📞 Vishing 2026: cómo identificar y frenar la estafa telefónica con voz, IA y deepfakes
hace 6 días
Vishing en 2026: la estafa telefónica con IA que imita la voz de tu banco y tu familia
El vishing es la estafa telefónica que más crece en España: los ciberdelincuentes suplantan la voz de tu banco, de Hacienda o incluso de un familiar usando inteligencia artificial para conseguir que entregues contraseñas, códigos OTP o acceso remoto a tu ordenador en cuestión de segundos. En esta plataforma editorial de ciberseguridad documentamos cómo funciona, cómo detectarlo y cómo defenderte con diez medidas concretas. Todas las guías sobre ingeniería social, smishing, phishing y fraude con IA están en nuestra biblioteca técnica de ciberseguridad.
💡 Resumen rápido
📞 Vishing 2026: la estafa telefónica con IA que ya imita la voz de tu familia
El vishing es un ataque de ingeniería social por voz en el que el atacante suplanta a un banco, organismo oficial o familiar para robar credenciales, códigos OTP o acceso remoto al dispositivo. En 2026 se combina con deepfakes de voz generados por IA, caller ID spoofing y OSINT previo para crear llamadas prácticamente indistinguibles de las legítimas.
- ✅ Qué es el vishing y cómo se diferencia del phishing y el smishing
- ✅ 5 guiones reales: banco, Microsoft, Hacienda, hijo en apuros, jefe ejecutivo
- ✅ Caller ID spoofing y deepfake de voz con IA: cómo funcionan técnicamente
- ✅ 10 pasos para protegerte y la palabra clave familiar anti-deepfake
- ✅ Qué hacer si ya eres víctima: banco, INCIBE 017 y denuncia policial
- ✅ Tus derechos bajo PSD2: cómo reclamar el reembolso al banco
📅 2026 · 🕐 9 minutos de lectura
El vishing no es un fraude nuevo, pero la inteligencia artificial generativa lo ha convertido en la amenaza más creíble del ecosistema de estafas digitales. A diferencia del phishing por correo: cómo reconocer un email falso y proteger tus contraseñas o el smishing y ataques en WhatsApp y Telegram: guía completa de protección, la llamada de voz activa mecanismos psicológicos más profundos: la presencia en tiempo real, la urgencia impuesta y la autoridad percibida de quien llama.
📌 ¿Qué es el vishing? Definición y contexto
El vishing es un ataque de ingeniería social realizado por teléfono en el que el atacante suplanta la identidad de una entidad legítima —banco, organismo oficial o familiar— para robar credenciales, dinero o acceso al dispositivo de la víctima. El término combina voice (voz) y phishing. En 2026 incorpora tres capas tecnológicas que lo hacen especialmente peligroso: clonación de voz con IA generativa, caller ID spoofing y OSINT personalizado para construir llamadas prácticamente indistinguibles de las legítimas.
El vishing es un ataque de ingeniería social realizado por teléfono en el que el atacante suplanta la identidad de una entidad legítima para robar credenciales, dinero o acceso al dispositivo de la víctima. El nombre combina voice (voz) y phishing, y pertenece a la misma familia de fraudes que el smishing (por SMS) y el quishing (por código QR).
Lo que diferencia el vishing del resto de ataques es el canal: la voz humana en tiempo real activa respuestas emocionales que el texto escrito no puede replicar. El atacante puede ajustar su discurso en función de las reacciones de la víctima, escalar la presión cuando detecta dudas y explotar el respeto a la autoridad de forma inmediata.
| Modalidad | Canal | Vector principal | Sesgo psicológico explotado | Defensa clave |
|---|---|---|---|---|
| Phishing | Enlace malicioso o adjunto | Urgencia + autoridad | No hacer clic, verificar remitente | |
| Smishing | SMS / WhatsApp | Enlace acortado urgente | Miedo + urgencia | No clicar, acceder directo a la web oficial |
| Vishing | Llamada telefónica | Manipulación psicológica en tiempo real | Autoridad + presión inmediata | Cuélga y llama tú al número oficial |
| Quishing | Código QR | QR falso que redirige a web fraudulenta | Confianza + curiosidad | Verificar origen del QR antes de escanear |
🔍 ¿Qué es el caller ID spoofing?
