La telefonía, pese a la expansión de las aplicaciones de mensajería y las plataformas digitales, sigue siendo un vector crítico de ataque. Los ciberdelincuentes han sofisticado sus tácticas de ingeniería social para explotar la confianza del usuario en las comunicaciones de voz.
Y lo cierto es que España, hoy por hoy, es uno de los países europeos donde más crecen estas prácticas, según datos de asociaciones de consumidores y organismos reguladores.
El fraude del router: ingeniería social aplicada a la portabilidad
Una de las variantes más extendidas es el fraude del router. El esquema se basa en dos llamadas encadenadas:
-
Primera llamada: el atacante suplanta a la operadora legítima e informa de una supuesta sustitución obligatoria de router. El argumento incluye un coste “ficticio” de entre 90 y 170 euros, que en teoría quedaría cubierto por una promoción.
-
Segunda llamada: otra voz, de una compañía distinta, activa una portabilidad inmediata bajo el pretexto de facilitar la promoción.
El objetivo final es forzar un cambio de operador sin consentimiento informado, aprovechando la rapidez de los procesos de portabilidad en España. El riesgo es doble: pérdida de control sobre la línea y posibles penalizaciones contractuales.
La OCU recuerda que toda modificación contractual debe notificarse con 30 días de antelación y por escrito, según la normativa vigente de telecomunicaciones. Cualquier aviso exclusivo por vía telefónica carece de validez legal.
El “fraude de la doble llamada”: manipulación psicológica en tiempo real
Otra práctica emergente es el timo de la doble llamada, que combina spoofing de identidad y engaño secuencial. El atacante primero simula ser el proveedor actual para advertir de una inminente subida de tarifas. Poco después, otro actor se hace pasar por una operadora “alternativa” que ofrece una rebaja atractiva.
Este mecanismo explota la vulnerabilidad cognitiva del usuario, al crear una falsa urgencia y ofrecer una solución inmediata. Incluso se han detectado casos en los que los estafadores invocan a la propia OCU para reforzar su credibilidad.
Taxonomía de ataques por voz más comunes en 2025 según la OCU
Además de estas variantes, los expertos en ciberseguridad catalogan diferentes formas de fraude por voz (vishing):
-
Vishing clásico: suplantación de bancos, aseguradoras o proveedores para capturar credenciales y datos financieros.
-
Call ID spoofing: falsificación del número de origen para simular que la llamada procede de un canal oficial.
-
Grabación maliciosa: obtención de respuestas afirmativas (“sí”) que se manipulan como consentimiento contractual.
-
Wangiri o “llamada perdida”: notificaciones de un timbrazo desde prefijos internacionales; al devolver la llamada, se activa una tarificación especial.
-
IVR fraudulento: sistemas automáticos que recopilan información personal bajo la excusa de encuestas o premios.
Cómo blindarse ante el fraude telefónico
Si sospechas que has aceptado un cambio fraudulento, es clave ejercer el derecho de desistimiento en los 14 días posteriores a la contratación telefónica. También conviene notificar lo ocurrido a tu operador actual y presentar una denuncia ante la policía.
La OCU insiste en que los usuarios tienen más herramientas de defensa de las que creen, pero la primera línea de protección sigue siendo la prevención y la desconfianza activa ante llamadas inesperadas.
La protección contra estas estafas requiere una combinación de alfabetización digital y uso de herramientas tecnológicas:
-
Verificación activa: nunca aceptar cambios contractuales por teléfono; contrastar la información desde los canales oficiales de la operadora.
-
Bloqueo inteligente: utilizar apps de filtrado de llamadas con bases de datos actualizadas (Truecaller, Hiya, o las incluidas en Android/iOS).
-
Registro de evidencias: conservar grabaciones, números y datos de la llamada en caso de denuncia.
-
Higiene digital: evitar exponer números personales en foros o redes sociales sin controles de privacidad.
-
Conciencia normativa: recordar que existe un derecho de desistimiento de 14 días en contrataciones a distancia, lo que permite revertir un contrato fraudulento.
Panorama regulatorio y futuro de la protección
El marco regulatorio europeo (Código Europeo de Comunicaciones Electrónicas y Reglamento de Telecomunicaciones) obliga a los operadores a reforzar los mecanismos de autenticación de llamadas. Entre las iniciativas en estudio está la implementación de protocolos STIR/SHAKEN, que ya funcionan en EE. UU. para validar la identidad del emisor y reducir el spoofing.
Hasta que estas medidas sean obligatorias en España, la defensa sigue recayendo en el usuario final. La educación en ciberseguridad y la verificación constante de cualquier comunicación inesperada son hoy la mejor arma frente al fraude.