Compartir
PAGOS Y BANCA

Estafa del Bizum inverso: la solicitud de cobro que parece un pago y te hace pagar a ti

El Banco de España y el INCIBE alertaron en 2026 de una estafa que crece en Wallapop, Vinted y Milanuncios: el estafador te envía una solicitud de cobro disfrazada de pago entrante. Tú crees que estás recibiendo el dinero de la venta y, al confirmar, en realidad se lo envías a él.

SafeBrowz Threat Research Investigación de seguridad17 de junio de 20269 min de lectura

La regla en 60 segundos

Veredicto: estafa. En Bizum, para recibir dinero no tienes que hacer absolutamente nada: entra solo en tu cuenta. Si la app te pide confirmar, aceptar o autorizar con tu PIN o tu huella, no estás cobrando, estás enviando. El "Bizum inverso" abusa de esa confusión: el falso comprador te manda una solicitud de cobro por el importe de la venta, tú la tomas por el pago entrante y al aceptarla le pagas tú a él. Variante: te envía un Bizum "por error" y te pide que se lo devuelvas, o un enlace de falso "Bizum soporte/verificación". Bizum no tiene ningún soporte que te mande enlaces. Nunca aceptes una solicitud para "cobrar" una venta. Ante la duda, llama al 017 del INCIBE.

Por qué se habla de esto ahora

El "Bizum inverso" no es nuevo, pero en 2026 se ha convertido en una de las estafas de pago más denunciadas en España, y las autoridades han salido a avisar de forma repetida. El Banco de España publicó el 27 de mayo de 2026 una advertencia sobre el mal uso de la función de solicitud de dinero, recordando el principio básico: para cobrar por Bizum nunca hace falta autorizar nada. El INCIBE mantiene un aviso y una entrada de blog específicos sobre el "Bizum inverso" en su Oficina de Seguridad del Internauta. El Centro Europeo del Consumidor en España la incluyó en 2026 entre los fraudes de compraventa entre particulares más frecuentes, y la Guardia Civil difundió en febrero de 2026 un aviso en redes pidiendo precaución con las solicitudes de cobro en las ventas de segunda mano.

El motivo de tanta insistencia es que la estafa funciona contra gente prudente. No depende de un virus ni de robarte la contraseña. Depende de un único malentendido sobre cómo se mueve el dinero en Bizum, un malentendido que el estafador provoca a propósito y refuerza con prisa y confianza. Por eso las víctimas no son descuidadas: son vendedores normales que creen estar haciendo lo correcto al "aceptar el pago" de su comprador.

Cómo funciona el Bizum inverso, paso a paso

La estafa vive casi entera dentro de la app de Bizum, así que entender la mecánica exacta es la mejor defensa. Suele empezar en una plataforma de segunda mano.

Pones algo a la venta. Un móvil, una consola, unas zapatillas en Wallapop, Vinted o Milanuncios. Aparece un comprador rápido, decidido, que no regatea y que tiene prisa por cerrar. Esa prisa es parte del guion: cuanto menos pienses, mejor para él.

Te propone pagar por Bizum. Te pide tu número de teléfono "para hacerte el Bizum". Hasta aquí, normal. Pero en lugar de enviarte dinero, lanza una solicitud de cobro por el importe de la venta. En tu móvil te llega una notificación de Bizum con la cantidad exacta que esperabas recibir, y eso te baja la guardia: el número coincide.

Te dice que "aceptes para recibir el pago". Aquí está el engaño. Te insiste, por el chat de la plataforma o por WhatsApp, en que tienes que pulsar para "confirmar" o "validar" la operación y así cobrar. Si lo haces, autorizas con tu PIN o tu huella y le envías tú el dinero. La solicitud de cobro es una petición de que TÚ pagues, no un pago hacia ti. En el momento en que confirmas, el dinero sale de tu cuenta.