El caller ID spoofing es la técnica mediante la cual el atacante falsifica el número de teléfono que aparece en la pantalla del receptor. Usando servicios VoIP y APIs de telefonía accesibles por suscripción, puede hacer que tu pantalla muestre el número oficial de tu banco, de la Agencia Tributaria o del soporte de Microsoft. El número que ves no garantiza en absoluto que quien llama sea esa entidad. Esta técnica es la razón por la que ningún número en pantalla es prueba de identidad.
🎭 Los 5 guiones de vishing más utilizados en España en 2026
Los cinco guiones de vishing más utilizados en España en 2026, ordenados por frecuencia:
- Fraude bancario — suplantación del banco para obtener código OTP
- Soporte técnico falso — Microsoft, Apple o Google piden instalar acceso remoto
- Agencia Tributaria — deuda fiscal urgente o devolución pendiente
- Familiar en apuros — deepfake de voz de un hijo o familiar pidiendo dinero
- CEO / Fraude BEC — suplantación del director para ordenar transferencia urgente
Todos explotan urgencia extrema y autoridad percibida para evitar que la víctima tenga tiempo de verificar.
Los atacantes no improvisan: trabajan con guiones probados que explotan situaciones de alta urgencia emocional. Conocer estos guiones es la forma más eficaz de no caer en ellos.
🏦 Guión 1: El fraude bancario
⚠️ Simulación de llamada fraudulenta — no es real
Atacante: "Buenos días, le llamo del departamento de seguridad de [Banco]. Hemos detectado un cargo sospechoso de 847 € en su cuenta. Para bloquearlo necesitamos verificar su identidad. ¿Me puede confirmar el código que acaba de recibir por SMS?"
Lo que debes hacer: Cuélga. El banco nunca pide el código OTP por teléfono. Ese código sirve para autorizar transacciones, no para bloquearlas. Si el atacante tiene ese código, puede vaciar tu cuenta.
💻 Guión 2: El soporte técnico falso (Microsoft, Apple, Google)
El atacante avisa de que tu ordenador está infectado con un virus o que tu licencia ha caducado. Pide que instales un programa de acceso remoto como AnyDesk o TeamViewer para "solucionarlo". Una vez que tiene acceso a tu pantalla, puede ver tus credenciales bancarias, instalar malware y transferir dinero en tu nombre. Este vector se analiza en detalle en la guía sobre PromptSpy: el malware Android que usa IA para personalizar ataques en tiempo real, donde se documenta cómo la IA ofensiva potencia estos fraudes.
🏛️ Guión 3: La Agencia Tributaria (Hacienda)
Llaman diciendo que tienes una devolución pendiente de tramitar, una deuda fiscal urgente o que se va a proceder a un embargo. Piden datos bancarios "para gestionar el reembolso" o un pago inmediato para "evitar la sanción". La AEAT nunca inicia gestiones económicas por teléfono.
👨👩👧 Guión 4: El hijo o familiar en apuros (deepfake de voz)
Con IA generativa, el atacante clona la voz de un familiar usando audio extraído de redes sociales. Llama haciéndose pasar por ese familiar que está en una situación de emergencia —accidente, detención, hospital— y pide dinero urgente por Bizum, transferencia o incluso en efectivo a través de un mensajero. En 2026 estos deepfakes son prácticamente indistinguibles del audio real.
👔 Guión 5: El CEO o el jefe (Business Email Compromise por voz)
En entornos corporativos, el atacante suplanta al director general, al CFO o a un proveedor de confianza para ordenar una transferencia urgente, cambiar datos bancarios de una factura o compartir acceso a sistemas internos. Combina vishing con BEC (Business Email Compromise) para máxima credibilidad.
