La voz que engaña
El vishing combina ingeniería social y spoofing del número llamante. La víctima ve en pantalla un teléfono “oficial” del banco. La llamada llega con alarma: intentos de acceso, bloqueos inminentes, urgencia. El objetivo: arrancar códigos (OTP) o guiar a la víctima a una web clonada.
Caso realista: “te paso con Seguridad”
A Nuria la llamaron desde el “900” del banco. El agente describió operaciones sospechosas reales (datos obtenidos de un filtrado previo) y la transfirió a “Seguridad”. Le pidieron códigos “para anular” cargos. Activaron transferencias por 8.100 €.
El banco respondió: “validó códigos, fue su decisión”.
Cómo desmontarlo
- Spoofing probado: registros que muestran origen manipulado.
- Contexto emocional inducido: urgencia y miedo como herramienta.
- SCA mal aplicada: códigos presentados como bloqueo, no como autorización de pago.
- Operativa atípica no detectada: envíos a nuevos destinatarios en minutos.
PSD2/EBA y UX responsable
La normativa exige que la autenticación no solo exista, sino que sea clara. Si el usuario introduce un OTP creyendo bloquear, el sistema y la mensajería fallan. Deben existir fricciones adicionales ante señales de riesgo.
Jurisprudencia
Jugados han considerado que el consumidor medio no puede detectar el spoofing ni está obligado a “desconfiar siempre”. Sin pruebas de controles adecuados, el banco responde.
Claves prácticas
- Cuelga y llama tú al número oficial del banco.
- Desconfía de urgencias que piden códigos.
- Graba (si la ley local lo permite) o registra hora/número y descripción.
Conclusión: la llamada parecía real, pero no lo era. Con ciberinvestigación, puedes probarlo y recuperar.
¿Te ha pasado algo parecido? Nuestro equipo de ciberinvestigación puede analizar tu caso y preparar un informe que refuerce la devolución.