GUÍA DE ESTAFAS POR LLAMADA Y VOZ

Estafas por llamada y voz (vishing): la guía completa 2026

Todas las grandes estafas telefónicas en un mismo sitio: la llamada del falso equipo de fraude del banco que te pide pasar el dinero a una "cuenta segura", las amenazas de Hacienda y la policía, el soporte técnico falso de Microsoft, los clones de voz de tu propia familia con IA, el robo del código OTP y los robocalls. Cómo funciona cada una, la única regla que las derrota todas y exactamente dónde denunciar según tu zona.

SB

Equipo SafeBrowz Investigación de seguridad7 de junio de 202612 min de lectura

Por qué las estafas telefónicas empeoran en 2026

El fraude por voz ya no es la torpe llamada automática de hace una década. El Centro de Denuncias de Delitos en Internet del FBI (IC3) registró en su informe anual de 2024 más de 16.000 millones de dólares en pérdidas declaradas por delitos en línea, y la suplantación de organismos, el falso soporte técnico y el fraude de centros de llamadas figuran entre las categorías que más crecen. En España, el panorama es paralelo: el INCIBE gestiona cada año cientos de miles de incidentes a través de su línea de ayuda, y la suplantación telefónica de bancos y administraciones es una de las quejas más repetidas.

Dos fuerzas lo han agravado. La primera, que la suplantación del identificador de llamadas (el "spoofing") es prácticamente gratis. El número que aparece en tu pantalla es solo un dato que envía quien llama; falsificar el número publicado de tu propio banco o un prefijo "de tu zona" cuesta segundos. La segunda, que la clonación de voz con IA cruzó el umbral del consumo masivo. Bastan unos segundos de audio para clonar una voz reconocible, y las firmas que analizan tráfico de voz informaron de fuertes subidas de llamadas con voz sintética durante 2024 y 2025. A escala mundial se realizan miles de millones de llamadas no deseadas y fraudulentas cada mes.

La buena noticia: casi todo se viene abajo ante un solo comportamiento, la verificación independiente. El resto de esta guía desglosa cada tipo de llamada para que la reconozcas en cuanto empiece.

La llamada del "pase su dinero a una cuenta segura"

Es el mayor motor de pérdidas del fraude telefónico, y la más convincente. Quien llama dice ser del departamento de fraude de tu banco. Ya conoce tu nombre, a veces tus últimos movimientos, y llama desde un número que coincide con la línea real publicada de tu banco porque está suplantado. El guión: "Hemos detectado un fraude en su cuenta. Para proteger su dinero, necesitamos que traslade su saldo a una nueva cuenta segura a su nombre mientras aseguramos la antigua".

No existe tal cosa como una "cuenta segura". La "cuenta segura" es la cuenta del delincuente. Como eres tú quien hace la transferencia, muchas operaciones se completan al instante y de forma irreversible, y por eso este patrón es de los que más dinero mueve. En España suele combinarse con un Bizum o una transferencia inmediata, donde recuperar el dinero después es muy difícil.

Lo que lo hace cuajar es la apariencia de legitimidad. Quien llama puede decirte que cuelgues y marques el número de tu tarjeta para "confirmar", y luego mantener la línea abierta para que, al rellamar, vuelvas a dar con el mismo estafador. En fijos antiguos una llamada podía quedarse abierta un rato; en el móvil, basta con esperar un minuto entero o usar un segundo teléfono antes de devolver la llamada.

Las señales: cualquier petición de mover dinero, cualquier "cuenta segura", cualquier instrucción de no colgar mientras haces algo y cualquier presión para actuar antes de poder pensar. Un equipo de fraude real bloquea la tarjeta y te deja llamar de vuelta a tu ritmo.

Suplantación de organismos: Hacienda, Seguridad Social, policía

Estas llamadas funcionan con el miedo, no con la codicia. Una voz grabada o en directo dice ser de la Agencia Tributaria (Hacienda), de la Seguridad Social, de la Policía Nacional o de la Guardia Civil. El mensaje es una amenaza: hay una orden de detención a tu nombre, tu número de la Seguridad Social está "suspendido" por actividad sospechosa, debes impuestos atrasados que hay que pagar hoy, o te enfrentas a una sanción que tienes que abonar de inmediato.