🤖 Vishing con IA y deepfake de voz: la nueva frontera del fraude
El deepfake de voz en vishing funciona en tres pasos: (1) el atacante extrae audio del objetivo desde vídeos públicos en redes sociales, reels o TikToks; (2) una herramienta de clonación de voz con IA —como ElevenLabs o RVC— genera una réplica convincente con apenas 3 segundos de muestra; (3) el atacante realiza la llamada fraudulenta usando esa voz clonada para suplantar a un familiar o ejecutivo. En 2026 estos deepfakes son prácticamente indistinguibles al oído humano. La única defensa eficaz es una palabra clave secreta acordada previamente con la familia.
La inteligencia artificial generativa ha dado al vishing un salto cualitativo sin precedentes. Con apenas 3 segundos de audio, herramientas de clonación de voz como ElevenLabs, Resemble AI o RVC pueden generar una réplica convincente de cualquier persona. Los atacantes extraen ese audio de vídeos públicos en redes sociales, reels, TikToks o entrevistas, y lo usan para construir llamadas fraudulentas completamente personalizadas.
Además, los atacantes pueden emplear sistemas IVR (Interactive Voice Response) automatizados que imitan las respuestas de los sistemas telefónicos de grandes corporaciones, creando una ilusión de legitimidad sin necesidad de un operador humano en tiempo real.
| Tecnología usada | Función en el ataque | Accesibilidad para el atacante | Nivel de peligrosidad |
|---|---|---|---|
| Caller ID spoofing | Falsifica el número de origen para mostrar el del banco o institución oficial | Alta (servicios VoIP por suscripción) | 🟠 Alto |
| Clonación de voz (IA) | Replica la voz de un familiar o ejecutivo usando 3-30 segundos de audio | Alta (herramientas públicas) | 🔴 Crítico |
| OSINT previo | Recopila datos personales (nombre, banco, empleador) para personalizar el ataque | Muy alta (redes sociales públicas) | 🟠 Alto |
| IVR automatizado | Sistema de menús de voz que imita al del banco o empresa suplantada | Media | 🟠 Alto |
| Acceso remoto (AnyDesk) | Una vez al teléfono, pide instalar software para "solucionar el problema" | Alta (software gratuito) | 🔴 Crítico |
🚨 Señales de alerta: Cómo detectar una llamada de vishing
Las ocho señales de alerta que identifican un ataque de vishing en tiempo real:
- Urgencia extrema: "tiene 10 minutos para actuar o perderá su dinero"
- Solicitud de código OTP recibido por SMS
- Petición de instalar AnyDesk, TeamViewer o cualquier acceso remoto
- Propuesta de transferir dinero a una "cuenta segura"
- Petición de contraseña completa por teléfono
- Número en pantalla que coincide con el oficial (puede ser spoofing)
- Voz emocionalmente tensa, especialmente en el guión del "familiar en apuros"
- Petición de datos adicionales: DNI, fecha de nacimiento, dirección
Regla de oro: ningún banco, organismo oficial ni empresa de soporte legítima pedirá nunca un código OTP, acceso remoto ni una transferencia para "proteger" tus fondos.
- 📞 Urgencia extrema: "tiene 10 minutos para actuar o perderá su dinero"
- 🔢 Solicitud de código OTP: cualquier código que llegue por SMS es intransferible
- 💻 Petición de acceso remoto: AnyDesk, TeamViewer, Zoho Assist, Quick Assist
- 💸 Transferencia a "cuenta segura": los bancos nunca mueven dinero por teléfono
- 🔐 Petición de contraseña completa: ningún soporte legítimo la necesita
- 📲 Número falsificado: el número en pantalla puede ser el del banco real (spoofing)
- 🎭 Voz emocionalmente tensa: especialmente en el guión del "familiar en apuros"
- 🌐 Petición de datos adicionales: DNI, fecha de nacimiento, dirección para "verificar identidad"
🛡️ Cómo protegerse del vishing: 10 pasos clave
- Nunca des un código OTP por teléfono. Ese código sirve para que tú autorices una operación, no para que el banco la bloquee. Si alguien lo pide, es un atacante en curso.
- Cuélga y llama tú. Ante cualquier duda, corta la llamada y marca tú el número oficial que aparece en el reverso de tu tarjeta o en la web oficial de la entidad.
