Un SMS que parece enviado por el banco. Una llamada inmediata con la voz de un familiar, de un jefe o de un supuesto empleado de la entidad. Una petición urgente para confirmar claves, validar un código o autorizar una transferencia.
El fraude apenas dura unos minutos pero puede bastar para dejar la cuenta temblando. "Cuando la cantidad defraudada supera los 50.000 euros, la pena puede alcanzar los seis años de prisión", explica Juan Antonio Signes García, socio de Sanahuja Abogados Penalistas y miembro de la European Criminal Bar Association (ECBA).
Así funciona la estafa que mezcla SMS falsos y voces clonadas
La secuencia suele arrancar con un caso de smishing. El INCIBE define esta técnica como el envío de mensajes que suplantan a una entidad legítima para empujar a la víctima a pulsar un enlace, entregar datos o actuar bajo presión. El mensaje habla de una urgencia y prepara el terreno para el siguiente paso, la llamada.
Después llega el contacto telefónico. Ahí entra en juego la clonación de voz con inteligencia artificial. El INCIBE ha explicado que estas herramientas pueden generar una imitación muy convincente a partir de unos pocos segundos de audio previo, de modo que la víctima cree estar escuchando a alguien de confianza. Ese detalle es el que convierte una estafa convencional en una maniobra mucho más persuasiva.
Por qué este fraude resulta más creíble que otros
La fortaleza del engaño no está solo en la tecnología, sino en la suma de elementos. El SMS da contexto, la llamada confirma la falsa alerta y la voz clonada elimina una de las barreras psicológicas más habituales, la desconfianza ante un interlocutor desconocido. Cuando la conversación incluye referencias concretas y un tono de urgencia, la víctima puede actuar antes de comprobar si realmente habla con su banco, con un compañero de trabajo o con un familiar.
Ese es el punto más delicado. Durante años, la voz funcionó como una señal casi espontánea de autenticidad. La expansión de la IA generativa ha erosionado esa seguridad y ha reducido mucho el coste de la suplantación.
La CNMC bloqueará SMS con alias falsos, pero no frena las llamadas con voz sintética
La Comisión Nacional de los Mercados y la Competencia aprobó en marzo la circular que regula el Registro de alias para SMS, MMS y RCS. Desde el 7 de junio de 2026, los operadores deberán bloquear los mensajes enviados con alias no inscritos o remitidos por proveedores no autorizados. La medida busca dificultar que los delincuentes suplanten el nombre comercial de bancos, empresas o administraciones en la mensajería móvil.
Sin embargo, esa protección tiene límites claros. El nuevo registro actúa sobre el canal de mensajería y no sobre la llamada telefónica con voz clonada, que es justamente el tramo decisivo de esta estafa híbrida. En otras palabras, el bloqueo de SMS falsos puede cerrar parte del camino, pero no neutraliza por sí solo el fraude cuando la ingeniería social continúa por teléfono.
Qué hacer si recibes un SMS y una llamada sospechosa
La primera regla es no hacer nada bajo presión. Si el mensaje pide actuar de inmediato y a continuación recibes una llamada que confirma el contenido del SMS, lo prudente es cortar la comunicación y contactar tú mismo con la entidad o con la persona supuestamente implicada a través de su número habitual.
El INCIBE recomienda además no facilitar claves, códigos de verificación ni datos bancarios por teléfono, aunque la voz resulte completamente familiar. También aconseja conservar todas las pruebas posibles y comunicar el incidente cuanto antes a través del 017, su línea gratuita y confidencial de ayuda en ciberseguridad.
La reclamación al banco puede ser clave si ya se ha producido el cargo
La normativa de servicios de pago establece que la entidad debe devolver las operaciones no autorizadas salvo que pruebe fraude o negligencia grave del cliente. En abril de 2025, el Tribunal Supremo confirmó este criterio en una sentencia contra Ibercaja por un caso de SIM swapping y subrayó que el simple registro técnico de una operación no basta para demostrar que fue realmente autorizada por el usuario.
Ese razonamiento puede ser determinante también en los nuevos fraudes con voz clonada. Si el cliente niega haber autorizado de forma válida la operación y existen indicios de engaño sofisticado, la discusión no se limita al ámbito penal. También puede abrir una reclamación frente al banco sobre la autenticidad de la orden y la eficacia de sus controles de seguridad.
