Graban tu "sí" al teléfono para usarlo en tu contra: así funciona la estafa del sí

La estafa del sí es un fraude telefónico en el que los estafadores graban tu voz diciendo "sí" para usarla como supuesto consentimiento en contratos, pagos o autorizaciones fraudulentas, y en 2026 la IA permite además clonar esa voz para ataques más sofisticados.

En esta guía editorial de ciberseguridad documentamos cómo la estafa del sí parte de una única palabra pronunciada al descolgar y puede convertirse en el inicio de un fraude, y cómo evitarla con un cambio de hábito de diez segundos. Para análisis profundos sobre vishing 2.0, voice cloning con IA, deepfake audio, STIR/SHAKEN, caller ID spoofing y fraudes emergentes accede al núcleo de inteligencia en ciberseguridad: vishing, deepfakes, ingeniería social y fraudes digitales en 2026.

📅 2026 · 🕐 8 minutos de lectura

La estafa del sí es un fraude telefónico en el que los delincuentes intentan grabarte diciendo "sí" para utilizarlo posteriormente como supuesto consentimiento en contratos, pagos o autorizaciones fraudulentas. En esta guía aprenderás cómo funciona, cómo detectarla y qué hacer si has sido víctima, con especial atención al riesgo emergente de la clonación de voz mediante inteligencia artificial y los deepfakes de audio que se están viendo en 2026.

Para entender el contexto más amplio de este tipo de ataques, consulta el manual técnico de ingeniería social y sesgos cognitivos del fraude en 2026 y el compendio técnico de estafas y fraudes digitales con IA en 2026.

📌 ¿Qué es la estafa del sí?

La estafa del sí se basa en conseguir que respondas "sí" de forma natural durante una llamada inesperada. Es uno de los casos más limpios de ingeniería social telefónica: el atacante no necesita exploits técnicos ni malware, solo combinar tres principios psicológicos clásicos (urgencia al descolgar, autoridad bancaria simulada y miedo al fraude inminente) para que la víctima responda "sí" de forma automática antes de pensar.

• 📞 Vector: llamada telefónica de número desconocido, suplantado (caller ID spoofing) o robocall automatizada vía VoIP/SIP trunking.
• 🎯 Objetivo: grabar tu voz diciendo "sí" como supuesto consentimiento verbal.
• ⚠️ Riesgo: uso fraudulento en contratos, cargos bancarios, suplantación o entrenamiento de IA para clonar tu voz.
• 🛡️ Solución: responder siempre con "¿Quién llama?" en lugar de "sí".

Es la categoría llamada vishing: la estafa telefónica con IA en 2026 — voice phishing — dentro del marco más amplio del que forman parte phishing, smishing, pretexting, baiting, BEC y los deepfakes con IA. El spear vishing se alimenta de credenciales filtradas en brechas de datos: activa las alertas de Dark Web Monitoring para detectar si tus datos circulan en mercados clandestinos y reducir el riesgo de ataques personalizados.

⚙️ ¿Cómo funciona la estafa del sí paso a paso?

1. 📱 Recibes la llamada — número desconocido, número suplantado (caller ID spoofing) o robocall automatizada vía red VoIP.
2. ❓ Preguntas simples — "¿Es usted [nombre]?", "¿Me escucha bien?", "¿Habla con el titular?"
3. ✅ Dices "sí" — respuesta natural y automática al contestar.
4. 🎙️ Graban tu respuesta — solo necesitan ese fragmento de audio.
5. 🎭 Montan el fraude — añaden contenido antes de tu "sí" (audio splicing) para simular consentimiento.

🎣 Técnicas de manipulación para arrancar el "sí"

• 🪞 Pregunta especular: "¿Me escucha bien?" provoca un "sí" reflejo en menos de un segundo.
• 👤 Confirmación de identidad: "¿Hablo con [tu nombre]?" obtiene un "sí" sin pensar.
• 🏦 Falsa autoridad: "Le llamo del departamento de fraude de su banco" baja la guardia.
• ⏰ Urgencia: "Hay un cargo sospechoso, ¿lo autoriza usted?" provoca una respuesta inmediata.
• 🤝 Pseudoencuesta: "¿Le importa si le hago dos preguntas rápidas?" abre la puerta al diálogo.
• 📢 Falso premio: "Ha sido seleccionado para una promoción, ¿le interesa escucharla?"
• 📞 Cuelgue forzado: silencio prolongado tras descolgar para que digas "¿hola? ¿sí?"

📞 Familias de estafas telefónicas modernas relacionadas

🚨 ¿Es real la estafa del sí? ¿Qué pueden hacer con tu voz?