O usa la variante del "error". En otra versión, sí te manda un Bizum real (a veces con tu propio dinero, fruto de un cobro previo) y enseguida te escribe alarmado: "perdona, te he enviado de más por error, devuélveme la diferencia". Si devuelves, pierdes esa diferencia, porque el pago original puede revertirse o estar hecho con una tarjeta robada. La sensación de "ayudar a alguien que se ha equivocado" es el cebo.

O te cuela un falso soporte. Cuando ve dudas, el estafador a veces manda un enlace a una supuesta página de "Bizum soporte", "verificación de cuenta" o "confirmar transferencia". Esa página, alojada en un dominio gratuito y desechable, te pide tus datos bancarios, tu PIN o las claves de tu app. Es phishing puro. Bizum no tiene servicio de soporte que envíe enlaces, ni te pide verificar nada por un enlace para cobrar una venta.

Las páginas de "Bizum soporte" falsas que SafeBrowz marca (ilustrativas)

La parte del Bizum inverso que vive en tu navegador es el falso enlace de "soporte" o "verificación", y esa es justo la pieza que un escáner puede atrapar antes de que escribas un solo dato. Estas páginas se agrupan en alojamiento gratuito y dominios desechables. Los ejemplos a continuación son imitaciones ilustrativas, no servicios reales. Pega cualquiera en el verificador para ver cómo lo lee un análisis en vivo:

  • bizum-verificacion.vercel.app
  • bizum-soporte-pago.pages.dev
  • bizum-cobro.netlify.app

Fíjate en la forma. La palabra "bizum" va delante de un sufijo de alojamiento gratuito que el servicio real jamás usaría para gestionar pagos. Bizum no tiene web pública donde "confirmar" o "verificar" un cobro: se opera entera dentro de la app de tu banco. La web oficial es bizum.es, y la información del supervisor está en bde.es. Una página accesible solo como subdominio en vercel.app, pages.dev o netlify.app que te pida datos para "cobrar un Bizum" es, sin excepción, un fraude. Usa el cuadro de abajo para analizar cualquier enlace que un comprador te haya enviado antes de tocarlo.

🛡 VERIFICACIÓN EN VIVO

Analiza el enlace de "Bizum soporte" antes de escribir un solo dato

¿Un comprador o un supuesto "soporte" te envió un enlace para "verificar" o "confirmar" un cobro? Pégalo abajo. Nuestro motor de 3 capas (Local + APIs + IA) devuelve un veredicto en unos 3 segundos. Gratis, sin registro.

Análisis completo con IA profunda → · Ninguna URL se vincula a tu identidad.

Señales de alarma que delatan el Bizum inverso

No hace falta entender de banca para frenar esto. La estructura es la pista.

  • Te piden "aceptar", "confirmar" o "validar" para cobrar. Esta es la concluyente. Para recibir un Bizum no se confirma nada: el dinero entra solo. Si la app te pide autorizar con PIN o huella, estás pagando, no cobrando.
  • Recibes una solicitud de cobro por el importe exacto de la venta. Una solicitud de cobro es una petición de que TÚ envíes dinero. Que la cantidad coincida con lo que esperabas recibir es el truco, no la prueba de que es el pago.
  • "Te he enviado de más por error, devuélveme la diferencia". Nadie devuelve un Bizum recibido de un desconocido sin verificarlo antes con su banco. El pago "de más" puede ser revertido o estar hecho con dinero robado.
  • Prisa para cerrar la venta. "Lo necesito ya", "estoy a punto de coger un tren", "acéptalo rápido que me voy". La urgencia existe para que no te pares a leer qué dice realmente la pantalla de Bizum.
  • Un enlace de "Bizum soporte" o "verificación de cuenta". Bizum no tiene soporte que mande enlaces ni páginas web para confirmar cobros. Cualquier enlace que te pida datos bancarios para recibir dinero es phishing.
  • El comprador insiste en salir del chat de la plataforma. Te lleva a WhatsApp o SMS para escapar de la protección y el rastro de Wallapop, Vinted o Milanuncios. Las plataformas con pago protegido no necesitan que pagues por Bizum a un desconocido.
  • La pantalla de Bizum dice "vas a enviar" o "solicitud de dinero". Lee siempre el texto literal antes de autorizar. Si pone que vas a enviar, o que alguien te solicita dinero, no es un cobro.