La exigencia de pago es la prueba definitiva. Los organismos reales no cobran deudas por teléfono con tarjetas de regalo, transferencias urgentes, criptomonedas ni apps de pago. Hacienda y la Seguridad Social inician casi siempre el contacto por escrito y por sus canales oficiales; nunca exigen un pago inmediato por teléfono ni amenazan con una detención en línea. No hay ningún organismo público que acepte tarjetas de regalo de Apple, Google Play o Amazon como forma de pago.

• "Hay una orden de detención a su nombre", anunciada por teléfono y no por un agente en tu puerta.
• "Su número de la Seguridad Social ha sido suspendido". Los números no se suspenden.
• Exigencia de pago en tarjetas de regalo, cripto, transferencia o una app de pago.
• Instrucción de no colgar y de no contárselo a nadie, ni a tu familia ni a tu banco.
• Un identificador suplantado que muestra el nombre o el número real del organismo.

Cuelga. Si de verdad quieres comprobarlo, busca tú mismo el número del organismo y llama. En España, ante una llamada de este tipo puedes pedir orientación al INCIBE en la línea 017 y consultar las guías de la OSI en osi.es.

Soporte técnico falso: el "su dispositivo está infectado" de Microsoft y Apple

Esta suele empezar en la pantalla y luego salta al teléfono. Una ventana emergente a pantalla completa, a veces con una alarma sonora, avisa de que tu equipo está infectado y bloqueado, y te dice que llames de inmediato a un número de "soporte de Microsoft" o "soporte de Apple". Otras veces la llamada llega en frío, con un "técnico de soporte de Windows" que asegura que tu equipo está enviando informes de error.

El objetivo es el acceso remoto. Te piden instalar una herramienta de control remoto, como una app de soporte legítima, y la usan para "enseñarte" infecciones falsas (el Visor de eventos de Windows siempre muestra avisos inofensivos que ellos hacen pasar por virus). A partir de ahí, o te cobran una "reparación", o roban claves de banca mientras están conectados, o te engañan para que entres en tu banco y vaciarlo. Microsoft es tajante: nunca incluye un número de teléfono en sus avisos de seguridad ni hace llamadas no solicitadas sobre tu equipo. Apple dice lo mismo de sus alertas.

Las señales: un número de teléfono dentro de un aviso de seguridad (los reales nunca lo llevan), una llamada no solicitada sobre tu ordenador y cualquier petición de instalar software de acceso remoto o de "no desconectar" mientras entras en algo. La solución es simple: nunca llames a un número que aparece en una ventana emergente y nunca dejes que un desconocido controle tu pantalla. Si te interesa el contexto más amplio, consulta nuestra guía sobre el phishing generado con IA.

Clonación de voz con IA: emergencia familiar y fraude al CEO

Es la categoría que más rápido crece, y la más cruel en lo emocional. Con unos segundos de audio sacados de un vídeo en redes, un mensaje de voz o un pódcast, un modelo generativo produce un clon convincente de la voz de una persona concreta. Las firmas del sector señalaron el fraude con voz sintética como una de las amenazas que definieron 2024 y 2025.

Hay dos variantes principales. La primera es la estafa de la emergencia familiar: recibes una llamada entre sollozos con la voz de tu hijo, tu nieto o un familiar diciendo que ha tenido un accidente o lo han detenido y que necesita dinero para una fianza o el abogado ahora mismo, "por favor, no se lo digas a mamá". La voz clonada, más el pánico, más el secreto, son el truco completo. En España y Latinoamérica esta estafa se mezcla a menudo con el clásico "secuestro virtual", en el que fingen tener retenido a un familiar.

La segunda es el fraude al CEO o fraude financiero: una voz clonada de un directivo llama a alguien de finanzas y autoriza una transferencia urgente, a veces respaldando un correo. Es la versión por voz del fraude del correo corporativo, una de las categorías de fraude más costosas para las empresas.

