El vishing (voice + phishing) es la variante de fraude bancario más difícil de detectar: el estafador te llama por teléfono haciéndose pasar por un empleado de tu banco y, gracias a técnicas de suplantación, el número que aparece en tu pantalla es el número real del banco. La Audiencia Provincial de Madrid ha analizado este tipo de estafa en la SAP M 17262/2025 (caso Unicaja) y su conclusión es clara: los avisos genéricos del banco no bastan y el consumidor tiene derecho a la devolución.

Qué es el vishing y cómo funciona

El vishing es un tipo de ciberestafa telefónica en la que el atacante suplanta la identidad de una entidad bancaria mediante una llamada de voz. A diferencia del phishing (email) o el smishing (SMS), el vishing implica una interacción en tiempo real con la víctima, lo que permite al estafador adaptar su discurso y ganar la confianza del usuario.

El esquema habitual funciona así:

1. Contacto inicial: la víctima recibe un SMS o email de alerta (a menudo otro fraude previo) que genera preocupación. Poco después recibe una llamada «del banco».

2. Suplantación del número (spoofing): mediante tecnología VoIP y herramientas de caller ID spoofing, el estafador falsifica el número de teléfono que aparece en la pantalla del móvil de la víctima. El número que se muestra es el número real del servicio de atención al cliente del banco.

3. Ingeniería social: el supuesto empleado del banco tiene información parcial sobre la víctima (nombre, DNI, últimas cifras de la cuenta) que ha obtenido previamente. Le informa de que se han detectado operaciones sospechosas y que necesita «cancelarlas» o «bloquearlas» proporcionando ciertos datos o confirmando códigos que va a recibir por SMS.

4. Ejecución del fraude: mientras el estafador mantiene la conversación, un cómplice ejecuta las operaciones fraudulentas en tiempo real. Los códigos OTP que la víctima «confirma» son en realidad los códigos de validación de las transferencias.

Caso real: SAP Madrid 17262/2025 (Unicaja)

La Sentencia de la Audiencia Provincial de Madrid 17262/2025, de 18 de diciembre de 2025 (ponente: Isabel Serrano Frías, rec. 195/2025), resuelve un caso de vishing contra un cliente de Unicaja.

Los hechos

El demandante recibió un SMS que alertaba del bloqueo de su tarjeta. «Inmediatamente después recibió una llamada desde el número que corresponde al servicio de atención al cliente de Unicaja», según relata la propia sentencia. El supuesto gestor le indicó que se habían detectado varias operaciones de pago con su tarjeta y transferencias no autorizadas, y que iba a proceder a cancelarlas.

El estafador le proporcionó información concreta que «llevó al actor a confiar en que era efectivamente el gestor» del banco. El cliente facilitó los datos que le solicitaron, confiando en que estaba hablando con Unicaja. Solo después comprobó que las operaciones no habían sido canceladas, sino ejecutadas.

La respuesta de Unicaja

Unicaja sostuvo que el cliente actuó con negligencia grave al facilitar sus credenciales por teléfono, y que la entidad cumplía con las medidas de seguridad exigibles, incluyendo campañas informativas y advertencias preventivas frente al phishing.

La resolución del tribunal

La Audiencia Provincial desestimó el recurso de Unicaja y confirmó la condena. La sentencia contiene dos afirmaciones particularmente contundentes:

Sobre los avisos genéricos del banco: «No basta con medidas genéricas de protección o avisos estereotipados de cuidado, sino que la seguridad de las operaciones bancarias precisa de soluciones tecnológicas avanzadas a los efectos de garantizar tanto la autenticidad como la integridad y confidencialidad de los datos.» Los avisos del banco, a través de su web, se califican como «fórmulas predispuestas, vacías de contenido».

Sobre las obligaciones de detección: «Sería suficiente un control automático de determinados factores, como si el dispositivo desde el que se actúa es el autorizado, tipo de operación, si esta es habitual en el cliente, el número y sucesión de operaciones, el intervalo en que se ejecutan, la hora del día, su importe o su destinatario, para generar un aviso que reforzara los requisitos de confirmación.»

