Cómo funciona la banca online (transferencias, autenticación y agregadores)

Por /
Banca digital · Seguridad · PSD2 · Actualizado 2026 · Lectura: ~11 min

Hoy en día, casi todos hacemos operaciones bancarias desde el móvil o el ordenador: consultar saldo, pagar recibos, transferir dinero, contratar productos. Pero, ¿qué ocurre realmente cuando pulsas “enviar”? La banca online no es una simple web bonita: detrás hay sistemas de autenticación robusta (PSD2, autenticación de dos factores), pasarelas de pago, conexiones seguras TLS, y protocolos como SWIFT o SEPA para mover el dinero. Te explico cómo funcionan las transferencias, qué es la autenticación fuerte, los agregadores de cuentas que permiten ver todos tus bancos en una sola app, y qué medidas de seguridad evitan que alguien robe tu dinero.

01 / Infraestructura

Infraestructura de la banca online: core bancario, APIs y pasarelas

Cuando accedes a la web o app de tu banco (CaixaBank, BBVA, Santander, ING, etc.), no estás viendo directamente los datos de tu cuenta en el servidor principal. La arquitectura típica consta de varias capas:

  • Capa de presentación (frontend): web (HTML/JS/CSS) o app móvil (React Native, Flutter, nativa). Se encarga de mostrar la información y capturar tus acciones.
  • API Gateway: capa intermedia que expone servicios REST/GraphQL seguros, valida autenticación (JWT, OAuth2) y limita la tasa de peticiones.
  • Core bancario (mainframe o sistemas transaccionales): antiguamente COBOL en mainframe (IBM z-series), ahora muchos bancos están migrando a arquitecturas de microservicios en la nube. El core es el sistema de registro que contiene el saldo real, movimientos, bloqueos de tarjetas, etc. Todas las operaciones de escritura (transferencias, pagos) se ejecutan aquí.
  • Pasarela de pagos: para conectarse con SEPA (AEB, Iberpay) o Swift (la red internacional de bancos).

Cuando haces una transferencia, la app envía una solicitud a la API del banco con los datos (IBAN del destinatario, importe, concepto). El API valida que haya fondos y envía la instrucción al core. El core, a su vez, la envía a la red de pagos correspondiente (SEPA o Swift). Todo esto ocurre en segundos o minutos, según el tipo de transferencia.

El papel de los bancos como intermediarios regulatorios

A diferencia de las criptomonedas, en la banca tradicional no eres el dueño de tu dinero con una clave privada. El banco es custodio de tus fondos y los movimientos deben cumplir con AML (anti-lavado) y KYC. La banca online es la interfaz moderna del sistema bancario clásico, no un sistema descentralizado.

02 / Autenticación fuerte

Autenticación fuerte (SCA): 2FA, biometría y la normativa PSD2

La autenticación en la banca online ha evolucionado desde simples contraseñas a sistemas robustos de doble factor (2FA). En la UE, la normativa PSD2 (Directiva de Servicios de Pago) exige desde 2021 la SCA (Strong Customer Authentication) para la mayoría de las operaciones electrónicas. La SCA requiere al menos dos de los tres siguientes elementos:

  • Algo que sabes: una contraseña, PIN o código de seguridad.
  • Algo que tienes: un dispositivo (móvil) o tarjeta con chip; habitualmente se usa el propio móvil con un token generado por la app (clave de un solo uso) o un SMS (menos seguro).
  • Algo que eres: biometría (huella dactilar, reconocimiento facial, reconocimiento de voz).

En la práctica, la SCA de la banca online suele ser:

  • Contraseña + huella dactilar en el móvil. Para operaciones sensibles (transferencias de alto importe), se pide además un código enviado por SMS o por la propia app (otp).
  • Token físico (calculadora de códigos) en bancos tradicionales para operaciones de alto valor (aunque en desuso).

Además, los bancos utilizan autenticación adaptativa o basada en riesgos (RBA): si detectan una operación fuera de lo habitual (nuevo dispositivo, IP extranjera, importe inusual), pueden solicitar un factor adicional o temporalmente bloquear hasta que el cliente confirme vía telefónica.