- Desconfía del identificador de llamadas. El número en pantalla puede ser falsificado mediante caller ID spoofing. Verifica siempre la identidad por otro canal.
- Nunca instales software de acceso remoto bajo instrucciones telefónicas. AnyDesk, TeamViewer, Quick Assist: ningún soporte legítimo te los pedirá sin un proceso formal previo.
- Establece una palabra clave familiar. Define con tu familia una palabra secreta para verificar identidad en emergencias. Si la persona que llama no la sabe, cuelga.
- Usa una app autenticadora en lugar de SMS para el 2FA. Los códigos por SMS son vulnerables al vishing; una app TOTP (Aegis, Authy, Google Authenticator) no puede interceptarse por teléfono.
- Reduce tu huella digital en redes sociales. Cuanto menos audio y datos personales públicos tengas, más difícil es construir un deepfake de tu voz o un ataque OSINT personalizado.
- Activa el bloqueo de llamadas de números desconocidos. Aplicaciones como Truecaller identifican números de spam y estafadores conocidos en tiempo real.
- Inscríbete en la Lista Robinson. Reduce las llamadas comerciales no deseadas, que los atacantes usan como cobertura para sus llamadas fraudulentas.
- Informa a personas mayores de tu entorno. Los adultos mayores son el objetivo principal del vishing bancario y del guión del "familiar en apuros".
✅ Checklist antivishing: antes de actuar en una llamada sospechosa
- ☑ ¿Me están pidiendo un código que acabo de recibir por SMS? → Cuélga, es vishing
- ☑ ¿Me piden instalar AnyDesk, TeamViewer u otro software remoto? → Cuélga, es vishing
- ☑ ¿Me dicen que transfiera dinero a una "cuenta segura"? → Cuélga, es vishing
- ☑ ¿Me presionan con urgencia extrema ("tiene 5 minutos")? → Señal clara de manipulación
- ☑ ¿Puedo verificar la identidad llamando yo al número oficial? → Hazlo siempre antes de actuar
- ☑ ¿Ha dicho la persona la palabra clave familiar? → Si no, puede ser un deepfake
✔ 6/6 = protegido · ✘ menos de 4 = exposición alta
⚠️ Qué hacer si ya has sido víctima de vishing
Si has sido víctima de vishing, actúa en este orden durante los primeros 30 minutos:
- Llama al banco al número del reverso de la tarjeta: bloqueo preventivo y reversión de cargos
- Cambia todas las contraseñas afectadas desde un dispositivo limpio, empezando por el correo
- Desinstala cualquier software de acceso remoto instalado durante la llamada
- Activa el 2FA con app autenticadora en todas las cuentas comprometidas
- Llama al 017 (INCIBE) para orientación gratuita y personalizada
- Denuncia ante Policía Nacional o Guardia Civil conservando todas las evidencias
- Notifica a la AEPD si tus datos personales han sido usados sin consentimiento
- Llama a tu banco de inmediato al número del reverso de tu tarjeta. Pide el bloqueo preventivo de la cuenta y la reversión de cualquier transacción no autorizada.
- Cambia todas las contraseñas afectadas desde un dispositivo seguro, comenzando por el correo electrónico y la banca online.
- Revoca el acceso remoto si instalaste AnyDesk o TeamViewer: desinstala la aplicación, cambia todas las contraseñas y ejecuta un análisis completo con tu antivirus.
- Activa el 2FA en todas las cuentas comprometidas usando una app autenticadora.
- Llama al 017 (INCIBE) para orientación gratuita y personalizada sobre los pasos a seguir.
- Denuncia ante la Policía Nacional o la Guardia Civil. Conserva todas las evidencias: número de la llamada, hora, capturas de pantalla y cualquier SMS recibido.
- Notifica a la AEPD si crees que tus datos personales han sido robados o utilizados sin tu consentimiento.
