Vishing: qué es, tácticas, ejemplos y cómo evitarlo

  • Identifica señales de vishing: urgencia, petición de códigos y números falsificados.
  • Verifica por canales oficiales y desde otro dispositivo antes de dar cualquier dato.
  • Activa alertas bancarias y usa herramientas de seguridad para detectar fraudes.
  • Si caes, cuelga, cambia claves, bloquea tarjetas y denuncia de inmediato.
Joaquin Romero

10 minutos

qué es el Vishing

El vishing está creciendo porque los timadores han aprendido a explotar el teléfono para ganar tu confianza y sacar datos sensibles en minutos. Una llamada inesperada que dice ser del banco, de tu operadora o de soporte técnico puede acabar vaciando tu cuenta si compartes códigos, contraseñas o instalas software remoto.

Quizá te suene esta escena: te avisan de un pago sospechoso, de un reembolso por error en tu factura o de un virus en tu ordenador. El estafador te apremia con urgencia y te pide validar tu identidad con el CVV, el PIN, un código SMS o que llames a un número que él mismo facilita. Todo ello forma parte de un guion de ingeniería social que busca que no pienses, sino que obedezcas.

¿Qué es el vishing?

Vishing es la contracción de voz y phishing, y describe fraudes que se cometen a través de llamadas o buzones de voz. Su objetivo es que divulgues información confidencial como datos bancarios, contraseñas, códigos de verificación o que realices acciones que favorecen el robo.

A diferencia del phishing clásico por correo y del smishing por SMS, el vishing usa la conversación para persuadirte. Los delincuentes aprovechan tecnologías como VoIP para ocultar su identidad y falsificar el número que ves en pantalla, de modo que parezca local o incluso el de tu banco.

Conoce la estafa del Huevo de Pascua en WhatsApp
Artículo relacionado:
Descubre cómo funciona la estafa del ‘Huevo de Pascua’ en WhatsApp y aprende a proteger tus datos

Detrás hay técnicas depuradas de ingeniería social que apelan a emociones como el miedo, la prisa o la avaricia. El incentivo suele ser económico, ya sea para robar dinero, cometer fraude de identidad o extorsionar, tanto a particulares como a empresas.

Cómo opera un engaño paso a paso

Fase 1, el anzuelo: los vishers preparan el terreno con datos tuyos obtenidos por distintas vías. Pueden venir de campañas previas de phishing, de filtraciones, de redes sociales o de técnicas como el dumpster diving, que consiste en rebuscar documentos con datos en basura física o digital.

Fase 2, la llamada: contactan desde un número falsificado para hacerse pasar por una entidad de confianza, como un banco, una compañía de telefonía, una empresa de reparto o una administración pública. Para ganarse tu credibilidad aportan datos verosímiles, citan movimientos o piden ayuda para resolver un supuesto problema de seguridad.

Fase 3, la solicitud: llega la petición de información o acción crítica. Pueden pedir el CVV, el PIN, códigos de un token o por SMS, o que instales un programa de acceso remoto para resolver una incidencia técnica. Si accedes, facilitas el acceso a tus cuentas o al control de tu dispositivo.

Vishing

Tácticas frecuentes y tecnología que usan

  • Suplantación del identificador de llamadas: el spoofing hace que veas un número que parece legítimo, incluso el de tu banco o de la Agencia Tributaria.
  • VoIP: la telefonía por internet les permite llamar desde cualquier lugar con el mismo número, manteniéndose anónimos y reduciendo el coste de sus campañas.
  • Wardialing: marcado automático de listas completas de números para detectar líneas activas y lanzar llamadas masivas con mensajes grabados.
  • Clonación de voz con IA: con deepvoice pueden imitar a un familiar o a un agente de una empresa, elevando muchísimo el realismo de la llamada.
  • Retención de línea: en ciertos escenarios secuestran tu línea tras colgar para que, si llamas de inmediato a un supuesto número oficial desde el mismo teléfono, la llamada siga en manos del estafador.
  • Mensajes que fuerzan devolución de llamada: dejan un buzón de voz o SMS alarmante con un número para que les llames tú, cerrando su bucle de engaño.

