El teléfono suena. Una voz amable y profesional te dice que llama del departamento de seguridad de tu banco. Te informa de que han detectado un movimiento sospechoso en tu cuenta y que necesitan verificar tu identidad para bloquearlo. Te piden tu número de tarjeta, el PIN o un código que acaba de llegarte por SMS.
Parece legítimo. El tono es serio, el número que aparece en pantalla puede coincidir con el del banco, y la urgencia de la situación te presiona para actuar rápido. Pero no es tu banco. Es una estafa de vishing, y en 2026 es una de las formas de fraude telefónico más extendidas en España.
A diferencia del phishing por correo o el smishing por SMS, el vishing usa la voz humana para generar confianza y urgencia. Y funciona precisamente porque la mayoría de personas no saben que existe ni cómo detectarlo.
Qué es el vishing y por qué es tan peligroso
El término vishing viene de la combinación de «voice» (voz) y «phishing». Es un tipo de estafa telefónica en la que el delincuente te llama haciéndose pasar por una entidad legítima, generalmente tu banco, aunque también suplantan a la Agencia Tributaria, Correos, Amazon o incluso la Policía Nacional.
El objetivo siempre es el mismo: conseguir que tú, voluntariamente, entregues información confidencial o autorices una transferencia. No necesitan hackear tu cuenta. Te manipulan para que seas tú quien les abra la puerta.
Lo que hace al vishing especialmente peligroso es la combinación de dos elementos muy efectivos: la autoridad (te llama alguien que dice ser de una institución de confianza) y la urgencia (hay un problema grave que debes resolver ahora mismo). Esa combinación desactiva el pensamiento crítico incluso en personas que se consideran precavidas.
Cómo funciona la estafa paso a paso
Los estafadores no improvisan. Antes de llamarte ya tienen información sobre ti: tu nombre, tu número de teléfono y el banco con el que operas, obtenidos a través de filtraciones de datos, redes sociales o bases de datos compradas en foros ilegales. Ese conocimiento previo hace que la conversación parezca mucho más creíble desde el primer momento.
La llamada suele seguir un patrón muy reconocible. Primero te presentan una situación de alarma: han detectado un cargo sospechoso, alguien intenta acceder a tu cuenta desde otro país, o hay una transferencia no autorizada en proceso. El objetivo es generarte miedo para que bajes la guardia.
Después viene la solicitud de verificación. Te dicen que para protegerte necesitan confirmar tu identidad y piden el número de tu tarjeta, la fecha de caducidad, el CVV, tu PIN, o el código de verificación que acabas de recibir por SMS. Ese código SMS es especialmente valioso para ellos porque es el segundo factor de autenticación que necesitan para completar una operación fraudulenta que ya han iniciado en paralelo mientras hablan contigo.
En los casos más sofisticados, el estafador no pide datos directamente sino que te indica que para cancelar el cargo debes hacer una transferencia a una «cuenta segura» que ellos controlan, prometiendo que el dinero volverá a tu cuenta en cuanto se resuelva la incidencia.
Por qué el número en pantalla puede parecer el de tu banco
Una de las razones por las que el vishing resulta tan convincente es el spoofing de llamadas. Los estafadores utilizan herramientas que permiten falsificar el número que aparece en tu móvil. Así, cuando te llaman, puedes ver el número oficial de atención al cliente de tu banco, el mismo que aparece en tu tarjeta o en la web.
Esto es fundamental entenderlo: que el número en pantalla coincida con el de tu banco no garantiza en absoluto que la llamada sea legítima.
Ningún banco llamará jamás para pedirte tu PIN, el CVV de tu tarjeta o un código de verificación SMS. Eso no existe en los protocolos de seguridad de ninguna entidad financiera española. Si alguien te pide esos datos por teléfono, es una estafa de vishing independientemente del número que aparezca en pantalla.
Las suplantaciones más habituales en España en 2026
Además de los bancos, en España se registran con frecuencia llamadas que suplantan a otras entidades conocidas. La Agencia Tributaria es una de las más utilizadas, especialmente en época de declaración de la renta, con mensajes sobre devoluciones pendientes o deudas que hay que regularizar de inmediato.
Correos y empresas de mensajería como DHL o UPS también son habituales, con llamadas que informan de un paquete retenido que requiere el pago de una tasa o la confirmación de datos personales. Amazon y otras plataformas de comercio electrónico se suplantan con alertas de cargos no autorizados que requieren verificación inmediata.
En los últimos meses han aumentado también las llamadas que suplantan a la Policía Nacional, informando de que los datos del usuario han sido utilizados en actividades fraudulentas y que deben colaborar facilitando información para resolver el caso. Este tipo de vishing es especialmente agresivo porque usa el miedo a consecuencias legales como herramienta de presión.
