A telefonia, pese à expansão das apps de transportadora e as plataformas digitais, segue sendo um vetor crítico de ataque. Os ciberdelincuentes têm sofisticado suas tácticas de engenharia social para explodir a confiança do utente nas comunicações de voz. Espanha é, hoje por hoje, um dos países europeus onde mais crescem estas práticas, segundo dados de associações de consumidores e organismos reguladores.
A fraude do router: engenharia social aplicada à portabilidade
Uma das variantes mais estendidas é a fraude do router. O esquema baseia-se em dois telefonemas encadeados:
-
Primeiro telefonema: o atacante suplanta à operadora legítima e informa de uma suposta substituição obrigatória de router. O argumento inclui um custo "fictício" dentre 90 e 170 euros, que em teoria ficaria coberto por uma promoção.
-
Segundo telefonema: outra voz, de uma companhia diferente, activa uma portabilidade imediata baixo o pretexto de facilitar a promoção.
O objectivo final é forçar uma mudança de operador sem consentimento informado, aproveitando a rapidez dos processos de portabilidade em Espanha. O risco é duplo: perda de controle sobre a linha e possíveis penalizações contratuais.
A OCU recorda que toda modificação contratual deve se notificar com 30 dias de antelación e por escrito, segundo o regulamento vigente de telecomunicações. Qualquer aviso exclusivo por via telefónica carece de validade legal.
A "fraude do duplo telefonema": manipulação psicológica em tempo real
Outra prática emergente é a fraude do duplo telefonema, que combina spoofing de identidade e engano sequencial. O atacante primeiro simula ser o provedor atual para advertir de uma iminente subida de tarifas. Pouco depois, outro actor faz-se passar por uma operadora "alternativa" que oferece uma rebaja atraente.
Este mecanismo explode a vulnerabilidade cognitiva do utente, ao criar uma falsa urgência e oferecer uma solução imediata. Inclusive detectaram-se casos nos que os estafadores invocam à própria OCU para reforçar sua credibilidade.
Taxonomia de ataques por voz mais comuns em 2025 segundo a OCU
Além destas variantes, os experientes em ciberseguridad catalogam diferentes formas de fraude por voz (vishing):
-
Vishing clássico: suplantación de bancos, seguradoras ou provedores para capturar credenciais e dados financeiros.
-
Call VÃO spoofing: falsificação do número de origem para simular que o telefonema procede de um canal oficial.
-
Gravação maliciosa: obtenção de respostas afirmativas ("sim") que se manipulam como consentimento contratual.
-
Wangiri ou "telefonema perdido": notificações de um timbrazo desde prefixos internacionais; ao devolver o telefonema, activa-se uma tarificación especial.
-
IVR fraudulento: sistemas automáticos que recopilam informação pessoal baixo a desculpa de encuestas ou prêmios.
Como se blindar ante a fraude telefónica
Se suspeitas que tens aceitado uma mudança fraudulenta, é chave exercer o direito de desistência nos 14 dias posteriores à contratação telefónica. Também convém notificar o ocorrido a teu operador atual e apresentar uma denúncia ante a polícia.
A OCU faz questão de que os utentes têm mais ferramentas de defesa das que crêem, mas a primeira linha de protecção segue sendo a prevenção e a desconfiança ativa ante telefonemas inesperados.
A protecção contra estas fraudes requer uma combinação de alfabetización digital e uso de ferramentas tecnológicas:
-
Verificação ativa: Nunca aceitar mudanças contratuais por telefone; contrastar a informação desde os canais oficiais da operadora.
-
Bloqueio inteligente: Utilizar apps de filtrado de telefonemas com banco# de dados actualizados (Truecaller, Hiya, ou as incluídas em Android/iOS).
-
Registro de evidências: Conservar gravações, números e dados do telefonema em caso de denúncia.
-
Higiene digital: Evitar expor números pessoais em foros ou redes sociais sem controles de privacidade.
-
Consciência normativa: Recordar que existe um direito de desistência de 14 dias em contratações a distância, o que permite reverter um contrato fraudulento.
Panorama regulamentar e futuro da protecção
O marco regulamentar europeu (Código Europeu de Comunicações Eletrónicas e Regulamento de Telecomunicações) obriga aos operadores a reforçar os mecanismos de autenticação de telefonemas. Entre as iniciativas em estudo está a implementação de protocolos STIR/SHAKEN, que já funcionam em EE. UU. para validar a identidade do emissor e reduzir o spoofing.
Até que estas medidas sejam obrigatórias em Espanha, a defesa segue recayendo no utente final. A educação em ciberseguridad e a verificação constante de qualquer comunicação inesperada são hoje a melhor arma em frente à fraude.