Vishing: estafas por voz suplantando a tu banco y a Hacienda

El teléfono suena, en la pantalla aparece el nombre de tu banco y al otro lado una voz seria te avisa de un "movimiento sospechoso" en tu cuenta. Parece todo en orden, pero acabas de entrar en uno de los fraudes telefónicos más efectivos que existen. El vishing combina ingeniería social, urgencia y tecnología de suplantación para vaciar cuentas en cuestión de minutos. En esta guía te explicamos cómo funciona y, sobre todo, cómo cortarlo en seco.

Qué es el vishing

El término vishing viene de la unión de "voice" (voz) y "phishing". Es una estafa que se ejecuta por teléfono, en la que el delincuente se hace pasar por una entidad de confianza (tu banco, Hacienda, el soporte técnico de una gran empresa, la Policía o incluso un familiar) para convencerte de que entregues información sensible o realices una operación que beneficia al atacante.

A diferencia del phishing por correo o SMS, el vishing tiene una ventaja psicológica: la voz humana genera confianza y permite improvisar. El estafador puede responder a tus dudas, fingir empatía, subir el tono de urgencia o pasarte con un "supervisor" para dar credibilidad. Todo está guionizado, pero suena natural.

Por qué el número parece legítimo

Muchas víctimas bajan la guardia porque "salía el número del banco" o el prefijo era nacional. El problema es que el número que ves en la pantalla no es una prueba de identidad fiable.

Mediante una técnica llamada spoofing (suplantación del identificador de llamada), los estafadores manipulan el número que aparece en tu móvil. Pueden hacer que figure el teléfono real de atención al cliente de tu banco, un número que empieza por 900 o incluso un fijo de tu provincia. La tecnología de telefonía actual permite falsear ese dato con facilidad, así que confiar en el número entrante es uno de los errores más caros.

Si recibes una llamada y dudas, puedes comprobar quién te llama antes de dar ningún paso, pero recuerda: un identificador "limpio" no garantiza nada.

Los guiones típicos que debes reconocer

Los ataques de vishing siguen patrones repetidos. Reconocer el guion es media defensa.

Suplantación de tu banco

Es el clásico. El estafador se presenta como el "departamento de seguridad" o el "departamento antifraude" de tu entidad y te alerta de un cargo no reconocido, un intento de acceso desde otro país o una transferencia que "está a punto de salir". El objetivo es generar pánico para que actúes sin pensar.

A continuación, te pedirá "verificar tu identidad" o "bloquear la operación" facilitando datos que jamás deberías dar:

• El PIN completo de tu tarjeta.
• Los códigos OTP o claves de un solo uso que te llegan por SMS o por la app.
• Las claves de acceso a la banca online.
• Que confirmes un Bizum o autorices una transferencia "para anular el cargo fraudulento".

Aquí está el truco: cualquier OTP o confirmación que apruebes durante esa llamada autoriza, en realidad, la operación del estafador. Le estás firmando el robo.

Suplantación de Hacienda

Otra variante muy frecuente. Te llaman diciendo que tienes una "deuda pendiente con la Agencia Tributaria", una "devolución que no se ha podido procesar" o una "inspección" en curso. Te presionan para que pagues de inmediato o facilites datos bancarios para "ingresar la devolución". Hacienda no opera así: no exige pagos urgentes por teléfono ni solicita tus claves bancarias en una llamada.

Falso soporte técnico

Aquí el atacante finge ser de Microsoft, de tu compañía telefónica o de una gran tecnológica. Te dice que tu ordenador "está infectado" o que hay un "problema con tu contrato" y te guía para instalar un programa de control remoto. Una vez dentro de tu equipo, puede acceder a tu banca online mientras tú miras la pantalla sin entender qué ocurre.

Las reglas de oro contra el vishing

Memoriza estas pautas y compártelas con las personas mayores de tu entorno, que son un objetivo habitual:

1. Un banco nunca te pide el PIN, la contraseña completa ni un OTP por teléfono. Ningún empleado legítimo necesita esos datos: él ya tiene acceso a tu cuenta por otros medios. Si alguien te los pide, es una estafa, sin excepciones.
2. La urgencia es el arma del estafador. "Tiene que actuar ahora o perderá su dinero" es una frase diseñada para anular tu juicio. Cuanta más prisa te metan, más debes desconfiar.
3. Cuelga y llama tú. No uses el número que te ha llamado ni el que te dictan. Marca el teléfono oficial que figura en el dorso de tu tarjeta o en la web oficial de la entidad. Así rompes cualquier suplantación.
4. Nunca confirmes Bizums, transferencias ni códigos que no hayas iniciado tú. Si no estás haciendo una compra o un envío en ese momento, no apruebes nada.
5. No instales software ni des control remoto a quien te llama sin que tú lo hayas solicitado.

Tienes más detalle en nuestra guía sobre el vishing y en el artículo sobre qué hacer ante una llamada sospechosa.

Qué hacer si crees que es vishing

Si sospechas durante la llamada o después, actúa con calma pero rápido:

• Cuelga sin dar ningún dato. No te justifiques ni discutas con el interlocutor; simplemente termina la llamada.
• Verifica por el canal oficial. Llama a tu banco al número del dorso de la tarjeta y pregunta si realmente hay alguna incidencia. Casi siempre no la hay.
• Si ya facilitaste datos o aprobaste una operación, contacta de inmediato con tu entidad para bloquear tarjetas y cuentas, y cambia las claves de acceso a tu banca online.
• Revisa tus movimientos de los días siguientes con atención.
• Denuncia los hechos ante la Policía Nacional o la Guardia Civil. Conserva la fecha, la hora y el número desde el que te llamaron.
• Pide ayuda gratuita. El Instituto Nacional de Ciberseguridad (INCIBE) ofrece la Línea de Ayuda en Ciberseguridad 017, disponible para resolver dudas y orientarte si has sido víctima de un fraude. La llamada es gratuita y confidencial.

Convierte la información en protección colectiva

Cada número que un estafador reutiliza deja un rastro. Cuando alguien comparte que un teléfono concreto suplantó a un banco o a Hacienda, advierte a quienes reciban esa misma llamada después. Ahí es donde tu experiencia ayuda a toda la comunidad.

Si has recibido una llamada sospechosa, comprueba el número y reporta el caso en NoCall: consulta nuestro directorio de números spam para ver si otras personas ya lo han denunciado y deja tu aviso para proteger a los demás. Entre todos hacemos que el vishing sea cada vez menos rentable.