Vishing bancario: qué es y cómo reconocer la estafa

Publicado: 09/12/2025
Escrito y verificado por: David Alfaya Massó

El vishing bancario se ha convertido en una de las estafas más habituales. En Asesority lo vemos a diario: una llamada que parece fiable, un supuesto problema de seguridad y, en cuestión de minutos, el cliente acaba autorizando operaciones que jamás habría aceptado de estar tranquilo.

En este artículo te contamos:

• Qué es exactamente el vishing
• Cómo funciona paso a paso
• Ejemplos reales que se están repitiendo en España
• Cómo protegerte
• Y, si ya te ha pasado, cómo reclamar al banco para intentar recuperar tu dinero

Nuestro objetivo es claro: que seas capaz de identificar el vishing en segundos y, si ya has sido víctima, sepas cómo reaccionar y reclamar sin perder tiempo ni sumar más preocupaciones.

El vishing es una estafa telefónica en la que alguien se hace pasar por tu banco y te alerta de un problema urgente con tu cuenta. El objetivo siempre es conseguir que seas tú quien facilite un código, confirme una operación o siga unas instrucciones que permiten mover tu dinero.

La llamada suena convincente porque usan datos reales, un número parecido al del banco y un tono profesional. La clave no es la tecnología, sino la presión psicológica: miedo, urgencia y falta de tiempo para pensar.

¿Cómo funciona un ataque de vishing?

A partir de ahí, llega el elemento clave: la urgencia. Te dicen que la operación está “a punto de ejecutarse” o que “si no la bloqueas ya”, tu cuenta puede verse comprometida. Y es justo en ese estado de prisa cuando logran que des un código o sigas sus instrucciones. Tú crees que estás frenando una estafa, pero en realidad estás autorizando la suya.

Minutos después, aparece en tu cuenta un movimiento que no reconoces.

En España se están viendo varios tipos de llamadas fraudulentas que encajan perfectamente con el vishing. Estos son los más comunes:

Es el caso más común. Te alertan de accesos extraños o pagos que no reconoces y te dicen que necesitan verificar si has sido tú. Todo parece una simple comprobación de seguridad, pero acaba con la frase típica: “Le enviamos un código para bloquear la operación”. Ese código no bloquea nada: autoriza la transferencia que el estafador ya tiene preparada.

La “cuenta segura” para proteger el dinero

Otra variante habitual. Te dicen que tu cuenta está en riesgo y que, para evitar un robo, tienes que mover el dinero a una “cuenta segura” o “cuenta espejo”.
Esa cuenta es del estafador. La víctima piensa que está haciendo lo correcto.

Muy habitual en compraventas y estafas pequeñas. Crees que estás aceptando un Bizum que te van a enviar, pero realmente estás enviando tú el dinero. La confusión surge porque la interfaz de Bizum permite ambas opciones y, si vas con prisa, es fácil no revisar bien lo que estás aprobando.

Suplantación del número del banco

Aquí el estafador hace que en tu móvil aparezca un número idéntico al del banco. Ese detalle genera una confianza inmediata: si el número coincide con el oficial, la mayoría de personas baja la guardia y sigue las instrucciones sin sospechar.

Llamadas de falso “servicio técnico”

No se hacen pasar por el banco, sino por soporte técnico. Te dicen que hay un problema con tu app bancaria o con tu móvil y te piden instalar una aplicación para “revisarlo”. Esa app les da acceso remoto al dispositivo, lo que les permite operar casi como si fueses tú.

Confirmaciones dentro de tu propia app

En lugar de pedirte un código, te guían paso a paso dentro de tu banca online. Las instrucciones suenan razonables, pero terminan validando la operación que ellos han preparado. Es especialmente peligroso porque la víctima siente que sigue un procedimiento legítimo.

Casos donde mezclan varios métodos

Cada vez es más frecuente que mezclen varios canales. Primero recibes un SMS que parece oficial y, justo después, una llamada que “confirma” ese mensaje. Esta coherencia hace que el engaño sea más convincente y difícil de detectar incluso para personas muy prudentes.

