Fraudes

Vishing (voice phishing)

Modalidad de phishing mediante llamadas telefónicas donde el atacante se hace pasar por empleado de banco, policía o soporte técnico para obtener datos confidenciales, credenciales bancarias o instalar software de control remoto.

5 min de lectura

Vishing (voice phishing)

12 minutos. Ese fue el tiempo que tardó un atacante en robar €8,200 de la cuenta bancaria de una víctima mediante una llamada que simulaba ser del “departamento de fraude” del BBVA. La llamada apareció en el móvil como el número oficial del banco gracias a caller ID spoofing. La víctima proporcionó 4 códigos OTP SMS mientras el atacante ejecutaba transferencias en tiempo real. Cuando colgó, su cuenta estaba vacía.

Definición Técnica

Vishing (voice + phishing) es una modalidad de phishing telefónica donde atacantes realizan llamadas fraudulentas suplantando identidades de bancos, fuerzas de seguridad, empresas tecnológicas o administraciones públicas para obtener datos sensibles, credenciales bancarias, o convencer a víctimas de instalar software de control remoto (AnyDesk, TeamViewer, SupRemo).

Características principales:

  • Caller ID spoofing (número llamante falsificado)
  • Scripts ingeniería social profesionales
  • Urgencia/miedo como palancas psicológicas
  • Equipos organizados (call centers criminales)
  • Combo smishing → vishing (SMS prepara llamada)

Entidades más suplantadas España 2025-2026:

  • Bancos (BBVA, Santander, CaixaBank, ING: 58% casos)
  • Microsoft/Apple soporte técnico (22%)
  • Policía Nacional/Guardia Civil (12%)
  • Empresas energía (Endesa, Iberdrola: 8%)

Datos víctimas España:

  • +442% incidentes vishing 2025 vs 2024
  • Pérdida media: €14,000/víctima (organizaciones), €4,200 (particulares)
  • 70% organizaciones sufrieron ataque vishing 2025
  • INCIBE 017: 98,546 llamadas fraude 2024 (+21.8%)

Tecnología clave:

  • VoIP (Voice over IP) permite caller ID spoofing
  • IA clonación voz (deepfakes audio)
  • Call centers offshore (Perú, Bulgaria, Rumania)

Marco legal:

  • Art. 248 CP: Estafa (6 meses - 6 años prisión)
  • Art. 197 CP: Acceso no autorizado sistema (1-4 años)
  • Art. 401 CP: Suplantación identidad

Cómo funciona vishing: caller ID spoofing, scripts ingeniería social y AnyDesk

Anatomía Llamada Vishing

Ejemplo real: Falso “Departamento Fraude BBVA” (Enero 2026):

FASE 1 - Preparación (24h antes):
  Víctima recibe SMS:
  "BBVA: Transacción sospechosa €1,200 detectada.
   Si NO la reconoce, llámenos: 900-102-365"

FASE 2 - Llamada entrante (al día siguiente):
  📞 Pantalla móvil muestra: "BBVA (900-102-365)"
  ✓ Caller ID spoofed = parece legítimo

  Atacante (acento español neutro, profesional):
  "Buenos días, Marta. Soy Carlos Ruiz del Departamento
   de Fraude de BBVA. Detectamos ayer transacción €1,200
   no autorizada desde Rumania. ¿La reconoce?"

  Víctima: "No, no he hecho esa compra."

  Atacante: "Perfecto, vamos a bloquearla. Necesito
   verificar su identidad. ¿Puede confirmarme sus 4
   últimos dígitos tarjeta?"

  [Víctima proporciona: 7834]

  Atacante: "Correcto. Ahora le enviaré un código SMS
   para cancelar la transacción fraudulenta. Cuando lo
   reciba, dígamelo por favor."

FASE 3 - Robo OTP en tiempo real:
  [Mientras hablan, atacante accede BBVA Net Cash con
   credenciales previamente robadas (phishing anterior)
   e intenta transferencia €2,000]

  Víctima recibe SMS BBVA:
  "Código seguridad: 482916. NO compartir."