La defensa es una palabra clave familiar. Acuerda con tu familia y tus compañeros de confianza una palabra o una pregunta privada que no esté en ningún perfil de redes. Si llega una llamada de "emergencia", pide la palabra clave. Un clon no puede dártela. Otras señales: urgencia extrema, exigencia de secreto, petición de transferir dinero o comprar tarjetas de regalo, y una llamada desde un número desconocido o oculto cuando dice ser alguien que conoces. Cuelga y llama tú a esa persona a su número de siempre. Tenemos análisis a fondo del vishing con clonación de voz por IA y de la falsa detención con voz clonada.

Robo del OTP y el 2FA: "dígame el código de 6 dígitos que le acabamos de enviar"

Un código de un solo uso (OTP) es el último cerrojo de tu cuenta. Los estafadores lo saben, así que todo el guión existe para que se lo leas en voz alta. Quien llama se hace pasar por tu banco, una empresa de mensajería o un marketplace y dice que necesita "verificar tu identidad" o "confirmar que eres tú", así que te enviará un código y tú solo se lo lees de vuelta.

Lo que en realidad pasó: el atacante ya tiene tu usuario y tu contraseña (de una filtración o de una página de phishing) y está iniciando sesión justo ahora. Ese inicio dispara un código real a tu teléfono. Cuando lo dictas, le entregas la última llave y se queda con la cuenta, a menudo dejándote fuera. Es también el movimiento central en los montajes de SIM swap y en el robo de cuentas.

• Cualquiera que te pida dictar un código está cometiendo un fraude. Los códigos son para teclearlos tú, nunca para decirlos.
• El propio mensaje suele advertirlo: "no compartas este código con nadie, ni siquiera con personal del banco".
• Las llamadas de verificación reales no necesitan que dictes un código que recibiste; verifican de otras maneras.
• La prisa por que lo leas rápido "antes de que caduque" es la señal.

Nunca dictes un código a nadie por teléfono, punto. Si ya lo hiciste, cambia la contraseña y bloquea la cuenta de inmediato. Para entender cómo conecta esto con el secuestro de tu número, lee nuestra guía sobre el robo de WhatsApp con el código de 6 dígitos y la del 2FA por app frente al SMS.

Robocalls, pulse 1, wangiri de un toque y suplantación de prefijo local

Algunas estafas telefónicas van de volumen: criban víctimas a gran escala antes de que intervenga una persona.

• Robocalls y "pulse 1". Una voz automática ("su garantía está a punto de caducar", "para hablar con un agente, pulse 1") deriva a un estafador en directo a quien responde. Pulsar cualquier tecla, o incluso decir "sí", confirma que tu número está activo y te trae más llamadas.
• Wangiri (la llamada de un toque). Tu teléfono suena una sola vez desde un número desconocido, a menudo internacional, y cuelga. La curiosidad te hace devolver la llamada, y ese número es una línea de tarificación especial que te cobra por minuto mientras te entretiene. Nunca devuelvas la llamada a un número de un solo toque que no reconozcas.
• Suplantación de prefijo local. Quien llama falsea un número con tu mismo prefijo para que parezca local y de confianza. Es la misma estafa de siempre, solo que con un disfraz más creíble.

La regla general: no entres al trapo. No pulses ninguna tecla, no digas "sí" y no devuelvas la llamada a números desconocidos de un solo toque. Deja que las llamadas desconocidas salten al buzón de voz; quien llama de verdad deja un mensaje. En España puedes pedir a la línea de atención de tu operadora que bloquee llamadas spam, y muchas operadoras ofrecen ya un servicio de filtrado de llamadas comerciales no deseadas.

Las defensas que de verdad funcionan

Quitando las variantes, el mismo puñado de hábitos derrota todas las llamadas de arriba.