La regla que lo desmonta todo

Por encima de cualquier señal concreta, hay una sola idea que hace inmune a esta estafa, y conviene grabarla. En Bizum, recibir dinero es pasivo. Enviar dinero es activo. Cuando alguien te paga, no tienes que tocar nada: la cantidad aparece en tu cuenta sin tu intervención, igual que cuando te ingresan una transferencia. La autorización con PIN, huella o reconocimiento facial solo aparece cuando el dinero va a SALIR de tu cuenta.

De esa regla se deduce todo lo demás. Si para "cobrar" tu venta la app te pide confirmar, es una solicitud para que pagues. Si un desconocido te pide que le "devuelvas" un Bizum, no le debes nada hasta confirmarlo con tu banco. Y si te mandan un enlace para "verificar" un cobro, es falso, porque no existe ninguna pantalla web para recibir un Bizum. Esta es una estafa de ingeniería social, en parte dentro de la propia app, así que la defensa más fuerte no es técnica: es leer literalmente lo que dice la pantalla antes de poner el dedo, y no dejar que la prisa de un desconocido decida por ti.

Cómo se conecta con otras estafas de segunda mano

El Bizum inverso es un primo cercano de otros fraudes de compraventa entre particulares. La misma plataforma, el mismo comprador o vendedor con prisa, y la misma maniobra de sacarte del entorno protegido hacia un pago directo o un enlace externo. Si vendes online, te interesa reconocer el patrón completo, no solo esta variante.

Una versión gemela es la del falso comprobante: el "comprador" te manda una captura de una transferencia que nunca llegará y te presiona para que envíes el producto. Otra es la del enlace de "pago seguro" o "gestión de envío" que imita a la plataforma o a una empresa de paquetería para robarte la tarjeta. En todos los casos el denominador común es el mismo: un desconocido te apura para sacarte del pago protegido y meterte en un canal que él controla. Nuestra guía sobre qué hacer si te han estafado cubre los pasos de recuperación de la primera hora si el dinero ya ha salido.

Lo que SafeBrowz ve en la red

La confirmación del cobro ocurre dentro de la app de Bizum, donde ningún software externo puede intervenir, y por eso la regla de comportamiento es lo primero. Pero la pata de phishing del Bizum inverso, el falso enlace de "soporte" o "verificación", sí es una página web, y ahí es donde la detección del lado del navegador se gana su lugar.

Primero, los dominios son jóvenes y desechables. Una página falsa de "Bizum soporte" casi siempre se registra días antes de difundirla y se abandona en cuanto la denuncian. Solo las señales de antigüedad del dominio ya marcan buena parte de estas páginas antes de que cargue contenido alguno.

Segundo, el alojamiento delata. Una proporción enorme de estas páginas corre en alojamiento gratuito, la palabra "bizum" atornillada a un subdominio de vercel.app, pages.dev o netlify.app, porque los operadores queman muchos sitios desechables y el alojamiento gratuito no cuesta nada. La combinación de alojamiento gratuito más palabra de marca es en sí misma una señal de alta confianza, independiente de lo que diga la página.

Tercero, el contenido es un calco de pantalla bancaria. Un formulario que pide tu tarjeta, tu PIN o las claves de tu app para "confirmar un cobro", servido desde un host sin ninguna relación con un banco, es un perfil de manual de suplantación. El análisis a nivel de contenido atrapa una imitación recién creada que ninguna lista negra ha visto todavía, lo que importa porque estos sitios surgen más rápido de lo que cualquier lista estática puede seguir.