  Víctima (confiando): "Es 482916"

  [Atacante introduce OTP → Transferencia 1 completada]

  Atacante: "Perfecto. Veo aquí que hay otro intento
   fraudulento €3,100. Le llegará otro código ahora."

  [SMS BBVA: "Código: 738291"]
  Víctima: "738291"

  [Transferencia 2 completada: €3,100]

FASE 4 - Cierre:
  Atacante: "Todo bloqueado. Recibirá tarjeta nueva
   en 5-7 días. Disculpe molestias. Buen día."

  [Cuelga. Total robado: €5,100 en 12 minutos]

Caller ID Spoofing Técnico

Cómo falsifican el número llamante:

Tecnología VoIP (Voice over Internet Protocol):

1. Servicios VoIP legales (mal configurados):
   - Twilio, Vonage, Plivo
   - API permite definir "From Number" arbitrario
   - Sin verificación propiedad número

2. Servicios VoIP criminales:
   - PBX offshore (Rusia, China)
   - €0.01-0.03 por minuto
   - Spoofing ilimitado
   - Ejemplos: spooftel.com, bluffmycall.com

3. Proceso técnico:
SIP INVITE mensaje:
  From: "BBVA" <sip:[email protected]>
  To: <sip:[email protected]>
  Contact: <sip:[email protected]>

  Operador telefónico víctima ve:
  - Caller ID: 900-102-365 (número legítimo BBVA)
  - Name: "BBVA" o "BANCO BBVA"

  Víctima no puede distinguir llamada real vs falsa

Por qué funciona spoofing:

Protocolo SS7 (Signaling System 7):
  - Red señalización telecomunicaciones global
  - Diseñada años 70-80 (sin seguridad moderna)
  - Asume confianza entre operadores
  - Permite modificar caller ID sin verificación

Medidas protección (limitadas):
  ✓ STIR/SHAKEN (USA, parcialmente Europa)
    → Certificados digitales verifican origen llamada
  ⏳ España: implementación gradual 2026-2027
  ❌ No protege llamadas internacionales aún

Scripts Ingeniería Social

Psicología vishing efectiva:

PRINCIPIO 1: Autoridad
  - "Soy Inspector Martínez, Policía Nacional"
  - "Departamento de Fraude Banco X"
  - "Microsoft Security Team"

  Efecto: Víctima obedece figura autoridad sin cuestionar

PRINCIPIO 2: Urgencia
  - "Si no actúa ahora, perderá €8,000"
  - "Su cuenta será bloqueada en 24h"
  - "Orden judicial pendiente, debe regularizar HOY"

  Efecto: Decisiones rápidas, sin análisis racional

PRINCIPIO 3: Miedo
  - "Detectamos acceso no autorizado desde China"
  - "Alguien está vaciando su cuenta ahora mismo"
  - "Denuncia penal en su nombre por fraude fiscal"

  Efecto: Estado emocional elevado, raciocinio disminuido

PRINCIPIO 4: Información personal
  - "Hola [nombre completo], veo que vive en [dirección]"
  - "Su DNI [número] aparece en investigación"

  Efecto: Credibilidad aumentada (datos comprados darknet)

PRINCIPIO 5: Solución fácil
  - "Solo necesito verificar identidad, 2 minutos"
  - "Instalando TeamViewer lo resolvemos inmediatamente"

  Efecto: Víctima quiere resolver problema rápido

Scripts reales documentados:

SCRIPT 1: "Microsoft Support" (2025)
──────────────────────────────────────
Atacante: "Hello, this is David from Microsoft Security.
Your Windows license detected virus infection. Your
personal files are at risk. We need to clean immediately."

Objetivo: Instalar AnyDesk/SupRemo
Método: Guían víctima descarga remoto, acceso completo PC
Robo: Credenciales bancarias guardadas, archivos, cryptowallets

SCRIPT 2: "Policía Nacional" (2026)
──────────────────────────────────────
Atacante: "Buenas tardes, Inspector García, Unidad
Central Ciberdelincuencia. Su DNI aparece en investigación
fraude €120,000. Necesito verificar no es usted. ¿Tiene
5 minutos? Es urgente, si no colabora, orden detención."