• Cuelga y llama tú al número oficial. Usa el del dorso de tu tarjeta, el de un extracto o el de la web del organismo que tecleas tú mismo. Nunca el que te da quien llama, ni el que muestra el identificador.
• Trata el identificador como algo sin valor. Se falsifica en segundos. Un nombre "verificado" de banco u organismo en tu pantalla no es ninguna verificación.
• Nunca dictes un código de un solo uso. Los códigos los tecleas tú, nunca se los dices a nadie, ni siquiera a quien dice ser de tu banco.
• Acuerda una palabra clave familiar. Es la mejor defensa contra los clones de voz. Elige algo privado que nunca hayas publicado en internet.
• Conoce lo que las instituciones reales nunca hacen. Ningún banco ni organismo real te pide mover dinero a una "cuenta segura", pagar con tarjetas de regalo o cripto, instalar software remoto, ni guardar una llamada en secreto de tu familia.
• Baja el ritmo. La urgencia es el arma. Cualquier asunto legítimo sobrevive a una pausa de cinco minutos y a una llamada de vuelta independiente.
• Deja las llamadas desconocidas al buzón de voz. Quien llama de verdad deja mensaje; la mayoría de los estafadores no.

Si ya diste información o enviaste dinero, no te quedes paralizado por la vergüenza, actúa rápido. Sigue los pasos de recuperación de me han estafado, qué hago ahora, y después llama a la línea de fraude de tu banco y a la autoridad de denuncia de tu zona, que tienes abajo.

Cómo denunciar una estafa telefónica, por zona

En el momento parece inútil denunciar, pero es así como las autoridades mapean y desmantelan los centros de llamadas fraudulentos. Denuncia aunque no hayas perdido nada.

• España, ayuda y orientación: el INCIBE atiende gratis en la línea 017, su servicio de ayuda en ciberseguridad, y la Oficina de Seguridad del Internauta (OSI) publica guías en osi.es. El portal del INCIBE está en incibe.es.
• España, denuncia formal: presenta denuncia ante la Policía Nacional o ante el Grupo de Delitos Telemáticos de la Guardia Civil, en comisaría o cuartel. Avisa también a tu banco, y pide a la línea de tu operadora que bloquee las llamadas spam.
• México: la CONDUSEF, en condusef.gob.mx, para conflictos con bancos y entidades financieras; la Policía Cibernética de la Guardia Nacional para el delito, y la PROFECO para el telemarketing abusivo (existe el Registro Público para Evitar Publicidad, REPEP).
• Colombia: el CAI Virtual de la Policía Nacional, en caivirtual.policia.gov.co, recoge denuncias de delitos informáticos.
• Argentina y resto de la región: denuncia ante el Ministerio Público Fiscal o la fiscalía competente, y avisa primero a tu banco para intentar frenar o retroceder cualquier pago.

Si salió dinero de tu cuenta, llama primero a la línea de fraude de tu banco, de inmediato, y luego presenta la denuncia. La rapidez da la mejor opción de un bloqueo o una retrocesión.

Cómo SafeBrowz bloquea esta amenaza

SafeBrowz no puede contestar tu teléfono, pero casi todas las estafas de voz dejan un rastro digital: un SMS de seguimiento con un enlace de "acceso seguro", una ventana emergente con un número de soporte falso, una página de phishing donde quien llama te dicta los datos a introducir. Ahí es donde entra SafeBrowz, con un motor de detección de 3 capas: Local + APIs + IA.

• Capa 1 - Detección local: más de 60 patrones de URL, una base de datos de firmas de más de 550 marcas (incluidas variantes de homógrafos en cirílico y Punycode) y una lista comunitaria de permitidos y bloqueados, todo dentro de la extensión antes de que la página se renderice. Detecta al instante dominios parecidos de bancos, Hacienda y falso soporte en cuanto un SMS o una ventana emergente intenta abrirlos.
• Capa 2 - Comprobaciones por API: agrega feeds de inteligencia de amenazas (Google Safe Browsing, PhishTank, URLhaus) más más de 30 heurísticas de TLD de estafa para los dominios ya conocidos como maliciosos que se usan tras una llamada de vishing.
• Capa 3 - Análisis profundo con IA (Premium): el análisis de contenido en más de 100 idiomas detecta variantes nuevas en segundos, incluidas páginas falsas de banco y de soporte recién registradas que aún no están en ninguna lista de bloqueo.

