Seguro que más de una vez has descolgado el móvil y por naturaleza vas a contestar «¿sí?». Es casi un gesto automático, algo que hacemos sin pensar desde que empezamos a usar el teléfono. Pero lo que mucha gente no sabe es que esa palabra tan corta puede tener consecuencias mucho más serias de lo que parece y ponernos en la diana de determinados fraudes telefónicos.
En los últimos años, tanto la Policía Nacional como el INCIBE (Instituto Nacional de Ciberseguridad) y otros organismos de seguridad han empezado a alertar sobre la conocida como «estafa del sí», una variante del vishing que se aprovecha de nuestras costumbres al contestar llamadas. A partir de algo tan inocente como contestar «sí» al teléfono, los delincuentes pueden grabar nuestra voz, intentar suplantarnos e incluso presionarnos para obtener más datos personales y financieros.
¿Qué es exactamente la estafa del «sí» al teléfono?
Cuando hablamos de la estafa del «sí», nos referimos a una modalidad de engaño telefónico en la que los ciberdelincuentes buscan obtener una respuesta afirmativa grabada, normalmente un «sí», para utilizarla después con fines fraudulentos. No se trata de un fraude nuevo, pero sí de una adaptación del vishing (phishing por voz) a los hábitos de uso actuales del teléfono.
Los estafadores llaman haciéndose pasar por bancos, servicios de atención al cliente, empresas de suministros o plataformas de suscripción. A veces la llamada parece muy profesional; otras, es una locución automática que menciona un supuesto pago o contrato. El objetivo es siempre el mismo: conseguir que la víctima diga «sí» mientras la llamada está siendo grabada.
Con esa grabación, los delincuentes intentan después vincular ese «sí» a contratos, altas en servicios o autorizaciones que la víctima nunca ha dado conscientemente. Además, durante la conversación suelen aprovechar para intentar sacar más información: datos bancarios, dirección, número de DNI, claves de acceso o cualquier dato personal que luego puedan usar o revender.
¿Cómo funciona el fraude del «sí» paso a paso?
Este tipo de estafa puede parecer muy sofisticada, pero en realidad se apoya en técnicas de ingeniería social muy básicas, aprovechando la confianza y el desconocimiento del usuario. Aunque hay variantes, el esquema general suele seguir una serie de pasos bastante similares.
Llamada inicial: el primer contacto
Todo comienza con una llamada desde un número desconocido o aparentemente legítimo. En ocasiones, los delincuentes usan técnicas de suplantación de identidad de número (spoofing) para que en la pantalla del móvil aparezca algo que nos genere confianza: el nombre de un banco, un prefijo nacional conocido o incluso un número muy parecido al de nuestra entidad financiera.
Hay dos escenarios habituales en esa primera llamada. En el primero, el usuario descuelga y contesta con un «¿sí?» o «sí», y al otro lado nadie responde: se escucha silencio y, a los pocos segundos, cuelgan. En el segundo, sí hay respuesta: una persona o una locución automática que se presenta como banco, operador, servicio de soporte técnico, etc., y que inicia una conversación supuestamente relacionada con nuestra cuenta, un pago pendiente o una incidencia de seguridad.
Creación de confianza y preguntas con respuesta afirmativa
Si el estafador decide hablar, suele aplicar técnicas de ingeniería social para ganarse la confianza de la víctima. Puede mencionar datos básicos (nombre, parte del número de teléfono, el nombre del banco con el que trabaja mucha gente) o hacer referencia a una supuesta transacción reciente, un pago recurrente o un problema de seguridad en la cuenta.
Una vez que se establece esa mínima confianza, llega lo importante: plantean preguntas diseñadas específicamente para provocar un «sí». Algunos ejemplos típicos son: «¿Está usted autorizando esta transacción?», «¿Está de acuerdo en recibir actualizaciones de nuestros servicios?», «¿Es usted el titular de la cuenta?», «¿Confirma que desea evitar este cargo?». Mientras tanto, la llamada se está grabando de principio a fin.
No siempre hay una conversación fluida. En determinados casos el ciberdelincuente permanece en silencio esperando a que la víctima, al descolgar, diga un «¿sí?» automático, y acto seguido cuelga en cuanto ha obtenido esa respuesta afirmativa claramente audible.
Grabación de la respuesta de «sí»
El elemento clave de esta estafa es la grabación de la voz de la víctima. El objetivo no es sólo disponer de la palabra «sí», sino contar con un fragmento de audio claro y utilizable donde se escuche al usuario responder afirmativamente en un contexto que pueda, al menos en apariencia, relacionarse con una autorización.
Para ello, los delincuentes recurren a aplicaciones de grabación de llamadas o sistemas automáticos que registran todo el contenido de la conversación. Después, seleccionan el momento concreto en el que la víctima pronuncia ese «sí» y lo guardan para reutilizarlo. En algunos casos, pueden incluso editar y manipular el audio para insertarlo en otros contextos o para crear montajes que parezcan una aceptación inequívoca de un contrato o una operación.