⚖️ Tus derechos como víctima: Cómo reclamar al banco bajo PSD2
Bajo la directiva europea PSD2, el banco tiene la obligación de reembolsar transacciones no autorizadas salvo que demuestre negligencia grave por parte del cliente. La mera entrega de un código OTP bajo engaño no siempre se considera negligencia grave. El proceso de reclamación tiene cinco pasos: (1) reclamación formal al Servicio de Atención al Cliente del banco; (2) si no hay respuesta en 15 días hábiles, escalar al Banco de España; (3) el banco debe demostrar la negligencia, no el cliente probarla; (4) plazo de hasta 13 meses desde el cargo para reclamar; (5) si no hay resolución favorable, acudir a la vía judicial o a organizaciones de consumidores.
La directiva europea de servicios de pago PSD2 establece que los bancos tienen la obligación de reembolsar las transacciones no autorizadas si el cliente no actuó de forma gravemente negligente. Si has sido víctima de vishing y el banco deniega el reembolso, tienes derecho a reclamar.
- 📋 Paso 1: Presenta una reclamación formal por escrito al Servicio de Atención al Cliente del banco.
- 📋 Paso 2: Si no recibes respuesta en 15 días hábiles o la respuesta es negativa, escala al Banco de España (Servicio de Reclamaciones).
- 📋 Paso 3: Bajo PSD2, el banco debe demostrar que hubo negligencia grave por tu parte. La mera entrega de un código OTP bajo engaño no siempre constituye negligencia grave.
- 📋 Paso 4: El plazo para reclamar ante el Banco de España es de hasta 13 meses desde la fecha del cargo.
- 📋 Paso 5: Si el Banco de España no resuelve a tu favor, puedes acudir a la vía judicial o a organizaciones de consumidores como OCU o FACUA.
🆚 Sin protección vs usuario protegido frente al vishing
| Característica | ❌ Sin protección | ✅ Con protección activa |
|---|---|---|
| Identificador de llamadas | Confía en el número que aparece en pantalla | Sabe que el caller ID puede estar falsificado |
| Código OTP | Lo comparte si se lo piden con urgencia | Nunca lo comparte por teléfono, en ningún caso |
| Acceso remoto | Instala AnyDesk si se lo piden para "solucionar" | Rechaza cualquier petición de acceso remoto no solicitado |
| Deepfake de voz | No puede distinguir la voz clonada de la real | Tiene palabra clave familiar para verificar emergencias |
| 2FA | Usa SMS como segundo factor (interceptable) | Usa app TOTP o llave FIDO2 (resistente al vishing) |
| Respuesta ante incidente | No sabe qué hacer, el daño se extiende | Llama al banco en minutos y al 017 para orientación |
🏁 Conclusión sobre el vishing
El vishing es hoy la amenaza de ingeniería social más creíble porque opera en el canal más íntimo de comunicación —la voz— y lo hace en tiempo real, sin dar margen para la reflexión. La combinación de caller ID spoofing, deepfake de voz con IA y OSINT personalizado ha elevado estos ataques a un nivel de sofisticación que los hace casi indistinguibles de una llamada legítima para quien no conoce las señales de alerta.
La buena noticia es que la defensa es sencilla y no requiere tecnología avanzada: cuélga ante cualquier duda, llama tú al número oficial, nunca compartas un código OTP por teléfono y establece una palabra clave familiar para verificar emergencias. Esas cuatro medidas bloquean el 95% de los intentos de vishing, incluyendo los más sofisticados con deepfake de voz.
- 🔒 Ante cualquier llamada urgente de tu banco: cuélga y llama tú al número oficial del reverso de la tarjeta
- 🔒 Nunca compartas un código OTP por teléfono: es la llave maestra de tus cuentas
- 🔒 Establece una palabra clave familiar: la única defensa real contra deepfakes de voz
- 🔒 Usa app autenticadora en lugar de SMS para el 2FA: elimina el vector de intercepción
- 🔒 Si caes en la trampa: banco primero, 017 después, denuncia policial siempre
- 🔒 Reclama bajo PSD2: tienes hasta 13 meses y el banco debe demostrar tu negligencia grave
Comparte este artículo con personas mayores de tu entorno. El vishing bancario y el guión del "familiar en apuros" tienen como objetivo preferente a adultos mayores que no conocen estas técnicas. Compartir esta información puede evitar que alguien pierda sus ahorros en una sola llamada.