Escenarios habituales de vishing

Empleado del banco: te alertan de un acceso sospechoso o de compras que no has hecho y te piden datos para proteger tu cuenta. La clave del fraude es solicitarte credenciales, CVV o códigos únicos por SMS o de tu token, algo que tu entidad no te pedirá por teléfono. En variantes sofisticadas, presionan para transferir tu dinero a una supuesta cuenta segura.

Técnico informático: te llaman porque han detectado un problema o un virus y ofrecen solucionarlo si instalas un software o pagas un servicio. El programa suele darles control remoto para robar datos, operar tu banca online o instalar malware. También pueden arrancar la estafa con una ventana emergente en el navegador que exhibe un falso aviso de seguridad y un número gratuito.

Comercial de compañía telefónica: dicen que hubo un error en tu factura y te harán una devolución. Te piden tus datos bancarios o tarjetas supuestamente para abonar el importe, cuando tu operadora ya tiene esa información si el reembolso fuera real. Otra variante ofrece sorteos o regalos para sonsacar datos.

Compras y ventas de segunda mano: un supuesto comprador te presiona para agilizar el pago, pero pide datos completos o te empuja a salir de la plataforma segura. Un clásico es enviar una solicitud de cobro por Bizum en lugar de pagarte, logrando que seas tú quien autoriza el pago sin darse cuenta.

Hacienda o Seguridad Social: te avisan de un problema con impuestos o prestaciones y exigen verificación inmediata. La autoridad legítima no amenaza con arrestos ni pide claves por teléfono, ni gestiona incidencias sensibles por llamadas no solicitadas.

Préstamos milagro e inversiones: ofrecen rentabilidades exageradas o liquidar deudas si pagas una tarifa inicial o compartes datos financieros. Si parece demasiado bueno, es que no es cierto; el gancho es la urgencia para que no compruebes nada.

Familiar en apuros: imitan la voz de un ser querido o te llaman con un relato de emergencia pidiendo una transferencia rápida. Con IA pueden sonar convincentes, por eso es vital colgar y verificar por otra vía y con preguntas de control que solo conocéis en familia.

Garantía del coche y servicios varios: llamadas frías sobre coberturas o incidencias inexistentes, a veces con datos reales del vehículo. Buscan que valides identidad y compartas datos de pago en caliente.

Señales de alerta para detectarlo a tiempo

Una llamada totalmente inesperada de una empresa o administración que te pide información sensible es sospechosa por definición. Si no has solicitado tú la gestión, frena, cuelga y valida por tu cuenta con el canal oficial.

La presión y el miedo son su combustible. Si insisten en que todo es urgente, que puedes perder dinero, tener problemas legales o quedarte sin servicio, están intentando que actúes sin pensar. Mantén la calma y no compartas nada.

Te piden que devuelvas la llamada a un número que te ofrecen o que pulses en un enlace que te envían. Nunca sigas esas instrucciones a ciegas; busca tú mismo el teléfono oficial y llama desde otro dispositivo.

Solicitan claves de un solo uso, códigos del token, CVV, PIN, contraseñas o datos completos de tarjeta. Tu banco no pide por teléfono códigos que llegan por SMS ni claves de acceso, y una operadora no necesita tus cuentas para devolverte importes.

Intentan que instales software de acceso remoto o que cedas el control de tu equipo. Dar control a un desconocido equivale a entregar tus datos y tu banca online.

Buenas prácticas para prevenir el vishing

No compartas por teléfono información personal o financiera a raíz de una llamada recibida. Si hay cualquier duda, cuelga y contacta tú con la entidad por sus canales oficiales, usando el número de su web o app y preferiblemente desde otro teléfono.

No llames a números proporcionados en mensajes o locuciones sospechosas. Es preferible iniciar tú la llamada tras comprobar el número legítimo y esperar unos minutos para evitar posibles trucos de retención de línea.