Señales claras de que estás ante una estafa de vishing
Conocer los patrones del vishing es la mejor protección. Hay varias señales que deben activar tu alerta de forma inmediata.
La urgencia extrema es la señal más clara. Si quien te llama insiste en que debes actuar ahora mismo, que no hay tiempo para verificar nada y que cualquier demora agravará el problema, es una técnica de presión deliberada. Las entidades legítimas nunca actúan así.
La solicitud de información confidencial es otra señal inequívoca. Tu banco, Hacienda o cualquier institución legítima nunca te pedirá por teléfono tu PIN, el código CVV, una contraseña completa o un código de verificación SMS. Si alguien te pide cualquiera de esos datos, cuelga sin más explicaciones.
La instrucción de no comentarlo con nadie también es muy habitual. Te dicen que es una investigación en curso y que no debes hablar con otros empleados del banco ni con familiares. Te aíslan para que no tengas a nadie que te ayude a razonar con calma.
Cualquier llamada que te pida hacer una transferencia a otra cuenta por motivos de seguridad es una estafa sin excepciones. Ningún banco del mundo usa ese procedimiento.
Qué hacer si recibes una llamada sospechosa
Lo más importante es no actuar bajo presión. Si recibes una llamada que te genera dudas, tienes todo el derecho a decir que necesitas verificar la situación antes de hacer nada. Un representante legítimo lo entenderá sin problema. Un estafador intentará convencerte de que no hay tiempo.
Cuelga y llama tú directamente a tu banco usando el número oficial que aparece en el reverso de tu tarjeta o en la web oficial de la entidad, nunca devolviendo la llamada al número desde el que te han contactado. Cuando hables con tu banco, explícales lo ocurrido y pregunta si hay alguna incidencia real en tu cuenta.
Si ya has facilitado datos confidenciales, actúa de inmediato: llama a tu banco para bloquear la tarjeta, revisa los movimientos recientes, cambia tus contraseñas de banca online y activa alertas de movimientos si aún no las tienes. Después denuncia lo ocurrido ante la Policía Nacional, de forma presencial o a través de su sede electrónica.
También puedes reportar el número fraudulento al Instituto Nacional de Ciberseguridad, que mantiene un registro de números utilizados en campañas de fraude telefónico en España. Puedes hacerlo directamente en incibe.es.
Cómo protegerte para que no vuelva a ocurrir
La mejor defensa es interiorizar las reglas que nunca cambian: tu banco nunca te pedirá por teléfono tu PIN, tu CVV ni ningún código de verificación SMS. Hacienda nunca te llamará para pedirte datos bancarios. La Policía no te pedirá transferencias de dinero por teléfono. Cualquier llamada que contradiga estas reglas es una estafa, sin excepciones y sin importar lo convincente que suene.
Configura alertas de movimientos en tu aplicación bancaria. Así, si alguien intenta hacer una operación con tus datos, recibirás una notificación inmediata antes de que se complete.
Desconfía por defecto de cualquier llamada entrante que no hayas solicitado tú, especialmente si el tema es urgente y sensible. Colgar y verificar por tu cuenta no es descortés. Es exactamente lo que debes hacer.
Si quieres saber más sobre cómo proteger tu cuenta bancaria, puedes leer nuestra guía completa para proteger tu banca online. Y si quieres entender cómo los estafadores te manipulan psicológicamente, te lo explicamos en nuestro artículo sobre los trucos psicológicos que usan los ciberdelincuentes.
Preguntas frecuentes sobre el vishing
¿Puede mi banco llamarme de verdad? Sí, tu banco puede llamarte. La diferencia es que una llamada legítima nunca te pedirá tu PIN, CVV ni códigos de verificación SMS. Si la llamada incluye esa solicitud, es vishing.
¿El número falso en pantalla es suficiente para detectar la estafa? No puedes fiarte del número en pantalla. Los estafadores pueden falsificarlo fácilmente con técnicas de spoofing. Siempre verifica colgando y llamando tú directamente al número oficial.
¿Qué hago si ya di mis datos? Llama a tu banco de inmediato para bloquear la tarjeta y revisar movimientos. Cambia tus contraseñas de banca online. Denuncia ante la Policía Nacional. Cuanto antes actúes, más posibilidades tienes de limitar el daño.
¿Puedo recuperar el dinero si me han estafado por vishing? Depende del tipo de operación y de la rapidez con la que lo reportes. Tu banco tiene la obligación de investigar el caso. En cualquier caso, la denuncia policial es imprescindible para cualquier reclamación posterior.
¿Es ilegal falsificar el número de teléfono? Sí. El spoofing de llamadas con fines fraudulentos es un delito en España. Sin embargo, los estafadores suelen operar desde el extranjero, lo que complica su persecución.
Este contenido es informativo y no sustituye el asesoramiento profesional en materia legal o de seguridad digital.
✍️ Artículo elaborado por el Equipo NexoDigital