Uso fraudulento de la grabación y obtención de más datos
Una vez que los estafadores tienen el «sí» registrado, pueden intentar emplearlo de varias maneras. Una de las más mencionadas por los organismos de ciberseguridad es el intento de darse de alta en servicios o productos (por ejemplo, suscripciones o encuestas comerciales) usando esa grabación como supuesta confirmación de identidad.
Conviene matizar que, tal y como recuerda el Banco de España, no existen sistemas serios de banca que permitan autorizar operaciones únicamente con la voz. Es decir, sólo con la grabación del «sí» no se puede, por sí sola, validar una transacción bancaria. Sin embargo, el peligro real está en que los ciberdelincuentes aprovechen la situación para engañarnos con otras maniobras, como la doble llamada o la petición de más datos personales bajo la excusa de arreglar un problema que ellos mismos han inventado.
Una táctica muy extendida es la de la suscripción premium ficticia: primero llaman o lanzan una locución automática indicando que hemos contratado un servicio de pago. Después, si la víctima devuelve la llamada o atiende a una segunda comunicación para «cancelar» esa supuesta suscripción, aprovechan para pedir datos sensibles como el número de cuenta, dirección, nombre completo o DNI. Todo ello se justifica con la excusa de tramitar la baja o la devolución del importe.
Riesgos reales de contestar «sí» al teléfono
El hecho de responder «sí» a una llamada no significa automáticamente que vayamos a ser víctimas de un delito, pero sí abre la puerta a una serie de riesgos que conviene conocer y minimizar. La clave está en entender en qué se basa el fraude y qué limitaciones tiene.
Por un lado, la grabación del «sí» puede utilizarse como recurso de presión: el estafador puede intentar convencernos de que con esa respuesta hemos aceptado condiciones legales, contratado un servicio o autorizado una operación. Muchas personas, al escuchar un fragmento de su propia voz en una llamada posterior, pueden sentirse intimidadas y terminar cediendo a las peticiones del delincuente.
Por otro lado, la voz es un dato biométrico. Disponer de un fragmento claro abre la posibilidad de que se use para clonación de voz o para cometer suplantaciones más sofisticadas en el futuro, especialmente a medida que las tecnologías de inteligencia artificial para imitar voces mejoran. No es el único dato que necesitan, pero suma en el conjunto de información personal que estos grupos acumulan.
A esto se suma el riesgo de que esa grabación, combinada con otras piezas de información (nuestra identidad, número de teléfono, entidad bancaria, etc.), pueda usarse en reclamaciones, quejas o gestiones falsas en nuestro nombre, aunque este uso sea menos habitual y resulte más complejo probarlo ante una entidad seria.
Relación con el vishing y otros fraudes telefónicos
La estafa del «sí» no suele aparecer aislada, sino como una variante más dentro del vishing y de un ecosistema de timos telefónicos cada vez más variados. El hilo conductor es siempre el mismo: una llamada que aparenta ser legítima y que busca generar miedo, urgencia o confianza para que la víctima actúe sin pensar demasiado.
Además del fraude del «sí», en España se han popularizado timos como la llamada perdida, la doble llamada o las falsas incidencias de seguridad. En todos ellos, los delincuentes juegan con la psicología: nos hacen creer que tenemos un problema (un cargo no autorizado, una deuda, un servicio activado sin permiso) y, a continuación, nos ofrecen la solución, que pasa inevitablemente por facilitar datos personales o bancarios.
En este contexto, la recomendación de los expertos es clara: nunca facilitar información sensible por teléfono si no hemos sido nosotros quienes hemos iniciado la llamada a través de un número oficial obtenido por nuestros propios medios (web oficial, extracto bancario, contrato, etc.).
¿Qué dicen la Policía Nacional, el INCIBE y el Banco de España?
Las autoridades llevan tiempo tratando de concienciar a la ciudadanía sobre este tipo de engaños. La Policía Nacional, a través de sus perfiles en redes sociales, ha insistido en que «tu respuesta al contestar una llamada te puede salir cara», advirtiendo expresamente sobre llamadas en las que los estafadores se hacen pasar por entidades bancarias o servicios de atención al cliente mientras graban la voz del usuario.
El INCIBE, por su parte, ha explicado con detalle esta modalidad en su portal y en el área de Ciudadanía, enmarcándola dentro de las campañas de ciberseguridad y educación digital. Señala cómo se desarrolla la estafa, qué señales de alerta debemos vigilar y qué pasos seguir si sospechamos que hemos sido víctimas de un intento de fraude.
Al mismo tiempo, el Banco de España ha introducido un matiz importante: recuerda que no existen sistemas de banca que permitan autorizar operaciones únicamente con la voz. Esto significa que, en la práctica, el riesgo de que nos carguen directamente una operación bancaria sólo porque alguien tiene grabado nuestro «sí» es muy reducido. El verdadero problema es todo lo que puede desencadenarse alrededor de esa grabación y la posible captación posterior de más datos personales.
¿Cómo reducir el riesgo: formas seguras de contestar al teléfono?
