Recibes un SMS que te llama por tu nombre, menciona los últimos dígitos de tu cuenta y te alerta de un «cargo sospechoso». Todo parece legítimo. Pero es una estafa: los delincuentes han obtenido tus datos personales y los están usando para que bajes la guardia. Las estafas bancarias con datos personales son la evolución más peligrosa del fraude online, porque el engaño se vuelve prácticamente indetectable.
En esta guía te explico cómo obtienen tus datos los estafadores, cómo los utilizan para vaciar tu cuenta, qué dice la ley y qué hacer si ya eres víctima.
Cómo obtienen tus datos personales los estafadores
Filtraciones de datos (data breaches)
Las brechas de seguridad en empresas, administraciones públicas y plataformas online son la principal fuente de datos personales para los ciberdelincuentes. Cuando una empresa sufre una filtración, millones de registros — nombres, DNI, emails, teléfonos, direcciones y a veces datos bancarios — terminan en foros de la dark web a la venta por pocos euros.
Según la Agencia Española de Protección de Datos (AEPD), en 2025 se notificaron más de 2.000 brechas de seguridad en España. Muchas de ellas afectaron a operadoras de telecomunicaciones, aseguradoras y entidades financieras.
Ingeniería social previa
Los estafadores también recopilan datos personales directamente de las víctimas, por ejemplo mediante encuestas falsas, ofertas de empleo fraudulentas, sorteos inexistentes o formularios de suscripción a servicios que nunca se prestan. Cada dato que facilitas — aunque parezca inofensivo — puede usarse después para personalizar un ataque de phishing.
Redes sociales y fuentes públicas
Tu nombre completo, lugar de trabajo, fecha de cumpleaños, nombre de tus hijos o de tu mascota: todo lo que publicas en redes sociales puede usarse para hacer que un fraude sea más creíble. Los estafadores cruzan esta información con datos filtrados para construir un perfil completo de la víctima.
Compraventa de bases de datos
Existen mercados clandestinos donde se venden bases de datos segmentadas: «clientes de BBVA en Madrid», «titulares de hipoteca en CaixaBank», «usuarios de banca online mayores de 60 años». Con esos datos, los ataques de phishing se personalizan al detalle.
Cómo usan tus datos para estafarte
Phishing personalizado (spear phishing)
A diferencia del phishing genérico, el spear phishing usa datos reales de la víctima. El SMS o email incluye tu nombre, los últimos dígitos de tu cuenta o tarjeta, tu DNI parcial o el nombre de tu oficina bancaria. Este nivel de personalización hace que el mensaje resulte casi imposible de distinguir de una comunicación legítima del banco.
Suplantación de identidad para abrir cuentas
Con tu DNI, nombre y datos personales, los estafadores pueden abrir cuentas bancarias a tu nombre en entidades online que no verifican presencialmente la identidad. Esas cuentas se utilizan como destino de transferencias fraudulentas de otras víctimas, convirtiéndote a ti en «mula» sin saberlo.
SIM swapping con tus datos
Para obtener un duplicado de tu tarjeta SIM, el estafador necesita datos personales que le permitan pasar los controles de la operadora (nombre, DNI, dirección). Una vez tiene tu SIM, recibe los códigos OTP del banco y puede autorizar cualquier operación. La STS 571/2025 resolvió precisamente un caso de SIM swapping.
Vishing con datos bancarios reales
Te llaman «desde tu banco». Saben tu nombre, tu número de cuenta, y te dicen que hay un cargo sospechoso de una cantidad concreta. Todo coincide con la realidad porque tienen acceso a tus datos. Bajo esa apariencia de legitimidad, te piden un código OTP o que «confirmes» una transferencia que en realidad están ejecutando ellos. Más información sobre este tipo de fraude en nuestro artículo sobre vishing bancario.
Qué dice la ley
Protección de datos: RGPD y LOPDGDD
El Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica 3/2018 (LOPDGDD) obligan a las empresas que tratan datos personales a implementar medidas de seguridad adecuadas. Cuando una brecha de seguridad permite que datos personales caigan en manos de estafadores, la empresa responsable puede ser sancionada por la AEPD y, en su caso, obligada a indemnizar a los afectados.
El artículo 5 de la LOPDGDD establece un deber de confidencialidad que se extiende a todas las personas que intervengan en cualquier fase del tratamiento de datos, y que se mantiene incluso después de finalizada la relación.
