Facebook Linkedin Twitter Instagram Youtube Telegram

​Los estafadores ya clonan tu voz con inteligencia artificial para vaciar tu cuenta bancaria

El INCIBE ha documentado en 2026 múltiples casos de fraude con voz sintética dirigidos tanto a empresas como a familias en España. La CNMC activará en junio el bloqueo de SMS con remitentes falsos, pero la clonación de voz escapa a esa medida.

Un empresario recibe un SMS que aparenta llegar de su entidad bancaria. Segundos después, suena el teléfono. Al otro lado de la línea, una voz idéntica a la de su director financiero le pide que autorice una transferencia urgente. La voz es la misma. El tono, las pausas, el acento. Todo encaja. Pero no es su director financiero. Es una grabación generada por inteligencia artificial. Cuando se percata del engaño, el dinero ya ha desaparecido.

El caso no es hipotético. El Instituto Nacional de Ciberseguridad (INCIBE) lo documentó en febrero de 2026 tras recibir la consulta directa de la empresa afectada. En los meses siguientes ha publicado varios incidentes más con el mismo patrón, tanto en entornos empresariales como familiares.

Cómo funciona la estafa híbrida

Esta modalidad de fraude combina tres técnicas en una sola secuencia que puede completarse en menos de diez minutos. La concatenación de varios vectores de ataque, reforzada por tecnología de síntesis de voz, convierte el engaño en suficientemente idóneo para vencer la diligencia media del perjudicado.

El SMS falso (smishing)

La secuencia comienza con un mensaje de texto que suplanta el alias de una entidad legítima. Puede aparecer bajo el nombre de un banco, de la Agencia Tributaria, de Correos o de un operador de telefonía. El contenido siempre incorpora un elemento de urgencia y un enlace que redirige a una página de captura de credenciales o que simplemente prepara psicológicamente a la víctima para la llamada posterior.

La llamada con voz clonada por inteligencia artificial

Minutos después del SMS, la víctima recibe una llamada. Al descolgar, escucha una voz que identifica como la de alguien de su entorno. Puede ser la de un familiar, la de un compañero de trabajo o la de un supuesto empleado del banco que «confirma» el contenido del mensaje previo.

La voz ha sido generada mediante herramientas de clonación basadas en inteligencia artificial. El INCIBE advierte de que bastan unos pocos segundos de audio original para reproducir las características vocales de cualquier persona con un grado de similitud difícilmente distinguible por el oído humano. La obtención de esas muestras se realiza frecuentemente mediante llamadas previas en las que nadie responde al descolgar, con la finalidad de grabar la voz de la víctima.

La transferencia o el robo de credenciales

Convencida de que habla con alguien de confianza, la víctima facilita sus claves de acceso, autoriza una transferencia bancaria, comunica un código de verificación o realiza un envío de dinero a través de una plataforma de pagos. El perjuicio patrimonial se consuma en cuestión de minutos.

Señales de alerta

Primera señal: recibes un SMS de una entidad que normalmente no te envía mensajes o que te pide actuar «de forma inmediata».

Segunda señal: poco después del SMS recibes una llamada que «confirma» exactamente el contenido del mensaje.

Tercera señal: la persona que llama te pide datos bancarios, códigos de verificación o que autorices una operación por teléfono.

Cuarta señal: has recibido recientemente llamadas en las que nadie respondía al descolgar (posible captura de muestra de voz).

Quinta señal: la conversación sigue un guion rígido, con respuestas que no encajan con tus preguntas concretas.

Qué hacer en la primera hora si has sido víctima

Contacta con tu banco por el teléfono oficial (el que aparece en tu tarjeta física o en la web del banco, nunca el número que aparezca en el SMS). Solicita el bloqueo inmediato de la cuenta o tarjeta afectada y pide que revisen todas las operaciones autorizadas verbalmente en los últimos siete días.

Presenta denuncia formal ante la Policía Nacional o la Guardia Civil. Necesitas una denuncia presencial que detalle la secuencia completa, incluyendo el contenido del SMS, la hora y duración de la llamada, y los datos de la transferencia.

Reporta el incidente al INCIBE a través del teléfono gratuito y confidencial 017 o en incibe.es.

Prueba digital que debes conservar

No borres nada. Haz capturas de pantalla del SMS fraudulento con la hora y el remitente visible. Conserva el registro de llamadas del teléfono. Si puedes, realiza una grabación de pantalla que muestre el hilo completo del SMS. Guarda los extractos bancarios con la transferencia no autorizada y los justificantes de cualquier reclamación formal.

La prueba más valiosa es la que vincula la llamada con el SMS dentro de una misma secuencia temporal coordinada. Si ambos provienen de un patrón coherente, eso permite al tribunal apreciar una ejecución planificada que refuerza la calificación como estafa agravada.

Encaje penal y concurso de delitos

La estafa telefónica con voz clonada por inteligencia artificial no se agota en un solo tipo penal. Cuando se examina la secuencia completa, pueden concurrir varios delitos simultáneamente.

Estafa (artículos 248 y 249 del Código Penal). El tipo básico castiga con prisión de seis meses a tres años a quienes, con ánimo de lucro, utilicen engaño bastante para producir error en la víctima e inducirla a un acto de disposición patrimonial. Tras la reforma operada por la LO 14/2022, el artículo 249.1.a) tipifica de forma autónoma la estafa mediante manipulación informática o «artificio semejante», sin admitir degradación a delito leve por cuantía inferior a 400 euros.

Estafa agravada (artículo 250 del Código Penal). Cuando la cuantía defraudada supere los 50.000 euros o se aprecien medios especialmente idóneos para facilitar la impunidad, la pena se eleva a prisión de uno a seis años y multa de seis a doce meses.