Una de las recomendaciones más repetidas por expertos en ciberseguridad es modificar un pequeño gesto que tenemos muy interiorizado: evitar contestar al teléfono con «sí» de forma automática. Un cambio tan sencillo en la forma de responder puede reducir notablemente las ocasiones en las que nuestra respuesta afirmativa es capturada sin contexto.
En lugar de «¿sí?», se aconseja usar fórmulas como «dígame» o «quién es», que cumplen la misma función comunicativa sin implicar una aceptación. De esta forma, si la llamada es legítima, no habrá problema en seguir la conversación; y si no lo es, al menos no les facilitamos ese «sí» tan directo que buscan grabar.
Conviene también ser especialmente cauteloso con las llamadas de números desconocidos, ocultos o internacionales. No es necesario responder siempre: si no esperamos ninguna gestión, podemos optar por dejar que salte el buzón de voz o usar herramientas para filtrar llamadas. No es necesario devolver la llamada a menos que, al comprobar el número por nuestra cuenta, confirmemos que pertenece a una entidad legítima.
¿Qué hacer si ya has dicho «sí» y sospechas de una posible estafa?
Si en algún momento crees que has podido caer en un intento de fraude de este tipo, lo más importante es no dejarse llevar por el pánico y actuar con rapidez y cabeza fría. Que hayas contestado «sí» en una llamada sospechosa no implica automáticamente un daño, pero sí justifica tomar algunas medidas preventivas.
- Cuelga de inmediato si algo no te cuadra: si notas silencios extraños, preguntas imprecisas, prisas o un tono demasiado alarmista, termina la conversación sin dar más explicaciones.
- No devuelvas la llamada a números dudosos: si has recibido una locución que habla de una suscripción o pago premium, no llames al número que te faciliten; busca por tu cuenta el teléfono oficial de la empresa o banco.
- Revisa tus cuentas bancarias y tarjetas con frecuencia: durante los días posteriores, conviene comprobar que no aparecen cargos no reconocidos o movimientos extraños.
- Cambia contraseñas y códigos de seguridad que creas que puedan estar comprometidos, especialmente los relacionados con banca online, correo electrónico o servicios sensibles.
- Guarda todas las pruebas de la llamada: número desde el que te llamaron, fecha y hora, posibles grabaciones, SMS o correos relacionados. Todo esto será útil si decides denunciar.
- Contacta con tu banco u operador a través de sus canales oficiales si sospechas que la llamada tenía que ver con servicios financieros o de telecomunicaciones, para que revisen tu caso y extremen las precauciones.
- Presenta denuncia ante las Fuerzas y Cuerpos de Seguridad del Estado si detectas cualquier uso fraudulento de tus datos o intentos de estafa consumados.
Controla qué se sabe de ti: egosurfing y reputación online
Una herramienta útil para detectar posibles usos indebidos de tu identidad es practicar de vez en cuando el llamado egosurfing, es decir, buscar tu propio nombre completo en Internet para ver qué información aparece asociada a ti en webs, foros o redes sociales.
Este hábito ayuda a descubrir si se está difundiendo información personal sin tu consentimiento o si tu nombre está vinculado a páginas sospechosas. Además, se recomienda configurar alertas de Google con tu nombre o combinación de nombre y apellidos, de manera que recibas avisos cuando surjan nuevas menciones relevantes que puedan requerir tu atención.
Si detectas que tus datos aparecen en contextos fraudulentos o en sitios web que no reconoces, puedes solicitar su eliminación siguiendo los procedimientos de cada plataforma y, en casos graves, recurrir a las autoridades o a organismos especializados en protección de datos.
Formación en ciberseguridad: una inversión cada vez más necesaria
Los incidentes relacionados con fraudes telefónicos, estafas online y suplantaciones de identidad son cada vez más frecuentes y, además, cada vez más complejos. Por eso, diferentes organismos y centros de formación están impulsando cursos y talleres de ciberseguridad para ciudadanos de todas las edades.
Iniciativas como los cursos de «Ciberseguridad y privacidad en la red» en espacios públicos de formación digital o los recursos del portal del INCIBE para la ciudadanía permiten adquirir nociones básicas sobre protección de datos, uso seguro del móvil, detección de fraudes y buenas prácticas online. Todo ello contribuye a que cada persona sea más autónoma y esté mejor preparada para tomar decisiones informadas cuando recibe una llamada o un mensaje sospechoso.
Al final, se trata de combinar prudencia, sentido común e información. Cambiar pequeños hábitos como la forma de contestar al teléfono, aprender a desconfiar de llamadas alarmistas y saber cómo actuar si dudamos de la legitimidad de una comunicación puede marcar la diferencia entre sufrir una estafa o desbaratarla a tiempo.
En un escenario donde los delincuentes aprovechan cualquier vía para intentar engañar, desde SMS y correos hasta redes sociales y llamadas, tener claros los riesgos de responder «sí» al teléfono, saber cómo intentan manipularnos y qué pasos dar si sospechamos de un fraude nos permite mantener nuestros datos, nuestro dinero y nuestra identidad mucho mejor protegidos, sin renunciar a usar el teléfono con normalidad pero sí haciéndolo con mucha más cabeza. Comparte esta información para que otros usuarios conozcan del tema.