❓ Preguntas frecuentes sobre el vishing
¿Qué diferencia hay entre vishing, phishing y smishing?
👉 Los tres son variantes de ataque de ingeniería social que buscan robar credenciales o dinero, pero difieren en el canal: el phishing usa correo electrónico con enlaces maliciosos, el smishing usa SMS o mensajes de WhatsApp, y el vishing usa llamadas de voz. El vishing es el más efectivo psicológicamente porque opera en tiempo real y permite al atacante ajustar su discurso según las reacciones de la víctima. Consulta la guía completa de qué es el phishing y cómo evitar que te roben las contraseñas en 2026 para profundizar en el canal email.
¿Puede mi banco pedirme un código OTP por teléfono?
👉 No. Ningún banco legítimo solicita nunca el código OTP que recibes por SMS durante una llamada entrante. Ese código sirve para que tú autorices una operación, no para que el banco la bloquee. Si alguien te llama pidiendo ese código con cualquier pretexto, es un ataque de vishing en curso: cuélga inmediatamente.
¿Cómo sé si la voz de un familiar que me llama es un deepfake?
👉 En 2026, los deepfakes de voz de alta calidad son prácticamente indistinguibles al oído. La única defensa eficaz es una palabra clave secreta acordada previamente con tu familia que solo vosotros conozcáis. Si la persona que llama no puede decir esa palabra, cuélga y llama directamente al número real del familiar. No te dejes llevar por la urgencia emocional de la llamada.
¿Qué es el caller ID spoofing y cómo lo usan los atacantes?
👉 El caller ID spoofing permite falsificar el número que aparece en la pantalla del receptor usando servicios VoIP. El atacante puede hacer que tu pantalla muestre el número oficial de tu banco, de la Agencia Tributaria o de Microsoft. El número en pantalla no es ninguna garantía de identidad: siempre verifica colgando y llamando tú al número oficial desde la web de la entidad.
¿El banco está obligado a devolverme el dinero si fui víctima de vishing?
👉 Bajo la directiva PSD2, el banco tiene la obligación de reembolsar transacciones no autorizadas salvo que demuestre negligencia grave por tu parte. La entrega de un código OTP bajo engaño no siempre se considera negligencia grave. Si el banco deniega el reembolso, puedes reclamar ante el Servicio de Reclamaciones del Banco de España en un plazo de hasta 13 meses desde el cargo.
¿Dónde denunciar un ataque de vishing en España?
👉 Tienes tres vías: llamar al 017 (INCIBE) para orientación gratuita, interponer una denuncia ante la Policía Nacional o la Guardia Civil (presencialmente o por internet), y notificar a la AEPD si tus datos personales han sido usados sin consentimiento. Conserva todas las evidencias: número de llamada, hora exacta, capturas de SMS y cualquier transacción realizada.
¿El 2FA por SMS protege contra el vishing?
👉 Parcialmente. El SMS como segundo factor es vulnerable al vishing porque el atacante puede pedirte el código durante la llamada fraudulenta. Una app autenticadora TOTP (Aegis, Authy, Google Authenticator) es más resistente porque el código no se envía por SMS. Las llaves FIDO2/WebAuthn son la opción más segura porque validan criptográficamente el dominio real y no pueden interceptarse por teléfono. Aprende más en la guía completa de autenticación de dos factores: qué es, tipos y cómo activarla en 2026.
¿Cómo afecta el vishing a empresas y autónomos?
👉 El impacto en empresas es especialmente grave a través del fraude BEC (Business Email Compromise por voz): el atacante suplanta al CEO o a un proveedor para ordenar transferencias urgentes. Las pérdidas medias por incidente BEC superan los 50.000 € en PYMEs. La defensa corporativa combina procedimientos escritos de verificación para cualquier transferencia, formación periódica del equipo y 2FA robusto. Los ataques de ingeniería social en entornos de mensajería empresarial se analizan en la guía de ataques en WhatsApp y Telegram en entornos empresariales: guía completa de protección.
Deja una respuesta