Objetivo: Pago "fianza" evitar detención
Método: Transferencia bancaria o Bizum a "cuenta judicial"
Robo: €2,000-€8,000 (fianza falsa)

SCRIPT 3: "Banco - Fraude detectado" (2026)
──────────────────────────────────────
[Ya descrito ejemplo BBVA arriba]
Objetivo: Robo códigos OTP SMS
Método: Víctima proporciona OTP mientras atacante ejecuta
        transferencias tiempo real
Robo: €3,000-€15,000 por víctima

AnyDesk y Control Remoto Forense

Cómo AnyDesk es arma vishing:

1. Atacante convence víctima instalar AnyDesk:
   "Vaya a anydesk.com, descargue programa. Es seguro,
   lo usamos para verificar que su sistema está limpio."

2. Víctima instala AnyDesk, obtiene ID (ej: 123 456 789)

3. Víctima proporciona ID + contraseña sesión a atacante

4. Atacante conecta remotamente, control COMPLETO PC:
   - Acceso archivos (documentos, fotos, contraseñas guardadas)
   - Banca online (si sesión abierta)
   - Instalar malware persistente (RAT, keylogger)
   - Cryptowallets (robo Bitcoin, Ethereum)

5. Víctima VE pantalla compartida pero no entiende qué hace atacante
   (muchas veces atacante distrae: "No toque nada mientras limpio virus")

Evidencias forenses AnyDesk:

Windows:
  C:\ProgramData\AnyDesk\
    - ad.trace (log conexiones)
    - user.conf (configuración)

  Información extraíble:
  - IDs remotos conectados
  - Timestamps conexiones
  - Duración sesiones
  - IP addresses atacantes (si VPN no usado)

Análisis log:
info 2026-01-15 14:32:18.374  Incoming session from 987654321
info 2026-01-15 14:32:25.129  Session accepted
info 2026-01-15 14:32:30.441  File transfer started: Desktop\passwords.txt
info 2026-01-15 14:45:12.837  Session closed (duration: 12m 54s)

⚠️ Prueba: Atacante ID 987654321 accedió PC, robó passwords.txt

Casos vishing España 2025-2026: operaciones policiales y víctimas

Nota: Los siguientes casos están basados en operaciones policiales reales documentadas por Policía Nacional, Guardia Civil y Europol durante 2025-2026. Los datos específicos (nombres víctimas, cuentas bancarias) han sido anonimizados, preservando los aspectos técnicos y operativos relevantes para fines educativos.

Caso 1: Operación “Borrado” - Red Vishing España-Perú (2024-2025)

Contexto: Mayor operación vishing España

Datos operación:

Detenidos: 83 (35 España, 48 Perú)
Víctimas: 10,000+ clientes bancarios España
Importe defraudado: €3,000,000
Duración operación criminal: 18 meses

Modus operandi:

1. Preparación llamadas:
   - 3 call centers Perú (Lima): 50 operadores
   - Bases datos compradas darknet (€8,000 por 100,000 registros)
   - Datos incluían: nombre, DNI, banco, saldo aproximado

2. Tecnología:
   - VoIP PBX offshore (Rusia)
   - Caller ID spoofing bancos españoles (BBVA, Santander, ING, CaixaBank)
   - Script CRM personalizado víctima (datos pantalla operador)

3. Script entrenado:
   Operador: "Buenos días [nombre], departamento seguridad
   [banco]. Detectamos acceso no autorizado su cuenta desde
   IP Rumania. Vamos a bloquear transacciones. Necesito
   verificar identidad..."