Usurpación de estado civil (artículo 401 del Código Penal). Según el alcance y la continuidad de la suplantación, podría valorarse la concurrencia de este tipo, castigado con prisión de seis meses a tres años.

Descubrimiento y revelación de secretos (artículo 197 del Código Penal). Si la muestra de voz se obtiene mediante la interceptación de comunicaciones o la grabación subrepticia de conversaciones privadas, concurriría adicionalmente este delito con penas de uno a cuatro años de prisión y multa.

La STS 941/2023 (Sala Segunda, ponente: De Porres Ortiz de Urbina) fijó con claridad la doctrina vigente sobre el engaño bastante: se mide en función de la actividad engañosa desplegada por el sujeto activo del delito, no por la perspicacia de la víctima. La sofisticación de la clonación de voz con IA sitúa estos supuestos en el extremo opuesto al engaño burdo.

La opinión del experto

«La estafa con voz clonada por inteligencia artificial no es un tipo penal aislado. En la mayoría de los casos concurren simultáneamente los delitos de estafa del artículo 248 del Código Penal, usurpación de estado civil del artículo 401 y descubrimiento y revelación de secretos del artículo 197. Cuando la cantidad defraudada supera los 50.000 euros, la pena puede alcanzar los seis años de prisión. No existe todavía jurisprudencia específica sobre el uso de IA vocal como medio comisivo, pero la doctrina del Tribunal Supremo sobre el engaño bastante en estafas tecnológicas sofisticadas resulta directamente aplicable a estos supuestos«.

Juan Antonio Signes García, socio de Sanahuja Abogados Penalistas, colegiado ICAV 18516 y miembro de la European Criminal Bar Association (ECBA) y de la European Fraud and Compliance Lawyers (EFCL).

El registro de alias de la CNMC: alcance y limitaciones

El pasado 27 de marzo de 2026, la Comisión Nacional de los Mercados y la Competencia aprobó la circular que regula el Registro de alias para SMS, MMS y RCS. Las obligaciones de bloqueo previstas en los artículos 7.2 y 8 de la Orden ministerial TDF/149/2025 producen efectos desde el 7 de junio de 2026. A partir de esa fecha, los operadores de telefonía deberán bloquear los mensajes que utilicen un alias no inscrito o que no provengan de proveedores autorizados.

La medida supone un avance importante contra el smishing. Si una empresa quiere enviar mensajes firmados con su marca, tendrá que registrar ese alias ante la CNMC y demostrar la titularidad legítima. Sin embargo, el Registro de alias opera exclusivamente sobre el canal de mensajería. La llamada telefónica con voz clonada, que es el eslabón decisivo de la estafa híbrida, queda fuera de su ámbito de aplicación. Los grupos organizados que operan desde infraestructuras internacionales pueden seguir enviando SMS desde sistemas que escapen al control de los operadores españoles.

Responsabilidad bancaria

El Real Decreto-ley 19/2018 (Ley de Servicios de Pago) establece que el proveedor de servicios de pago soporta el riesgo de las operaciones no autorizadas, salvo que pruebe negligencia grave del ordenante. En su reciente STS 571/2025, de 9 de abril, el Tribunal Supremo confirmó este criterio al condenar a Ibercaja a restituir más de 56.000 euros sustraídos mediante SIM swapping, declarando que el simple registro de la operación no basta para acreditar que fue autorizada por el cliente y que los avances tecnológicos deben permitir a los bancos detectar patrones anómalos de operaciones.

En la práctica, la reclamación al banco y la vía penal deben tramitarse en paralelo. La denuncia penal no solo persigue la responsabilidad del autor, sino que constituye un elemento probatorio esencial para fundamentar la reclamación civil frente a la entidad.

Medidas de protección recomendadas

Ante la sofisticación creciente de estas técnicas, los expertos recomiendan establecer una contraseña verbal con familiares y personas de confianza, una clave que solo ellos conozcan y que deban usar en cualquier comunicación donde se solicite dinero o datos sensibles. Ante cualquier llamada sospechosa, colgar y volver a llamar al número habitual de esa persona. No facilitar nunca datos bancarios ni códigos de verificación por teléfono, aunque la voz resulte completamente familiar. Y si se reciben llamadas en las que nadie responde al descolgar, no prolongar la conversación.

Imagen de Aldana Balmaceda

Aldana Balmaceda

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

TE PUEDE GUSTAR

RECIBE LA NEWSLETTER

*Email: *Nombre apellidos: *Empresa: Cargo: Sector:

 
Please don't insert text in the box below!

ARTÍCULOS MÁS RECIENTES

ESCUCHA NUESTRO PODCAST

SÍGUENOS EN RRSS

MÁS COMENTADOS

Scroll al inicio
Powered by  GDPR Cookie Compliance
Resumen de privacidad

Las cookies y otras tecnologías similares son una parte esencial de cómo funciona nuestra web. El objetivo principal de las cookies es que tu experiencia de navegación sea más cómoda y eficiente y poder mejorar nuestros servicios y la propia web. Aquí podrás obtener toda la información sobre las cookies que utilizamos y podrás activar y/o desactivar las mismas de acuerdo con tus preferencias, salvo aquellas Cookies que son estrictamente necesarias para el funcionamiento de la web de CyberSecurityNews. Ten en cuenta que el bloqueo de algunas cookies puede afectar tu experiencia en la web y el funcionamiento de la misma. Al pulsar “Guardar cambios”, se guardará la selección de cookies que has realizado. Si no has seleccionado ninguna opción, pulsar este botón equivaldrá a rechazar todas las cookies. Para más información puedes visitar nuestra Políticas de Cookies. Podrás cambiar en cualquier momento tus preferencias de cookies pinchando en el enlace “Preferencias de cookies” situado en la parte inferior de nuestra web.