Responsabilidad del banco: RDL 19/2018
Si el fraude se consuma en una operación bancaria no autorizada, entra en juego el Real Decreto-ley 19/2018 de servicios de pago. Como hemos explicado en detalle en nuestra guía sobre la obligación del banco de devolver el dinero, el banco debe reembolsar de inmediato (art. 45) y solo se libera si demuestra que el cliente actuó con fraude o negligencia grave (art. 46).
El hecho de que los estafadores conociesen los datos personales de la víctima no exonera al banco. Los tribunales han reiterado que la sofisticación del engaño — precisamente basada en el uso de datos reales — excluye la negligencia grave del usuario.
Qué hacer si tus datos personales han sido comprometidos
1. Cambia inmediatamente tus credenciales bancarias
Contraseña de banca online, PIN de tarjetas y cualquier credencial que pueda estar comprometida. Activa la autenticación de doble factor si no lo habías hecho.
2. Contacta con tu banco
Informa de que tus datos personales pueden haber sido comprometidos. Solicita medidas adicionales de seguridad: alertas por operaciones, límites de transferencia reducidos, o verificación adicional para operaciones no habituales.
3. Denuncia ante la AEPD
Si la filtración provino de una empresa o servicio, puedes presentar reclamación ante la Agencia Española de Protección de Datos. La AEPD puede investigar y sancionar a la empresa responsable.
4. Denuncia ante la Policía
Si ya se ha producido un fraude, presenta denuncia ante la Policía Nacional o la Guardia Civil. Si solo se han comprometido tus datos pero no ha habido fraude aún, igualmente puedes denunciar el acceso ilícito a tus datos personales.
5. Monitoriza tus cuentas
Revisa regularmente los movimientos de todas tus cuentas y tarjetas. Activa las notificaciones push del banco para cada operación. Si ves algo sospechoso, actúa de inmediato siguiendo los pasos de nuestra guía de reclamación.
Cómo proteger tus datos personales
- No facilites datos por teléfono ni SMS. Tu banco nunca te pedirá tu contraseña completa, PIN o código OTP por teléfono.
- Usa contraseñas únicas para cada servicio. Si se filtra la contraseña de una web, no compromete el resto.
- Activa la verificación en dos pasos en tu banca online y en tu cuenta de email.
- Limita lo que publicas en redes sociales. Tu fecha de nacimiento, nombre de mascota o lugar de trabajo son datos que los estafadores usan para personalizar ataques.
- Revisa periódicamente si tu email aparece en filtraciones conocidas (haveibeenpwned.com es un recurso gratuito y fiable).
Preguntas frecuentes
¿Cómo saben los estafadores mis datos bancarios?
Normalmente a través de filtraciones de datos de empresas, compraventa de bases de datos en la dark web, o ingeniería social previa. También cruzan información pública de redes sociales con datos filtrados para personalizar los ataques.
¿Es culpa mía si me estafan usando mis datos personales?
No. Los tribunales han establecido que la sofisticación del engaño — especialmente cuando el estafador conoce datos reales de la víctima — excluye la negligencia grave. El banco debe devolver el dinero salvo que demuestre que actuaste con fraude o negligencia grave manifiesta.
¿Puedo reclamar a la empresa que filtró mis datos?
Sí. Puedes reclamar ante la AEPD y también ejercer acciones civiles por daños y perjuicios contra la empresa responsable de la brecha de seguridad, al amparo del RGPD.
¿Qué hago si han abierto una cuenta bancaria a mi nombre?
Denuncia inmediatamente ante la Policía por suplantación de identidad. Contacta con la entidad donde se abrió la cuenta y con la AEPD. Si te incluyen en ficheros de morosos por deudas generadas con esa cuenta fraudulenta, puedes reclamar por vulneración del derecho al honor.
Consulta gratuita
Si has sido víctima de una estafa bancaria donde los delincuentes usaron tus datos personales, puedo ayudarte a recuperar tu dinero. Consulta mi experiencia en fraudes bancarios o solicita una consulta gratuita.
Contenido relacionado:
Si la estafa implicó Bizum, consulta nuestra guía sobre estafas por Bizum. Si fuiste víctima de phishing en BBVA, lee nuestra guía de reclamación contra BBVA.
Si los datos robados se usaron para operar con tu tarjeta, consulta fraude con tarjetas de crédito y débito. Si la estafa llegó por WhatsApp, consulta estafas bancarias por WhatsApp.