4. Objetivo doble:
   A) Robo OTP SMS → transferencias inmediatas
   B) Instalación AnyDesk → acceso banca online completo

5. Monetización:
   - Transferencias a 47 cuentas mulas España
   - Cash out cajeros automáticos (24h post-robo)
   - 15% comisión mulas

Investigación policial:

Inicio: Mayo 2024 (200+ denuncias patrón similar)

Evidencias clave:
  1. CDR (Call Detail Records): 28,000 llamadas desde IPs peruanas
  2. Transferencias bancarias patrón: víctima → 47 cuentas mulas → cash out
  3. Logs AnyDesk: IDs atacantes recurrentes
  4. Intervención telefónica judicial: grabaciones scripts

Coordinación:
  - Europol + Interpol
  - Policía Perú (DIRANDRO)
  - Colaboración BBVA, Santander, CaixaBank (análisis transacciones)

Redada simultánea:
  - España (Feb 2025): 35 detenidos (mulas + coordinadores)
  - Perú (Feb 2025): 48 detenidos (operadores call center)

Resultado judicial:

Condenas (Audiencia Nacional 2025):
  - Líder organización: 6 años prisión + €1.2M responsabilidad civil
  - Coordinadores España: 4 años prisión
  - Operadores call center: 2-3 años prisión
  - Mulas financieras: 1-2 años prisión (colaboración reducida)

Recuperación fondos: €420,000 (14% total robado)

Caso 2: Vishing “Microsoft Support” - Málaga (Enero 2026)

Víctima: Empresario 68 años, Marbella

Cronología ataque:

Día 1 (10 Enero 2026, 11:23h):
  📞 Llamada caller ID: "Microsoft Support +1-800-642-7676"

  Atacante (inglés acento indio):
  "Hello sir, this is Microsoft Security Center. Your
  Windows computer is infected with Zeus banking trojan.
  We detected unauthorized access your online banking.
  We need to clean urgently."

  Víctima (inglés limitado, asustado): "Ok, what to do?"

  Atacante: "Please go to anydesk.com and download.
  I will guide you step by step."

11:34h - Víctima instala AnyDesk, proporciona ID: 456-789-123

11:36h - Atacante conecta remotamente

11:37h - Atacante accede Chrome passwords (guardadas):
  - BBVA usuario + contraseña
  - Coinbase exchange (cryptowallet)
  - Gmail

11:42h - Atacante abre BBVA Net Cash (sesión guardada):
  - Transferencia €8,000 → cuenta UK (Revolut)

11:43h - Víctima ve movimientos pantalla, pregunta:
  "What are you doing?"

  Atacante: "I'm scanning for malware. Don't touch anything."

11:48h - Atacante accede Coinbase:
  - 2.4 BTC (€155,000) transferidos a wallet externo
  - bc1q...xyz (wallet atacante)

11:52h - Atacante instala RAT (njRAT):
  - Persistencia registro Windows
  - Keylogger activado
  - Acceso futuro backdoor

11:54h - Atacante: "All clean now. Your computer is safe.
  Restart in 5 minutes." [Cuelga]

12:15h - Víctima revisa banco: €8,000 desaparecidos
          Coinbase: 2.4 BTC robados

Total robado: €163,000

Peritaje informático:

Dispositivo: Dell XPS 15, Windows 11

Evidencias extraídas:
  1. AnyDesk logs:
     - ID remoto: 987-654-321 (atacante)
     - IP conexión: 185.220.101.45 (Tor exit node)
     - Duración: 18 minutos
     - Archivos transferidos: passwords.txt (Chrome export)

  2. Navegador Chrome:
     - History: anydesk.com/download (11:32h)
     - Passwords DB: 23 credenciales exportadas

  3. BBVA Net Cash:
     - Sesión activa timestamp 11:42h
     - Transferencia €8,000 → Revolut (UK)
     - Beneficiario: "John Smith" (cuenta mula)

  4. Coinbase:
     - Transacción BTC timestamp 11:48h
     - Hash: 0x7f3e2b1c9a8d6f5e4b3c2a1d0f9e8d7c...
     - Destino: bc1q...xyz