Las firmas de detección provienen de investigación de inteligencia de amenazas y de nuestra base de datos interna de marcas, no de los datos de navegación de los usuarios. SafeBrowz no almacena el historial de navegación por usuario.

Preguntas frecuentes

¿Cómo sé si una llamada es de verdad de mi banco?

No puedes saberlo por la llamada en sí, y tampoco lo necesitas. El identificador se puede falsear para mostrar el número real de tu banco, y un estafador puede conocer tu nombre y tus últimos movimientos. La única comprobación fiable es colgar y llamar tú al número impreso en el dorso de tu tarjeta o en tu extracto. Espera un minuto o usa otro teléfono primero, para que la llamada original se haya desconectado del todo. Un equipo de fraude real está encantado de que llames de vuelta; un estafador te presiona para que no cuelgues.

¿Mi banco o un organismo público me pediría alguna vez mover el dinero a una cuenta segura?

No. No existe tal cosa como una "cuenta segura", y ningún banco ni organismo público legítimo te pedirá nunca trasladar tu dinero a otro sitio "para protegerlo". Esa petición es, por sí sola, prueba de fraude. Un banco real bloquea o cancela la tarjeta afectada y deja tu dinero donde está. Quien te dice que lo muevas está intentando moverlo hacia él.

¿Por qué no debo dictar nunca un código de un solo uso (OTP)?

Un código de un solo uso es la última comprobación de seguridad de tu cuenta. Cuando alguien llama pidiéndote que se lo leas, casi siempre está iniciando sesión en tu cuenta en ese momento, que es lo que disparó el envío del código a tu teléfono. Al leerlo en voz alta le entregas la última llave y se queda con la cuenta. Los códigos están pensados para teclearlos tú en la app o el sitio, nunca para decírselos a nadie, ni siquiera a quien dice ser de tu banco.

¿Cómo distingo si quien llama usa un clon de voz de mi familia con IA?

A menudo no puedes distinguirlo de oído, y ese es el peligro. Bastan unos segundos de audio para clonar una voz reconocible. La defensa fiable es una palabra clave familiar: una palabra o pregunta privada acordada de antemano y nunca publicada en internet. Si llega una llamada de emergencia de un "familiar", pide la palabra clave; un clon no puede dártela. Otras señales de alarma son la urgencia extrema, la exigencia de secreto ("no se lo digas a mamá"), la petición de transferir dinero o comprar tarjetas de regalo, y que la llamada venga de un número desconocido. Cuelga y llama tú a esa persona a su número de siempre.

Pulsé una tecla o dije "sí" en un robocall. ¿Es peligroso?

Pulsar una tecla o responder a una pregunta le confirma al sistema que tu número está activo y que interactúas, lo que suele traer más llamadas de estafa, no menos. Por sí solo no vacía tu cuenta bancaria, así que no entres en pánico. El riesgo llega después, si un estafador en directo te convence de compartir datos de tarjeta, códigos o pagos. De cara al futuro, no pulses teclas ni respondas a los robocalls; simplemente cuelga. Si la llamada te llevó a compartir información financiera, trátalo como un incidente real y contacta con tu banco.

¿Qué hago justo después de una llamada fraudulenta si les di algo?

Actúa rápido. Si compartiste un número de tarjeta, una contraseña o un código de un solo uso, llama de inmediato a la línea de fraude de tu banco para bloquear la tarjeta y la cuenta, y luego cambia esa contraseña y cualquier otra que reutilizaras. Si enviaste dinero, llama al banco enseguida para intentar un bloqueo o una retrocesión; la velocidad lo es todo. Después denúncialo: en España, pide ayuda al INCIBE en la línea 017 y a la OSI en osi.es, y pon denuncia ante la Policía Nacional o la Guardia Civil; en México, ante la CONDUSEF en condusef.gob.mx. Nuestra guía de recuperación recorre cada paso en orden.