El vishing: cómo los estafadores roban tus datos personales o bancarios con una llamada

El vishing es el protagonista de este nuevo capítulo de 'Delitos en la red'. José Díaz, agente de la Policía Nacional especializado en delitos tecnológicos, lleva años viendo cómo esta amenaza crece y se perfecciona. El policía explica a Mallorcadiario.com cómo funciona el engaño, por qué es tan efectivo y qué podemos hacer para no caer en la trampa.

¿EN QUÉ CONSISTE?

El término vishing nace de la fusión de las palabras inglesas voice (voz) y phishing (suplantación de identidad). Es, en esencia, una estafa que se ejecuta a través de una llamada telefónica. El delincuente se hace pasar por una entidad de confianza —un banco, una empresa de telecomunicaciones, la Seguridad Social, incluso la Policía Nacional— y, mediante técnicas de manipulación psicológica, trata de obtener lo que quiere: datos personales, credenciales bancarias o acceso directo al dispositivo móvil de la víctima.

"Básicamente nos llaman haciéndose pasar por una entidad legítima para, mediante un engaño previo, utilizando ingeniería social, inteligencia artificial, ya sea una de las dos vías, engañarnos y que facilitemos datos personales", explica el agente Díaz. "Con el único objetivo de que los delincuentes obtengan información, dinero o incluso el acceso total a nuestro dispositivo móvil".

La ingeniería social es la base de todo. No hace falta hackear servidores ni vulnerar sistemas de seguridad. Basta con explotar algo mucho más humano: la confianza y el miedo.

LA IA ENTRA EN JUEGO

Si el vishing ya era peligroso antes, la irrupción de la inteligencia artificial lo ha convertido en una amenaza de otro nivel. Los estafadores utilizan hoy herramientas de síntesis de voz capaces de imitar con precisión quirúrgica la entonación y el acento de empleados bancarios reales. En algunos casos, incluso clonan la voz de familiares de la víctima para hacer más creíble el engaño.

El 94 por ciento de las empresas españolas ha sufrido ataques de phishing o vishing, muchos de ellos impulsados por técnicas de deepfake que permiten crear voces sintéticas prácticamente indistinguibles de las reales. La tecnología que antes era privilegio de grandes producciones cinematográficas está hoy al alcance de cualquier organización criminal con recursos.

EL TRUCO DEL NÚMERO FALSO: EL SPOOFING

Uno de los aspectos más inquietantes del vishing moderno es que ver el número correcto en pantalla ya no es garantía de nada. El agente Díaz lo advierte con claridad: "Aunque veamos el número de teléfono de nuestra entidad bancaria en el móvil, no tenemos por qué creer que realmente nos están llamando de nuestro banco".

La técnica se llama spoofing. "Ocultan el número de teléfono real con uno ficticio", detalla el policía. "Puede que veamos en nuestro teléfono que nos llaman de nuestro banco o de alguna entidad legal y realmente están llamando los estafadores". Una ilusión perfecta que tumba la primera línea de defensa del ciudadano: la identificación del llamante.

El caller ID spoofing permite que el número que aparece en pantalla parezca español y legítimo —incluso el de tu propio banco—, cuando en realidad la llamada se origina fuera del país.

MODUS OPERANDI

Las modalidades son múltiples, pero el guion suele seguir un patrón reconocible. El estafador llama a la víctima, generalmente con una excusa alarmante: un cargo sospechoso en la cuenta, una intrusión detectada, un paquete retenido.

Un ejemplo habitual es el siguiente: alguien que dice ser del "departamento de seguridad" de tu banco te alerta de movimientos extraños y te pide que "confirmes" tu identidad facilitando los códigos que te llegan por SMS. Esos códigos son, en realidad, autorizaciones para transferir tu dinero.

En otras ocasiones, el objetivo es más ambicioso. El agente Díaz explica que los delincuentes pueden buscar que la víctima descargue una aplicación en su teléfono bajo el pretexto de instalar un sistema de seguridad. Con esa aplicación, consiguen el control total del dispositivo. Desde ahí, el mundo bancario de la víctima queda expuesto.

Una de las modalidades más utilizadas por las redes criminales es la del "falso empleado":. El estafador contacta telefónicamente con la víctima haciéndose pasar por un gestor del departamento de seguridad de su banco para, tras generar un clima de confianza, informarle falsamente de una intromisión en su cuenta o de cargos fraudulentos.

¿CÓMO PROTEGERSE?

El agente Díaz tiene claro que la prevención es la única vacuna real contra el vishing. Y ofrece una regla de oro: "Tenemos que sospechar siempre que nos pidan celeridad para completar una serie de trámites que no son necesarios hacer en el momento".

La urgencia es la mejor herramienta del estafador. Si una llamada te presiona para actuar ahora mismo, si no te da tiempo a pensar ni a verificar, es una señal de alarma.

La Policía Nacional ha desarrollado además el método LAP como estrategia de prevención: localización (identifica el origen de la llamada), autor (confirma la identidad del que llama antes de dar ningún dato) y propósito (evalúa si la petición tiene sentido lógico).

@policia 👉🏼Con el #MÉTODOLAP podrás coger llamadas de números desconocidos sin miedo 📞 🔹👮🏻‍♂️ #policia #seguridad #llamadas #consejos ♬ sonido original - Policía Nacional