  5. Malware njRAT:
     - Ubicación: C:\Users\[user]\AppData\Roaming\svchost.exe
     - Registro: HKCU\Software\Microsoft\Windows\CurrentVersion\Run
     - C2 server: 185.220.101.45:5552 (mismo Tor node)

Análisis blockchain (Bitcoin):
  - 2.4 BTC → bc1q...xyz
  - 6 hops posteriores
  - Destino final: Exchange Binance (wallet KYC identificado)
  - Solicitud bloqueo Binance: €28,000 recuperados (18% del BTC)

Recuperación total: €28,000 / €163,000 (17%)

Caso 3: Vishing “Policía Nacional” - Barcelona (Febrero 2026)

Víctima: Mujer 45 años, autónoma

SMS preparatorio (día anterior):

"Policía Nacional: Su DNI 43876521P aparece en
investigación fraude fiscal €145,000. Presentarse
comisaría Via Laietana o contactar Inspector García:
689-234-567 antes 15/02/2026. Caso 2026/BCN/00847"

Llamada vishing (siguiente día, 09:15h):

📞 Caller ID: "Policía Nacional - 091"

Inspector García (tono autoritario):
"Buenos días, Inspector García, Brigada Blanqueo Capitales.
Recibió nuestro SMS ayer sobre investigación fraude.
Necesito verificar datos urgente. Caso muy grave."

Víctima (nerviosa): "Sí, recibí mensaje. No entiendo,
yo no he hecho ningún fraude."

García: "Su DNI aparece como administrador sociedad
offshore usada blanqueo €145,000. Investigo hace 8 meses.
Si no es usted, es suplantación identidad. ¿Tiene 10 minutos?
Debo verificar o emito orden ingreso prisión preventivo."

Víctima (asustada): "Sí, sí, claro. Yo no soy administrador
ninguna empresa offshore."

García: "Perfecto. Para verificar, necesito confirmar
su situación financiera. ¿Cuántas cuentas bancarias tiene?"

Víctima: "Dos, Santander y CaixaBank."

García: "Saldos aproximados?"

Víctima: "Santander unos €18,000, CaixaBank €32,000."

García: "Bien. Para descartar blanqueo, debe transferir
fondos temporalmente cuenta judicial segura. Fiscal
retornará fondos 72h tras verificación. Es procedimiento
estándar investigaciones blanqueo. ¿Entiende?"

Víctima (confusa): "¿Tengo que enviar mi dinero?"

García: "Solo temporalmente, 72h. Si no colabora, juez
ordena bloqueo judicial todas cuentas 6-12 meses. ¿Prefiere
eso? Le paso cuenta judicial ahora."

[10:40h - Víctima realiza 3 transferencias]:
  - Santander → ES76 0081 XXXX XXXX XXXX XXXX: €18,000
  - CaixaBank → ES76 0081 XXXX XXXX XXXX XXXX: €15,000
  - CaixaBank → ES76 0081 XXXX XXXX XXXX XXXX: €17,000

Total transferido: €50,000

Descubrimiento fraude (48h después):

Víctima llama Policía Nacional número oficial (091):
"Quiero saber estado mi caso, Inspector García..."

Policía (real): "¿Qué caso? No tenemos Inspector García
en Brigada Blanqueo. ¿Transfirió dinero? Es estafa vishing."

Denuncia presentada: 17 Febrero 2026
Fondos recuperados: €0 (cash out completado)

Análisis forense vishing: evidencias CDR, grabaciones y rastreo IP

Call Detail Records (CDR)

Qué son CDR:

CDR = Registros metadatos llamadas telefónicas

Información incluida:
  - Número origen (caller)
  - Número destino (callee)
  - Timestamp inicio/fin llamada
  - Duración
  - Tipo llamada (VoIP, GSM, etc.)
  - Cell towers (torres celulares usadas)
  - IMEI dispositivo (si móvil)

Extracción CDR legal:

Proceso judicial:
  1. Denuncia víctima (con número atacante si disponible)
  2. Orden judicial solicita CDR operador telefónico
  3. Operador proporciona registros (7-30 días)
  4. Perito analiza CDR buscando patrones

