De la voz a la transferencia
El vishing se apoya en el spoofing: la pantalla muestra el número oficial del banco. El falso agente genera miedo (cargos inminentes) y prisa (“actúe ya”). Luego pide códigos o guía a la víctima por una web clonada.
Historia realista: “le paso con Seguridad”
A Emilio lo llamó “Atención al Cliente”. Le dijeron que su cuenta estaba en riesgo y lo transfirieron a “Seguridad”. Le mandaron códigos, dos OTP y se los hicieron leer “para anular”. En realidad, confirmó dos transferencias por 4.300 € cada una.
El banco denegó: “autorizó con OTP; negligencia grave”.
Por qué no es el final
La PSD2 y la EBA exigen que la autenticación sea comprensible: si el OTP autoriza un pago, el mensaje debe decirlo de forma inequívoca (destinatario e importe). Además, con señales de riesgo (dispositivo nuevo, primera transferencia a ese IBAN, rapidez) el banco debe elevar fricción o bloquear.
Si el banco no prueba estas medidas, culparte no procede.
Ciberinvestigación: del relato a los hechos
En INTELISOC:
- Probamos el spoofing (trazas, registros, coincidencia con patrones conocidos).
- Documentamos el script del estafador y la inducción al error (“OTP para bloquear”).
- Exigimos logs: IP, dispositivo, secuencia, plantillas de SMS, creación de beneficiario.
- Evaluamos la ausencia de fricciones y la ambigüedad de los mensajes.
Jurisprudencia
Cuando la ingeniería social es verosímil y la entidad no acredita defensas razonables, los jueces han ordenado reintegros. El consumidor medio no tiene por qué detectar spoofing.
Qué hacer ya
- Cuelga y llama tú al número oficial.
- Si caíste: bloquea, denuncia, pide expediente técnico.
- Encarga ciberinvestigación y reclamación basada en PSD2/EBA.
Conclusión
Te vaciaron por teléfono, sí. Pero no por eso eres culpable. Con prueba técnica, la narrativa cambia y tu dinero puede volver.
¿Te ha pasado algo parecido? Nuestro equipo de ciberinvestigación puede analizar tu caso y preparar un informe que refuerce la devolución.