📅 Casos reales de este fraude por voz en España y a nivel internacional

• 🇪🇸 2023 — INCIBE alerta nacional: proliferación de llamadas con técnica del "sí" suplantando números de bancos españoles tras filtraciones masivas de datos personales.
• 🇪🇸 2023 — Caso real con voz clonada (INCIBE): familiar recibe llamada con voz clonada por IA pidiendo dinero urgente; bizum bloqueado a tiempo gracias a palabra clave familiar acordada.
• 🇪🇸 2024 — Guardia Civil Operación VOCE: red desarticulada de spear vishing contra ancianos con datos previos de brechas; pérdidas superiores a 2,5 millones de euros.
• 🇺🇸 2024 — Robocall electoral con voz clonada de Biden: elecciones primarias de New Hampshire; primer caso a gran escala de deepfake audio en campaña política.
• 🇬🇧 2019 — CEO Fraud con voz clonada: empresa energética británica perdió 220.000 € tras una llamada con voz clonada del CEO alemán.
• 🇦🇪 2021 — Atraco bancario con voz IA en Emiratos: primer robo confirmado de 35 millones de dólares con voz clonada de un directivo.
• 🌍 2026 — Ascenso del "AI vishing": ENISA y FBI alertan de combinación de scraping de redes sociales, voice cloning y caller ID spoofing como cadena de ataque integrada.

⚠️ Señales de que estás ante la estafa del sí

📊 Comparativa vishing vs phishing vs smishing

Para entender en profundidad el vector del phishing que suele acompañar a los ataques de vishing, consulta la guía técnica avanzada de phishing: tipos, señales y cómo protegerte en 2026.

🔐 Cómo protegerte de la estafa del sí

• 📞 Responde con "¿Quién llama?", nunca con "sí", "dígame" o "hola" a desconocidos.
• 🔇 Cuelga si sospechas, no tienes obligación de mantener ninguna llamada no solicitada.
• 🚫 No compartas datos personales, nombre, DNI, cuenta bancaria ni contraseñas.
• 📵 Bloquea números sospechosos, tanto en el móvil como en la operadora.
• 📱 Usa apps anti-spam, identifican llamadas fraudulentas antes de que descuelgues.
• 🔑 Activa la autenticación en dos factores con TOTP y FIDO2 en tus cuentas para que un "sí" grabado no baste para autorizarlas — paso a paso en la guía técnica completa de 2FA con TOTP y FIDO2: bloquea el bypass de consentimiento por voz en 2026.
• 🗣️ Acuerda una palabra clave familiar, una IA con voz clonada no podrá improvisarla.
• 🤐 Limita la huella de voz pública, notas de voz reenviables y vídeos en RRSS son material de entrenamiento para clonadores.

📱 Apps anti-spam y bloqueo de robocalls recomendadas

✅ Checklist: protocolo en 30 segundos contra la estafa del sí

🛡️ Checklist familiar contra clonación de voz con IA

⚠️ ¿Qué hacer si has sido víctima de la estafa del sí?

1. 🏦 Contacta con tu banco inmediatamente por canales oficiales, revisa movimientos de las últimas 72 horas.
2. 🔒 Bloquea servicios si es necesario, tarjetas, contratos o autorizaciones sospechosas.
3. 📞 Llama al 017, número gratuito de la Línea de Ayuda en Ciberseguridad del INCIBE.
4. 🚔 Denuncia el incidente ante la Guardia Civil o Policía Nacional.
5. 🛡️ Mantente alerta ante nuevos intentos; los estafadores suelen reintentar con la misma víctima.
6. 📋 Reúne evidencias: número de origen, fecha, hora, duración y cualquier dato del interlocutor.
7. 🧾 Solicita por escrito a las empresas con las que supuestamente has "consentido" la grabación íntegra y el contrato firmado.

📋 Indicadores forenses a conservar tras una llamada sospechosa

• 📞 Número de origen completo con prefijo internacional incluido.
• 🕐 Fecha y hora exacta de inicio y fin de la llamada (captura de pantalla del registro).
• ⏱️ Duración total de la llamada en segundos.
• 🎙️ Grabación íntegra si la app de tu móvil o tu operadora la permite.
• 📝 Transcripción de las preguntas y respuestas inmediatamente después de colgar.
• 🗣️ Acento, idioma, ruido de fondo y características de la voz del interlocutor.
• 🏢 Empresa o entidad suplantada y nombre del supuesto agente.
• 💳 Datos compartidos que pudieran haberte sacado durante la conversación.
• 💰 Movimientos bancarios anómalos en las 72 horas siguientes.