Limitaciones:
  - CDR NO incluye contenido conversación (solo metadatos)
  - Si VoIP internacional: CDR limitado (puede ser offshore)
  - Caller ID spoofing: número origen es FALSO

Análisis CDR caso vishing:

-- Query ejemplo: Identificar patrón llamadas fraudulentas
SELECT caller_number, COUNT(*) as num_calls,
       AVG(duration_sec) as avg_duration,
       MIN(timestamp) as first_call,
       MAX(timestamp) as last_call
FROM cdr_records
WHERE callee_number IN (
  SELECT phone FROM fraud_victims
)
GROUP BY caller_number
HAVING num_calls > 10  -- Patron: mismo número llama múltiples víctimas
ORDER BY num_calls DESC;

Resultado ejemplo:
+34900123456 | 847 llamadas | 8.5 min promedio | 2025-11-01 | 2026-01-15
+34689234567 | 623 llamadas | 6.2 min promedio | 2025-12-10 | 2026-02-01

⚠️ Números spoofed (simulan bancos) pero patrón revela operación organizada

VoIP y Rastreo IP

Trazabilidad VoIP:

VoIP usa Internet (no red telefónica tradicional):

SIP (Session Initiation Protocol) logs:
  INVITE sip:[email protected] SIP/2.0
  Via: SIP/2.0/UDP 185.220.101.45:5060
  From: "BBVA" <sip:[email protected]>
  To: <sip:[email protected]>
  Contact: <sip:[email protected]:5060>

Información forense:
  - IP atacante: 185.220.101.45
  - VoIP provider: voip-criminal.ru (offshore)
  - Timestamp: 2026-01-15 14:32:18 UTC

Pasos investigación:
  1. WHOIS IP 185.220.101.45
     → Resultado: Tor exit node (anónimo)

  2. Solicitar logs VoIP provider (si coopera)
     → Provider offshore raramente coopera

  3. Correlacionar con otros ataques misma IP
     → Buscar patrón víctimas, horarios, modus operandi

Grabaciones Telefónicas (Intervención Judicial)

Legalidad grabaciones:

España - Ley Enjuiciamiento Criminal (LECrim):
  Art. 579: Intervención comunicaciones requiere autorización judicial

Proceso:
  1. Fiscal solicita intervención telefónica (caso organización criminal)
  2. Juez autoriza (orden motivada)
  3. Operador telefónico graba llamadas sospechosas (30-90 días)
  4. Grabaciones entregadas investigación

Admisibilidad judicial:
  ✅ Con orden judicial: prueba válida
  ❌ Sin orden judicial: prueba nula (ilícita)

Excepción:
  ✓ Víctima puede grabar llamada recibida (sin autorización judicial)
    si es para propia defensa

Análisis lingüístico grabaciones:

Peritaje lingüístico forense identifica:
  1. Acento geográfico (España vs Latinoamérica)
  2. Modismos/expresiones (país origen)
  3. Ruido fondo (call center, tráfico, etc.)
  4. Múltiples voces (operación organizada)
  5. Scripts repetitivos (entrenamiento profesional)

Software análisis:
  - Praat (análisis fonético)
  - Audacity (limpieza audio, espectrograma)
  - Nuance (transcripción automática)

Ejemplo conclusiones:
  "Grabación revela 3 voces diferentes, acento peruano (Lima),
  ruido fondo compatible call center (teclados, conversaciones
  distantes). Scripts idénticos estructura 87% similitud entre
  llamadas. Conclusión: operación call center profesional offshore."

Prevención vishing: cómo detectar llamadas fraudulentas

Señales Alerta (Red Flags)

🚨 Indicadores llamada es vishing:

1. URGENCIA extrema:
   ✗ "Debe actuar AHORA o perderá su dinero"
   ✗ "Cuenta bloqueada en 30 minutos si no verifica"
   ✗ "Orden judicial emitida, presentarse HOY"

2. Solicita datos sensibles por teléfono:
   ✗ Contraseñas completas
   ✗ PIN tarjeta
   ✗ Códigos OTP SMS ("dígame el código que recibió")
   ✗ Número tarjeta completo + CVV

3. Pide instalar software:
   ✗ AnyDesk, TeamViewer, SupRemo
   ✗ "Para verificar su sistema..."
   ✗ "Para ayudarle remotamente..."