03 / Transferencias

Transferencias: SEPA (euro) vs Swift (internacional)

Las transferencias bancarias entre cuentas en euros se realizan mayoritariamente a través del Espacio Único de Pagos en Euros (SEPA), que incluye 36 países. El tiempo estándar es de 1 día hábil (T+1), aunque existe SEPA Instant (10 segundos). El flujo técnico simplificado:

  1. Inicias la transferencia desde la banca online. El banco emisor genera un mensaje ISO 20022 (formato estandarizado XML) con la orden de pago.
  2. El banco emisor comprueba fondos, bloquea la cantidad, y envía el mensaje a una cámara de compensación (Iberpay en España, EBA Clearing en Europa) o directamente al banco receptor si es intrabancario.
  3. La cámara de compensación realiza el clearing (neteo) entre bancos. Luego el banco receptor acredita los fondos en la cuenta destino (normalmente se acredita antes de recibir físicamente el dinero, con riesgo de crédito).

Para transferencias internacionales en divisas (USD, GBP, JPY) se usa la red SWIFT (Society for Worldwide Interbank Financial Telecommunication). SWIFT no mueve dinero; envía mensajes financieros entre los bancos. El dinero real se mueve a través de cuentas corresponsales. El proceso puede durar 1 a 5 días, con comisiones elevadas. Existe una alternativa más rápida y económica: las transferencias basadas en blockchain (stablecoins) o sistemas como Wise, pero los bancos tradicionales aún usan Swift.

Datos clave de una transferencia: IBAN (código de 24 caracteres que identifica cuenta y país) y Código SWIFT/BIC (identificador del banco). Sin estos, no se puede dirigir la orden.

CaracterísticaSEPA (euros)SWIFT (internacional)
Plazo
Máximo 1 día hábil (SEPA Instant: 10 segundos) 2-5 días hábiles
Coste
Normalmente gratuito o muy bajo (0-0,5 €)15-30 € + comisiones de bancos intermediarios
Cobertura
UE + Reino Unido + Suiza + Noruega + Islandia + Mónaco etc. Prácticamente todos los países del mundo
Divisas
Solo eurosTodas las divisas
04 / Pagos inmediatos

Pagos inmediatos e instantáneos: SEPA Instant (Bizum incluido)

Desde 2017 existe el SEPA Instant Credit Transfer (SCT Inst), que permite transferencias en menos de 10 segundos, 24/7/365. El límite por operación es de 100.000 € (en la UE). En España, la mayoría de los bancos lo ofrecen, pero puede tener comisiones altas (1-2 € por envío). El mecanismo:

  • El ordenante inicia la transferencia; el banco emisor verifica fondos, y envía la orden a una cámara de compensación que soporta SEPA Instant (EBA Clearing RT1 o TIPS del Banco Central Europeo).
  • El banco receptor recibe el crédito instantáneo y lo acredita inmediatamente. Si no puede (cuenta bloqueada), se rechaza la operación.

Un caso particular de SEPA Instant es Bizum, el sistema de pago entre particulares muy popular en España. Bizum no es una transferencia entre cuentas bancarias, sino que utiliza SEPA Instant pero añade una capa de directorio telefónico: asocia tu número de móvil a tu IBAN. Cuando envías dinero con Bizum, se ejecuta una SEPA Instant real pero con el móvil como alias. Por eso la mayoría de los bancos no cobran por Bizum (lo asumen como parte de la oferta).

¿Bizum es seguro?

Bizum es tan seguro como una transferencia SEPA estándar, y además requiere autorización con la app del banco (normalmente huella o PIN). El riesgo es el mismo que si envías dinero a una cuenta errónea: una vez confirmado, no se puede cancelar. Nunca hagas Bizum a desconocidos porque no hay protección al comprador (como tiene PayPal). Para compras por Wallapop, por ejemplo, se recomienda usar el método de pago integrado de la plataforma.