Activa alertas en tus cuentas y tarjetas. Las notificaciones en tiempo real por app o SMS te permiten detectar y frenar operaciones no reconocidas rápidamente.

Evita compras en sitios sin cifrado ni redes wifi públicas cuando introduces datos de pago. En internet, verifica el candado del navegador y el dominio correcto antes de pagar.

Instala y mantén actualizado un buen antivirus y herramientas antispyware. El software de seguridad ayuda a bloquear malware, ventanas emergentes maliciosas y páginas de soporte técnico falso.

Formación y sentido común. Reconocer las tácticas de ingeniería social, como urgencias fingidas, premios y halagos, te da ventaja frente al engaño.

Qué hacer si sospechas que estás siendo víctima

Cuelga de inmediato. No continúes la conversación, no pulses opciones de menús de voz y no contestes a preguntas sí o no.

Agencia de Ciberseguridad canal WhatsApp-0
Artículo relacionado:
Nuevo canal de WhatsApp de la Agencia de Ciberseguridad para alertar sobre fraudes en internet

Cambia claves y bloquea medios de pago si has compartido algún dato. Modifica contraseñas, revoca sesiones y solicita el bloqueo o la sustitución de tarjetas.

Contacta con tu banco y servicios afectados. Informa para que vigilen movimientos, cancelen operaciones y apliquen protocolos antifraude.

Vigila tus cuentas. Revisa durante semanas tus extractos, movimientos y notificaciones, y activa alertas si aún no las tenías.

Escanea tus dispositivos si instalaste algo o hiciste clic en enlaces sospechosos. Un análisis completo puede detectar y eliminar software malicioso.

Denuncia. En España, presenta denuncia ante Policía Nacional, Guardia Civil o en el juzgado, y guarda pruebas como números, grabaciones y capturas. En otros países existen organismos específicos; por ejemplo, en Estados Unidos se reporta a la FTC y al IC3 del FBI.

Advierte a tu entorno. Informar a familiares y compañeros evita que sean el siguiente objetivo y ayuda a cortar cadenas de ingeniería social.

Comparativa rápida: phishing, smishing y vishing

Phishing: llega por correo o mensajería, persigue que hagas clic en enlaces o descargues adjuntos para robar credenciales. Las señales típicas son dominios falsos, faltas y mensajes que urgen a validar la cuenta.

Smishing: variante por SMS con enlaces acortados o teléfonos de contacto. Se camufla como entrega de paquetes, alertas bancarias o premios.

Vishing: la llamada o el buzón de voz son el canal para obtener datos o acciones clave. Eleva la presión psicológica y añade verosimilitud con voces, música corporativa o retención de línea.

Preguntas frecuentes clave sobre el vishing

¿Te puede llamar el banco para pedirte códigos o contraseñas Aunque digan que es por tu seguridad, no. Las entidades no solicitan por teléfono códigos de un solo uso, claves de acceso ni el CVV de tu tarjeta.

¿Cómo verificar si la llamada es real Inicia tú el contacto. Busca el teléfono oficial en la web o app y llama desde otro dispositivo, nunca devuelvas la llamada al número que te dieron.

¿Y si de verdad hay un problema con mi cuenta La entidad te lo confirmará por el canal oficial y te guiará sin pedirte datos sensibles. Activa alertas y revisa movimientos para detectar cualquier cargo extraño.

¿Sirven los identificadores de llamadas Aunque ayudan, no son infalibles. El spoofing permite falsificar números y nombres mostrados, por eso la verificación independiente es imprescindible.

Dibujo de hacker con un móvil.
Artículo relacionado:
¿Cómo saber si te han hackeado el móvil?

Ante cualquier llamada que mezcle urgencia, petición de datos y soluciones milagrosas conviene desconfiar y validar por tu cuenta. Conocer tácticas como la suplantación del número, la clonación de voz con IA, el uso de códigos de un solo uso o el truco de Bizum, junto con hábitos como activar alertas, no llamar a números proporcionados y denunciar, reduce mucho el riesgo y te mantiene un paso por delante. Comparte esta información para que más usuarios conozcan sobre el tema.