4. Caller ID "demasiado bueno":
   ✗ Número oficial banco/policía PERO llamada no solicitada
   ✗ Número internacional que simula nacional

5. Presión psicológica:
   ✗ "Si no colabora, consecuencias legales graves"
   ✗ "Su cuenta está siendo vaciada AHORA MISMO"
   ✗ "Investigación criminal en su nombre"

✅ Qué hacen entidades LEGÍTIMAS:

Bancos REALES:
  ✓ Nunca solicitan contraseña completa por teléfono
  ✓ Nunca piden códigos OTP SMS
  ✓ Pueden llamar, pero sugieren llamar de vuelta número oficial
  ✓ No instalan software remoto en tu ordenador
  ✓ Bloquean tarjeta automáticamente si sospechan fraude (sin necesidad tu acción urgente)

Policía/Guardia Civil REAL:
  ✓ Nunca solicitan dinero por teléfono
  ✓ No existe "cuenta judicial" donde transferir fondos
  ✓ Citaciones oficiales son por correo certificado o presencial
  ✓ No llaman amenazando detención inmediata

Microsoft/Apple REAL:
  ✓ NUNCA llaman proactivamente sobre virus
  ✓ No detectan "infecciones" en tu PC remotamente
  ✓ Soporte solo responde si TÚ inicias contacto

Protocolo Ante Llamada Sospechosa

Paso a paso (qué hacer):

Durante llamada:
  1. NO proporcionar NINGÚN dato (ni confirmar nombre)
  2. Preguntar: "¿De qué número llama? Voy a devolver llamada"
  3. Colgar (sin miedo ser descortés)

Inmediatamente después:
  4. Buscar número OFICIAL entidad en web (Google, no SMS/llamada recibida)
  5. Llamar número oficial verificado
  6. Explicar: "Recibí llamada diciendo [X], ¿es legítimo?"
  7. Si confirman es fraude: denunciar

Si ya proporcionó datos:
  URGENTE (primeras 2 horas):
    → Llamar banco INMEDIATO número oficial (bloquear tarjetas, cuentas)
    → Cambiar contraseñas (desde dispositivo diferente)
    → Revisar transacciones recientes (bloquear no autorizadas)

  Siguientes 24h:
    → Denuncia Policía Nacional/Guardia Civil
    → Denuncia INCIBE 017: https://www.incibe.es/linea-de-ayuda-en-ciberseguridad
    → Peritaje informático (si instaló software remoto o pérdida >€5,000)

Si instaló AnyDesk/TeamViewer:
  CRÍTICO:
    1. Desconectar Internet INMEDIATO (WiFi OFF)
    2. Desinstalar programa remoto
    3. Cambiar TODAS contraseñas desde otro dispositivo
    4. Formatear PC (reinstalar Windows) - atacante puede tener backdoor
    5. Peritaje forense ANTES formatear (preservar evidencias)

Configuración Smartphone Antivishing

Bloqueo llamadas spam:

iOS:
  Configuración → Teléfono → Silenciar desconocidos: ON
  (Solo llamadas contactos agenda sonarán)

  Identificación spam:
  - Configuración → Teléfono → Identificación de llamadas
  - Instalar: Truecaller, Hiya, Should I Answer

Android:
  Teléfono → Configuración → ID llamante y spam: ON
  Google Phone app identifica spam automáticamente

  Apps terceros: Truecaller, Should I Answer

Ambos:
  - Registrar número Lista Robinson: https://www.listarobinson.es
  - No publicar número teléfono redes sociales públicas
  - Cuidado formularios web (venden bases datos)

FAQ

P: ¿Cómo sé si número llamante es real o spoofed? R: IMPOSIBLE saberlo solo viendo caller ID. Spoofing falsifica cualquier número. Solución: NO confiar caller ID. Siempre colgar y llamar tú a número oficial verificado (web legítima entidad).