05 / Agregadores de cuentas

Agregadores de cuentas (PSD2): cómo Fintonic, MyInvestor o bancos agregan otras cuentas

PSD2 también introdujo la open banking (banca abierta), por la que los bancos están obligados a proporcionar APIs seguras para que terceros (agregadores, aplicaciones de finanzas personales) puedan consultar el saldo y los movimientos de las cuentas con el consentimiento del cliente. Esto permite que aplicaciones como Fintonic, MyInvestor, Monei, Fintexy o incluso la misma app de BBVA puedan mostrar cuentas de CaixaBank, Santander, ING, etc., todo en un solo panel.

El flujo de autorización sigue el estándar OAuth2:

  1. El usuario, desde la app agregadora, selecciona su banco (por ejemplo, CaixaBank).
  2. La app redirige al sitio web del banco (o abre un webview seguro) donde el usuario introduce sus credenciales bancarias (contraseña, 2FA).
  3. El banco autentica al usuario y presenta una pantalla de consentimiento: “¿Autoriza a Fintonic a consultar su saldo y movimientos?”.
  4. El usuario acepta. El banco genera un token de acceso (con ciertos permisos, no de operativa) y lo envía a la app agregadora.
  5. La app agregadora usa ese token para llamar a la API del banco y obtener los datos en tiempo real (en formato JSON o XML).
  6. El token tiene caducidad (normalmente 90 días) y se puede revocar en cualquier momento desde la banca online del usuario.

Es importante destacar que la app agregadora nunca ve tus credenciales bancarias; solo recibe un token delegado. Esto es mucho más seguro que el método antiguo (screen scraping) donde la app almacenaba tu contraseña del banco (lo que violaba los términos de servicio). Desde 2019, el screen scraping está prohibido en la UE; todas las entidades deben exponer APIs PSD2.

06 / Open banking y APIs

Open banking y APIs: Fintonic, MyInvestor, y la conexión segura

Las APIs de open banking están estandarizadas por el Berlin Group (NextGenPSD2) y otros estándares. En España, el agregador de APIs es Bizum (para pagos) y las entidades financieras implementan sus propios endpoints para:

  • ACI (Account Information Service): consulta de saldos y movimientos.
  • PIS (Payment Initiation Service): inicio de pagos desde la app agregadora sin necesidad de abrir la banca online del banco (aún con autenticación fuerte).
  • PIISP (Card-based Payment Instrument Issuer Service): para consultar información de tarjetas.

MyInvestor (banco de inversión) permite agregar cuentas externas para que el usuario pueda visualizar su patrimonio neto total. Fintonic es el agregador más popular en España: muestra cuentas bancarias, tarjetas de crédito, recibos, préstamos, y proporciona análisis de gastos.

Estas APIs son gratuitas para los agregadores, pero deben estar autorizados por el regulador (Banco de España como entidad tercero proveedor de servicios de pago, TPP). El usuario es quien da el consentimiento explícito.

07 / Seguridad y privacidad

Seguridad y privacidad: TLS, cifrado de datos, tokens CSRF y prevención de fraudes

La banca online está protegida por varias capas de seguridad:

  • TLS 1.3 (HTTPS) con certificados Extended Validation (EV) en la conexión servidor-cliente; tu navegador muestra el candado y el nombre del banco.
  • Cifrado de datos en reposo: las bases de datos del banco (con datos personales, IBAN, saldo) están cifradas con AES-256.
  • Autenticación de dos factores (2FA) ya mencionada.
  • Protección antifraude: sistemas de machine learning que detectan comportamientos anómalos (logins desde ubicación inusual, transferencias a nuevas cuentas de riesgo). Si se activa, la operación puede ser bloqueada o requerir autorización adicional por teléfono.
  • Políticas de timeout y cierre de sesión: tras unos minutos de inactividad, la sesión se cierra automáticamente.
  • Token CSRF y cabeceras de seguridad: para evitar ataques de falsificación de peticiones (cross-site) y otros.