Por qué atrapar el enlace temprano importa

La parte de la solicitud de cobro la frenas con la regla de comportamiento: no confirmes para cobrar. Pero la parte del enlace de "soporte" es donde un escáner gana tiempo. Cuando un comprador con prisa te pasa una URL para "verificar el pago", una extensión la inspecciona directamente, reconoce una suplantación de Bizum en un dominio joven o de alojamiento gratuito y advierte antes de que el formulario de datos siquiera cargue, sin importar quién lo envió ni qué tan convincente parezca el chat. La capa del navegador actúa sobre el destino, que la estafa no puede evitar: para robarte los datos, tiene que aterrizarte en su página.

Cómo SafeBrowz bloquea esta amenaza

SafeBrowz ejecuta una arquitectura de detección de 3 capas: Local + APIs + IA.

  • Capa 1 - Detección local: más de 60 patrones de URL + más de 550 firmas específicas de marcas (incluidas variantes homógrafas en cirílico y Punycode) + lista blanca/negra de la comunidad, todo corriendo directamente en la extensión antes de que la página se renderice. Atrapa al instante la palabra "bizum" o el nombre de un banco en subdominios de alojamiento gratuito y el abuso de TLD baratos.
  • Capa 2 - Verificaciones de API: agrega Google Safe Browsing, PhishTank, URLhaus, ScamAdviser, más la consulta de antigüedad del dominio (la mayoría de estas páginas falsas tienen días de vida) y más de 30 TLD de estafa.
  • Capa 3 - Análisis profundo con IA: el análisis de suplantación de marca con conciencia de contenido en más de 100 idiomas atrapa una página falsa de "Bizum soporte" recién creada que ninguna lista negra ha visto todavía, incluidas páginas que imitan el formulario de un banco real.

Las firmas de detección se derivan de la investigación de inteligencia de amenazas y de nuestra base de datos interna de marcas, no de los datos de navegación de los usuarios. SafeBrowz no almacena el historial de navegación de cada usuario.

Para quienes no quieren instalar nada, el mismo motor impulsa el verificador de URL público gratuito. Pega cualquier enlace de "Bizum soporte" o "verificación" y obtén un veredicto en segundos.

Qué hacer ahora mismo

Si has recibido una solicitud de cobro sospechosa, o crees que ya has caído, esta es la respuesta correcta.

  1. No aceptes ninguna solicitud para "cobrar" una venta. Para recibir dinero no se confirma nada. Si la app te pide autorizar, cancela: estás a punto de pagar tú.
  2. Lee literalmente la pantalla de Bizum. Si pone "vas a enviar" o "te solicita dinero", no es un pago entrante. No pongas el dedo ni el PIN.
  3. No devuelvas ningún Bizum "enviado por error". Verifica primero con tu banco si ese ingreso es real y firme. Hasta entonces no debes nada.
  4. No toques enlaces de "soporte" o "verificación" de Bizum. No existen. Bizum se gestiona dentro de la app de tu banco, nunca por un enlace que te pasa un comprador.
  5. Avisa a tu banco de inmediato. Si ya has autorizado un pago o devuelto un importe, llama a tu banco por el teléfono oficial del reverso de tu tarjeta y pide bloquear o intentar revertir la operación cuanto antes.
  6. Denúncialo. Llama a la línea de ayuda en ciberseguridad del INCIBE en el 017 (gratuita), o usa los canales de la Oficina de Seguridad del Internauta en osi.es. Presenta denuncia ante la policia.es (Policía Nacional) o la guardiacivil.es (Guardia Civil). Reporta también el perfil del estafador a la plataforma (Wallapop, Vinted o Milanuncios). Aporta el número de teléfono, las capturas del chat y cualquier enlace que te enviaran.