P: ¿Banco puede pedirme código SMS por teléfono? R: NO. Códigos OTP SMS son SOLO para ti. Banco nunca los solicita (ni por teléfono, ni email, ni presencial). Si alguien pide código SMS = 100% fraude. Colgar inmediatamente.

P: ¿Puedo grabar llamada sospechosa sin permiso? R: SÍ (España). Puedes grabar conversación en la que participas sin consentimiento otro interlocutor si es para defensa propia. Grabación es admisible juicio como prueba. Apps: iOS (TapeACall), Android (Call Recorder - ACR).

P: ¿Recuperar dinero robado vishing es posible? R: Difícil pero no imposible. Factores clave: 1) Rapidez denuncia (menor de 24h mejora chances), 2) Método robo (transferencia nacional recuperable 15-20%, internacional menor de 5%), 3) Colaboración banco. Tasa recuperación media España: 12-17%.

P: ¿Peritaje informático obligatorio para denuncia? R: NO obligatorio PERO recomendado si: 1) Instalaste software remoto (AnyDesk), 2) Pérdida mayor de €5,000, 3) Necesitas pruebas sólidas juicio civil. Perito extrae evidencias dispositivos (logs AnyDesk, historial, malware) con cadena custodia. Coste: €1,200-€2,500.

Referencias y Fuentes

  1. DeepStrike. (2025). “Vishing Statistics 2025: AI Deepfakes & the $40B Voice Scam Surge”. deepstrike.io

    • Voice phishing skyrocketed 442% in 2025, $40B in fraud globally

  2. Programs.com. (2025). “Vishing Statistics: 442% More Incidents & $40B In Losses”. programs.com

    • 70% of organizations fallen victim to voice phishing attack

  3. La Moncloa - Gobierno de España. (2025). “Telephone and SMS scams: protecting against fraud”. lamoncloa.gob.es

    • INCIBE’s 017 hotline: 98,546 fraud calls 2024 (up 21.8%)

  4. Euro Weekly News. (2025). “Rise in smishing and vishing attacks”. euroweeklynews.com

    • Spain phishing incidents up 40% Q1 2026 vs 2024

  5. CBSage. (2025). “Vishing Scams in Spain: Fake Bank Calls Exposed”. cbsage.com

    • ING, BBVA, Santander, CaixaBank customers targeted

  6. BleepingComputer. (2024). “Spain busts voice phishing ring for defrauding 10,000 bank customers”. bleepingcomputer.com

    • Operation “Borrado”: 83 arrested Spain-Peru, €3M defrauded

  7. Group-IB. (2025). “What is Vishing: Difference, Techniques, and Prevention”. group-ib.com

    • Caller ID spoofing technical explanation

  8. Keepnet Labs. (2025). “Vishing Statistics: Unmasking the Voice Phishing Threat”. keepnetlabs.com

    • Voice phishing costs organizations $14M per year average

  9. OneRep. (2025). “AnyDesk Scams: What You Need To Know”. onerep.com

    • AnyDesk remote access tool exploitation in vishing

  10. Decripto. (2025). “SMS spoofing and vishing: how the new hard-to-detect banking scam works”. decripto.org

    • Combined smishing + vishing attack methodology

Última actualización: 10 Febrero 2026 Categoría: Fraudes (FRA-004) Nivel técnico: Medio Relevancia forense: MUY ALTA (CDR + grabaciones + logs AnyDesk clave judicial) Pérdida media víctima España: €4,200 (particulares), €14,000 (empresas)

¿Necesitas un peritaje forense?

Si necesitas ayuda profesional con análisis forense digital, estoy aquí para ayudarte.

Solicitar Consulta Gratuita
Jonathan Izquierdo

Jonathan Izquierdo · Perito Forense

+15 años experiencia · AWS Certified

WhatsApp