A pesar de esto, la mayor vulnerabilidad sigue siendo el factor humano: phishing (correos falsos que imitan al banco), ingeniería social, o malware en el dispositivo del usuario que roba la sesión.

Qué debe hacer un usuario para protegerse al usar banca online

  • No hacer clic en enlaces de correos sospechosos; escribir la URL del banco manualmente o usar la app oficial.
  • Activar el 2FA si el banco lo ofrece (por SMS, autenticador, o notificación push).
  • Mantener actualizado el navegador y el sistema operativo.
  • Usar la app bancaria oficial, no aplicaciones de terceros para gestión de credenciales.
  • Revisar los movimientos periódicamente y denunciar cualquier transacción no reconocida inmediatamente (la entidad tiene la obligación de devolver el dinero si se comunica dentro de plazo, bajo la protección de PSD2).
08 / FAQ

Preguntas frecuentes sobre banca online

¿Es seguro usar la banca online desde una red WiFi pública?
No es recomendable. Las redes WiFi públicas (aeropuertos, cafeterías) pueden ser inseguras y estar comprometidas (ataques man-in-the-middle). Si no tienes alternativa, al menos asegúrate de que la conexión es HTTPS con el candado y que la URL es la correcta. Mejor aún, usa datos móviles (4G/5G) cuando accedas a la banca online fuera de casa. La app bancaria a menudo añade una capa extra de seguridad (certificado de validación de servidor).
¿Cuál es la diferencia entre la banca online y la banca móvil?
Banca online es el término general que engloba tanto la web (ordenador) como las aplicaciones móviles. A veces se usa “banca móvil” para las apps, que suelen tener funciones adicionales (pagos con NFC, escaneo de cheques, notificaciones push) y un diseño adaptado. La seguridad es comparable, pero la app móvil puede aprovechar biometría (huella, Face ID) para mayor comodidad y seguridad.
¿Qué hago si pierdo el móvil con la app del banco?
Si tenías la app configurada con reconocimiento biométrico, el ladrón no podrá acceder porque el móvil está bloqueado con PIN/patrón/huella. Además, la mayoría de los bancos permiten desactivar el acceso desde la banca online en otro dispositivo (opción “dispositivos vinculados”). También puedes llamar al banco para que revoquen el token de acceso de ese terminal. Adicionalmente, activa el bloqueo remoto del móvil (iCloud, Buscar mi dispositivo de Google).
¿Puedo contratar préstamos o hipotecas completamente online?
Sí, muchos bancos permiten solicitar préstamos personales, hipotecas o tarjetas de crédito completamente online. Normalmente se hace una verificación de identidad por videollamada o utilizando el certificado digital o Cl@ve. Para la hipoteca, el proceso online puede incluir la firma electrónica con un dispositivo de autenticación, aunque en España la firma de la escritura de hipoteca debe ser presencial ante notario.
¿La banca online es gratuita?
La mayoría de los bancos ofrecen la banca online sin coste adicional, como parte de la cuenta corriente. Las comisiones asociadas son las de mantenimiento de la cuenta, tarjeta de débito, transferencias (dependiendo del plan). Hay bancos 100% online (Revolut, N26, ImaginBank, ING, Openbank) que no tienen comisiones de mantenimiento si se cumplen ciertos requisitos. Siempre revisa el tarifario antes de abrir una cuenta.

Sigue aprendiendo sobre tecnología financiera

Criptomonedas Cómo funciona un monedero digital Criptomonedas Cómo funcionan las criptomonedas estables Pagos Cómo funciona el pago con NFC Banca digital Cómo funciona un cajero automático virtual

Fuentes y referencias técnicas

European Banking Authority (EBA). (2020). Guidelines on the security measures for operational and security risks of payment services under PSD2.
Banco de España. (2024). Open banking y APIs en el sistema financiero español.
Iberpay. (2024). SEPA Instant Credit Transfer en España: funcionamiento y adopción.
SWIFT. (2025). SWIFT gpi: tracking de pagos internacionales.
Bizum. (2024). Especificaciones técnicas y modelo de autenticación.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Scroll al inicio