🆚 Respuesta segura vs respuesta vulnerable ante la estafa del sí

📚 Glosario rápido del vishing y la estafa del sí

🏁 Conclusión sobre la estafa del sí

La estafa del sí es un fraude basado en la manipulación telefónica que puede evolucionar hacia ataques más sofisticados como la clonación de voz con IA. Aunque no siempre basta con el "sí" grabado para completar un fraude, es una técnica real y activa en España documentada por INCIBE y la Guardia Civil. La medida más sencilla y eficaz es responder siempre con "¿Quién llama?" en lugar de "sí" al descolgar una llamada desconocida: no requiere tecnología ni instalación, es un cambio de hábito de diez segundos que elimina completamente el vector de grabación.

• 🔒 Cambia tu respuesta al descolgar de "sí" a "¿Quién llama?": es la única medida que bloquea completamente el vector de este timo del consentimiento.
• 🔒 Silencio al descolgar = cuelga inmediatamente; es la señal más clara de un sistema automático de captura de voz.
• 🔒 Activa el 2FA en banca y correo; aunque graben tu voz, no podrán autorizar operaciones sin el segundo factor.
• 🔒 Si detectas cargos no reconocidos tras una llamada sospechosa, llama al banco primero y al INCIBE (017) después.
• 🔒 Guarda siempre el número y la hora de llamadas sospechosas; son la evidencia clave ante las autoridades.
• 🔒 Acuerda una palabra clave familiar para neutralizar llamadas con voz clonada por IA.
• 🔒 Limita la huella pública de tu voz: notas de WhatsApp reenviables y vídeos en RRSS son material de entrenamiento.

❓ Preguntas frecuentes sobre la estafa del sí

¿Qué es exactamente la estafa del sí?

👉 La estafa del sí es un fraude telefónico en el que los delincuentes provocan que digas "sí" durante una llamada, graban esa respuesta y pueden usarla para simular consentimiento en contratos, cargos bancarios o suplantación de identidad.

¿Es peligrosa la estafa del sí?

👉 La estafa del sí puede serlo, especialmente cuando se combina con otras técnicas de fraude o con clonación de voz mediante IA. Por sí sola la grabación tiene limitaciones legales, pero sigue siendo una amenaza real documentada por INCIBE y la Guardia Civil en España.

¿Qué debo responder si recibo una llamada sospechosa?

👉 Responde siempre con "¿Quién llama?" o "¿Con quién hablo?" en lugar de "sí", "dígame" o "hola". Si no se identifican claramente, cuelga. La estafa del sí necesita que digas explícitamente esa palabra.

¿Cómo sé si me han grabado en la estafa del sí?

👉 Es difícil saberlo en el momento. Si recibes posteriormente cargos no reconocidos, contratos que no has firmado o comunicaciones extrañas de servicios, puede ser consecuencia de haber sido grabado. Actúa de inmediato contactando con tu banco y el 017 de INCIBE.

¿Dónde denunciar la estafa del sí en España?

👉 Puedes denunciar en el portal de delitos telemáticos de la Guardia Civil, en la Policía Nacional o llamando al 017 de INCIBE (gratuito). Guarda capturas de pantalla del número y cualquier comunicación recibida como evidencia.

¿Es legal que graben mi voz sin avisar?

👉 No. En España, la voz es dato biométrico protegido por el RGPD y la Ley Orgánica 3/2018. Una grabación sin consentimiento informado puede constituir una infracción grave de protección de datos, además de un posible delito si la finalidad es fraudulenta. Puedes denunciar ante la AEPD aportando el número y la hora de la llamada como evidencia.

¿Las apps de identificación de spam realmente funcionan?

👉 Sí, pero con matices. Apps como Truecaller, Hiya o el filtro nativo de Android e iOS bloquean un porcentaje alto de robocalls y números ya marcados por otros usuarios como fraudulentos. No detectan números nuevos o spoofeados de operadores legítimos, así que son una capa adicional, no una solución completa. La defensa principal sigue siendo el cambio de hábito al descolgar.

¿Qué diferencia hay entre robocall y vishing dirigido?

👉 La robocall es una llamada automatizada masiva con un mensaje pregrabado que se lanza a miles de números al día buscando víctimas casuales. El vishing dirigido (spear vishing) lo hace un operador humano sobre una víctima concreta, con datos personales previos obtenidos de brechas o redes sociales. La estafa del sí puede ejecutarse de ambas formas, pero el spear vishing es mucho más peligroso porque el atacante adapta la conversación en tiempo real.

¿Funciona realmente acordar una palabra clave familiar?

👉 Sí, y es la defensa más eficaz contra el falso secuestro con voz clonada por IA. La palabra clave debe ser corta, no relacionada con nombres ni eventos públicos del familiar, conocerse solo entre miembros de la familia directa y revisarse cada cierto tiempo. Si alguien llama con la voz de un familiar y no dice la palabra clave, es prácticamente seguro que estás ante un deepfake de audio. INCIBE incluyó esta recomendación en sus alertas sobre fraude con voz e IA tras los primeros casos documentados en España en 2023-2024.