FraudeDigital // expediente: vishing clase: guía dual · público + técnico
Capa de Voz · Ingeniería Social Telefónica

Vishing: cuando el estafador llama a tu puerta

Para todos: cómo detectar una llamada fraudulenta aunque el número parezca legítimo. Para profesionales: spoofing de Caller ID y medidas de mitigación.

Miguel Ángel Carriazo 18 junio 2026 3 min de lectura
← Volver al Panel de Control
01 // Para todos Público general

¿Qué es el vishing y cómo funciona?

Vishing es la combinación de "voice" (voz) y "phishing". Es una estafa telefónica donde el delincuente suplanta la identidad de una entidad de confianza (tu banco, Hacienda, una empresa de mensajería) para robarte datos personales o dinero.

Lo más peligroso es que pueden hacer que tu teléfono muestre el número real de tu banco. Esto se llama spoofing y es técnicamente sencillo de ejecutar.

📌 Ejemplo real que te puede pasar mañana:

Recibes una llamada de "tu banco". El número que ves en la pantalla es exactamente el de tu sucursal. Te dicen que han detectado un cargo sospechoso y que necesitan que confirmes tu identidad con un código que te van a enviar por SMS. En realidad, ese código es la autorización de una transferencia que ellos mismos están iniciando. Les das el código y vacían tu cuenta.

¿Cómo detectas una llamada falsa? 3 señales de alarma:

  • Te piden información confidencial: Tu banco nunca te va a pedir contraseñas, códigos de SMS o números de tarjeta por teléfono.
  • Te generan urgencia: "Si no actúa ahora, su cuenta será bloqueada". Es la táctica clásica para que no pienses con claridad.
  • Te piden que les leas un código SMS: Eso es la confirmación de una operación que ellos están haciendo en ese momento. Nunca lo hagas.
✅ Regla de oro: Si te llaman y te piden algo urgente, cuelga y llama tú al número oficial de tu banco (el que viene en tu tarjeta o en su web). Ellos te confirmarán si era real o no.
02 // Para todos Qué hacer si ya caíste

Y si ya di datos por teléfono... ¿qué hago?

Si has dado información confidencial en una llamada, actúa rápido. El estafador ya tiene lo que necesita.

  1. Contacta inmediatamente con tu banco (llama al número oficial, no al que te llamó) y bloquea tus tarjetas/cuentas.
  2. Cambia todas tus contraseñas de servicios bancarios y de correo electrónico.
  3. Revisa tus movimientos bancarios en tiempo real y notifica cualquier cargo no reconocido.
  4. Denuncia a la Policía Nacional o Guardia Civil. Guarda el número desde el que te llamaron (aunque pueda ser falso) y la hora.

Y recuerda: ninguna entidad legítima te va a pedir códigos SMS o contraseñas por teléfono. Esa es la línea roja.

⚙️ A PARTIR DE AQUÍ · PARA ADMINISTRADORES Y TÉCNICOS ⚙️
03 // Para técnicos Caller ID Spoofing · VoIP

Mecánica del spoofing telefónico

El Caller ID Spoofing aprovecha la debilidad de los protocolos de señalización telefónica (como SIP en redes VoIP). El atacante puede inyectar cualquier identificador de llamada en la cabecera de origen.

🔹 Cabeceras SIP manipuladas

Los campos From: y P-Asserted-Identity en el protocolo SIP pueden ser modificados para mostrar cualquier número. Muchos proveedores VoIP no validan que el remitente sea el propietario real del número.

From: "Banco Santander" <sip:[email protected]> Así es como tu teléfono muestra el número real del banco, aunque la llamada venga de otro origen.
🔹 Ausencia de autenticación en la red telefónica

A diferencia del correo electrónico (que tiene SPF, DKIM, DMARC), la red telefónica no tiene un mecanismo criptográfico equivalente para validar el origen de las llamadas. El estándar STIR/SHAKEN está en implementación, pero aún no es universal.

Conclusión: El número que ves en la pantalla de tu teléfono no es fiable. La única forma segura de verificar la identidad del interlocutor es colgar y llamar tú al número oficial.

04 // Para técnicos Mitigación · STIR/SHAKEN

Estrategias de defensa y buenas prácticas

La prevención del vishing combina medidas técnicas (en la red de telefonía) y concienciación (en los usuarios).

🔹 STIR/SHAKEN

Estándar que permite verificar criptográficamente que el número que aparece en la llamada es auténtico. Los operadores europeos están implementándolo progresivamente, pero la adopción es lenta.

🔹 Filtrado de llamadas fraudulentas

Las empresas pueden colaborar con los operadores para bloquear llamadas que suplanten su identidad. Es un proceso reactivo que requiere reportes constantes.

🔹 Política de "colgar y llamar"

La medida más efectiva es cultural y operativa: formar a los empleados y clientes para que nunca compartan información sensible en llamadas entrantes y siempre verifiquen llamando al número oficial.

Resumen: El vishing explota la confianza humana y la falta de autenticación en la red telefónica. La defensa principal es la concienciación y la verificación fuera de banda.

Sobre el autor
Miguel Ángel Carriazo · vCISO

vCISO · Arquitecto de Soluciones de Infraestructura y Ciberseguridad | Gobierno, Riesgo y Cumplimiento (GRC) | Gobierno de IA · ISO 42001 | Fundador de FraudeDigital.es

Compartir artículo