El tribunal concluye que el cliente «en modo alguno incurrió en negligencia grave, observando una conducta diligente al comunicar a la entidad lo sucedido», mientras que el banco prestó un servicio defectuoso «tanto por no tomar en consideración la información recibida pese a su gravedad, como por omitir la adopción de medidas que posibilitaran la detección de eventuales maniobras fraudulentas».

El spoofing telefónico: por qué es casi imposible de detectar

La técnica de caller ID spoofing utilizada en el vishing bancario es extremadamente efectiva porque explota un defecto inherente al sistema telefónico: el número de teléfono que aparece en la pantalla del receptor puede ser modificado por quien realiza la llamada.

Esto significa que, a diferencia de lo que ocurre con un email (donde se puede verificar el dominio del remitente) o un SMS (donde la URL puede delatarlo), en una llamada de vishing no hay forma técnica para que el usuario medio distinga una llamada legítima de una fraudulenta. Si el número que aparece en pantalla es el del banco, el usuario tiene razones fundadas para confiar.

Por eso los tribunales rechazan que la conducta del consumidor pueda calificarse de negligencia grave: el nivel de sofisticación del engaño excede lo que puede exigirse a un usuario medio de servicios de pago.

Obligaciones del banco y doctrina del Tribunal Supremo

La STS 571/2025 es clara: el banco tiene una responsabilidad cuasi-objetiva frente a las operaciones no autorizadas. En el caso del vishing, esta responsabilidad se refuerza por dos motivos:

Primero: el Reglamento Delegado (UE) 2018/389 exige a los bancos disponer de mecanismos de supervisión que detecten operaciones fraudulentas, analizando factores como el dispositivo utilizado, el tipo de operación, si es habitual en el cliente, el importe y el destinatario. Un control automático de estos factores habría impedido el fraude en la mayoría de los casos de vishing.

Segundo: los «avisos estereotipados» del banco en su web o app no cumplen con la obligación de protección al consumidor. Si el banco conoce la existencia del vishing como modalidad de fraude —y la conoce—, debe implementar soluciones tecnológicas avanzadas, no limitarse a publicar consejos genéricos.

Señales de alerta en una llamada

Aunque el vishing es extremadamente difícil de detectar, hay señales que pueden ponerte sobre aviso:

Te piden códigos o contraseñas: ningún empleado real del banco te pedirá tu contraseña completa ni los códigos OTP que recibes por SMS. El banco ya tiene acceso a tu cuenta; no necesita que le facilites códigos.

Te apremian a actuar rápido: la urgencia es la herramienta principal del estafador. Si te dicen que debes actuar «ahora mismo» o «en los próximos minutos», desconfía.

Te piden confirmar datos que ya deberían tener: si el supuesto empleado necesita que le confirmes tu número de cuenta completo o tu DNI para «verificar tu identidad», puede ser una señal de que no tiene realmente acceso a tus datos.

La solución siempre pasa por ti: si el banco detecta operaciones sospechosas de verdad, puede bloquearlas por su cuenta sin necesidad de tu intervención.

Ante cualquier duda: cuelga y llama tú directamente al banco al número que aparece en tu tarjeta o en la app oficial.

Qué hacer si has sido víctima de vishing

El procedimiento es idéntico al de cualquier fraude bancario: bloqueo inmediato, denuncia policial y reclamación al banco. Consulta los pasos detallados en nuestra guía paso a paso de reclamación por phishing bancario.

El vishing tiene un porcentaje de éxito judicial especialmente alto, precisamente porque la sofisticación del engaño (spoofing del número oficial del banco) hace muy difícil que el tribunal aprecie negligencia grave del consumidor.

¿Quieres saber si tu caso es reclamable? Haz nuestro test gratuito de phishing bancario o contacta directamente a través de la consulta preliminar gratuita. También puedes consultar la página de servicio de phishing y fraude bancario.

Jose Manuel Dominguez Gonzalez

José Manuel Domínguez González

Abogado en Madrid. Especializado en litigación civil, mercantil y contencioso-administrativa.

Colegiado ICAM nº 137.813