecución | El malware sofisticado continúa evolucionando constantemente |
Además, existen prácticas operativas y de producto que tienden a funcionar mejor:
- Redactar las solicitudes en lenguaje directo: quién intenta conectarse, desde qué dispositivo, aproximadamente desde dónde y a qué hora.
- Introducir un período de espera en la primera transferencia a un beneficiario nuevo o en importes inusualmente elevados.
- Tras varios rechazos consecutivos, cambiar de canal: detener las solicitudes por notificación y exigir una nueva autenticación biométrica o una verificación asistida.
- Compartir entre entidades los indicadores de campañas de páginas fraudulentas y cuentas mula para reducir la duración de las operaciones criminales.
Una solicitud por notificación debe percibirse como una decisión sobre una acción concreta, no como un vago test de «identidad».
La cuestión de fondo: la seguridad como decisión de diseño, no como ritual
Autenticarse no es cumplir un trámite. Es un punto de decisión real. Si la pantalla informa poco y la disposición entrena un reflejo, los usuarios se vuelven predecibles, y las personas predecibles son fáciles de manipular.
Las entidades que rediseñan sus flujos poniendo el foco en la comprensión —y no solo en el cumplimiento formal— tienden a registrar menos pérdidas por aprobaciones irreflexivas y menos contactos al soporte, porque el usuario deja de «aprobar por costumbre» y empieza a reconocer lo que está autorizando realmente.
Lo que puedes hacer ahora mismo como usuario
Detente siempre que aparezca una solicitud inesperada. Si alguien te llama diciéndote que apruebes algo «para frenar un fraude», cuelga y contacta con tu banco a través de un número conocido y verificado.
Activa la confirmación del beneficiario y las alertas de pago. No reutilices contraseñas. Usa claves de acceso cuando estén disponibles. Mantén el dispositivo actualizado y desinstala las aplicaciones que no reconoces.
Si trabajas en un equipo de producto financiero: prueba el texto y muestra contexto
Trata la redacción como si fuera una funcionalidad de seguridad más. En lugar de «Confirmar autenticación», usa algo comprensible y específico, por ejemplo: «Alguien está intentando iniciar sesión desde un Samsung Galaxy en Madrid a las 14:03. Si no eres tú, pulsa "Rechazar".»
En cada aprobación, muestra el nombre del beneficiario, parte del código del banco y del número de cuenta, y el importe exacto. Añade fricción solo donde el riesgo aumenta y mantén el resto ágil.
Un ejemplo práctico: la correspondencia de números en acción
Imagina que inicias sesión en la web y la pantalla muestra un número de dos dígitos, por ejemplo 47. En el móvil llega una solicitud con tres opciones: 12, 47, 83. Abres la aplicación y seleccionas 47.
La app firma el desafío con una clave del dispositivo y envía la respuesta al banco. Un delincuente que simplemente esté bombardeando con solicitudes no puede adivinar el número correcto sin ver tu pantalla. Si una página fraudulenta intenta retransmitir el proceso en tiempo real, la presión temporal tiende a fallar con mayor frecuencia, y la evaluación de riesgo puede detectar inconsistencias entre el dispositivo y la ubicación.
Compromisos de riesgo que hay que tener en cuenta
Los pagos instantáneos reducen drásticamente el tiempo disponible para recuperar el dinero. Los períodos de espera y la verificación del nombre del beneficiario restan velocidad, pero frenan muchas estafas.
La aprobación por notificación parece sencilla, pero esa facilidad oculta el coste del error. Las claves de acceso aumentan la resistencia al robo de credenciales, aunque exigen una recuperación de cuenta sólida y una migración de dispositivos bien planificada. Cada control mejora una parte del problema; ninguno lo resuelve todo por sí solo. Los mejores resultados aparecen cuando la vinculación al dispositivo, el contexto rico y los frenos inteligentes se combinan con una educación sencilla y continua.