Si vendes a menudo en plataformas de segunda mano, adopta dos hábitos que neutralizan esta estafa: usa siempre el pago protegido de la plataforma en lugar de Bizum con desconocidos, y antes de autorizar cualquier operación, lee en voz alta lo que dice la pantalla. Un comprador con prisa no puede vencer a un vendedor que lee literalmente "vas a enviar" antes de poner el dedo.

Preguntas frecuentes

¿Cómo se cobra de verdad un Bizum?

No haciendo nada. Para recibir un Bizum, el dinero entra automáticamente en tu cuenta sin que tengas que aceptar, confirmar ni autorizar nada. La autorización con PIN, huella o cara solo aparece cuando vas a ENVIAR dinero. Si para "cobrar" tu venta la app te pide confirmar, es una solicitud de cobro: estás a punto de pagar tú al estafador.

¿Qué es una solicitud de cobro en Bizum?

Es una función legítima de Bizum para pedir dinero a otra persona, por ejemplo para dividir una cena. El problema es que el estafador la usa al revés: te manda una solicitud de cobro por el importe de tu venta y te dice que la "aceptes para recibir el pago". Si la aceptas, le envías tú el dinero. Una solicitud de cobro es siempre una petición de que TÚ pagues, nunca un pago hacia ti.

Me han enviado un Bizum "de más por error" y me piden la diferencia. ¿Devuelvo?

No, no devuelvas nada sin verificarlo antes con tu banco. El supuesto pago "de más" puede revertirse después o estar hecho con dinero robado, así que si devuelves la diferencia pierdes tu dinero real. Es una variante del Bizum inverso que juega con tu buena fe. Confirma primero con tu banco que ese ingreso es real y definitivo.

¿Tiene Bizum un servicio de soporte que me manda enlaces?

No. Bizum no tiene ningún soporte que te envíe enlaces ni páginas web para "verificar" o "confirmar" un cobro. Bizum se gestiona entera dentro de la app de tu banco. Cualquier enlace de "Bizum soporte", "verificación de cuenta" o "confirmar transferencia" que te pida tus datos bancarios o tu PIN es phishing. La web informativa oficial es bizum.es y no pide datos para cobrar.

¿Por qué pasa tanto en Wallapop, Vinted o Milanuncios?

Porque ahí hay miles de vendedores particulares cerrando ventas rápidas con desconocidos. El estafador se hace pasar por comprador, insiste en pagar por Bizum fuera del pago protegido de la plataforma y aprovecha la prisa de cerrar. Usar siempre el sistema de pago protegido de la plataforma y no pasar a Bizum directo con un desconocido elimina la mayor parte del riesgo.

Ya he aceptado la solicitud y he pagado. ¿Qué hago?

Actúa rápido. Llama a tu banco por el teléfono oficial del reverso de tu tarjeta y pide bloquear o revertir la operación cuanto antes. Reúne capturas del chat, el número de teléfono y cualquier enlace. Llama al 017 del INCIBE para orientación, denuncia ante la Policía Nacional (policia.es) o la Guardia Civil (guardiacivil.es) y reporta al estafador en la plataforma donde lo conociste.

¿Cómo verifico un enlace de "Bizum" antes de tocarlo?

Pégalo en un verificador de URL gratuito antes de escribir ningún dato. Bizum no tiene web pública para confirmar cobros, así que cualquier página accesible solo como subdominio en vercel.app, pages.dev o netlify.app, o un dominio registrado hace días, es una señal de alarma enorme. SafeBrowz analiza el enlace a través de las capas local de patrones, de API y de contenido con IA, y devuelve un veredicto en segundos.

Instala SafeBrowz gratis

Agrega la extensión de navegador que analiza cada enlace, incluido el falso "Bizum soporte" que un comprador te envía, antes de que la página se renderice. Gratis para siempre.

Chrome Agregar a Chrome Firefox Agregar a Firefox Edge Agregar a Edge

Lecturas relacionadas