Estos ejemplos no son teoría: son los patrones que más se están repitiendo ahora mismo en España. Entenderlos ayuda a reconocer el engaño antes de que llegue al punto crítico.

Phishing, vishing y smishing: ¿en qué se diferencian?

Aunque a veces se confunden, no son lo mismo. Todos buscan lo mismo —robar tus datos o tu dinero— pero cambian el canal y la forma de engañar. Estas son las diferencias de manera simple y clara:

Phishing → por email

Te llega un correo que parece de tu banco o de una empresa conocida. Incluye un enlace o archivo que, si lo abres, te dirige a una web falsa o instala software malicioso en tu dispositivo. El objetivo es que introduzcas tus claves o descargues algo sin darte cuenta.

Smishing → por SMS

Es la versión por mensaje de texto. Suelen ser avisos como “hay un paquete retenido”, “actualice su clave” o “verifique esta operación”. Buscan que pulses un enlace rápido, confiando en que, al ser SMS, lo veas como algo más legítimo.

Vishing → por llamada

Aquí no hay enlaces: el engaño se produce hablando contigo. Simulan ser tu banco, te generan urgencia y te piden un código, una confirmación o seguir unos pasos “para evitar un problema”. Esa acción es la que permite al estafador operar como si fueras tú.

¿Por qué funcionan tan bien estas estafas?

Porque muchas estafas combinan varios métodos para hacer que todo parezca real:

• Primero llega un SMS que aparenta ser del banco (smishing).
  
• Minutos después, te llama alguien “de seguridad del banco” para ayudarte (vishing).
  
• Y, si hace falta, te envían a una web falsa que imita perfectamente la del banco (phishing).

¿Puedo reclamar al banco por vishing?

Los jueces valoran:

• Suplantación creíble
• Presión psicológica
• Fallos en autenticación reforzada (PSD2)
• Operaciones anómalas no bloqueadas

¿Qué pasa si el banco rechaza la reclamación?

Si no te devuelven el dinero:

• puedes reclamar de nuevo,
• acudir al Banco de España,
• o iniciar una reclamación judicial, donde muchos casos están resultando favorables para el consumidor.

¿Cómo te ayuda Asesority?

En Asesority analizamos tu caso gratis y te decimos si puedes reclamar. Si es viable, te acompañamos en todo el proceso: desde reunir pruebas y presentar la reclamación hasta iniciar la vía judicial si es necesario.

Nuestro objetivo es que no seas tú quien pague una estafa que no has cometido.

Preguntas frecuentes sobre el vishing bancario

En la mayoría de casos, sí. Si hubo suplantación de identidad, ingeniería social o fallos en la autenticación reforzada (SCA/PSD2), los tribunales están obligando a los bancos a devolver el dinero. Puedes consultar la normativa oficial de la PSD2 aquí. Solo dejan de negarse si demuestran negligencia grave del cliente, algo muy difícil de justificar.

¿Y si yo di el código pensando que era el banco?

Sigue siendo estafa. Los tribunales consideran que el cliente actúa bajo engaño y que el banco debe tener mecanismos para detectar operaciones anómalas. Dar un código no es, por sí solo, negligencia.

¿El banco puede negar la devolución diciendo que “yo autoricé la operación”?

Lo intentan, pero cada vez es menos creíble. Si la autorización se obtuvo mediante presión, engaño o manipulación psicológica, no se considera consentimiento válido.

¿Qué pruebas necesito para reclamar?

Las más habituales son:

• Extractos con los cargos desconocidos
• Capturas de los SMS o emails que recibiste
• Registro de llamadas o pantallazos
• Detalles que recuerdes de la llamada (hora aproximada, tono, instrucciones…)

Con esto normalmente basta para iniciar la reclamación.

Sí. Mientras no haya prescrito —y en la mayoría de casos no lo está— puedes reclamar aunque hayan pasado meses.

¿Qué hago si el banco ha rechazado mi reclamación?

No te quedes ahí. Muchos asuntos se ganan en vía judicial. Puedes:

1. Reclamar por escrito de nuevo al banco.
2. Acudir al Banco de España.
3. Iniciar reclamación judicial (lo más eficaz).