En México se registran diariamente alrededor de 14 mil quejas en promedio por fraudes relacionados con la banca, de acuerdo al Buró de Entidades Financieras (BEF). La mayoría no empieza con un mensaje ni con un correo, comienza con una llamada a tu teléfono que suena exactamente como la de un banco. A esto se le conoce como vishing y durante el Mundial de fútbol estará en su punto más alto.
La voz suena profesional, tranquila y completamente creíble. Te saluda por tu nombre, te dice que detectaron un cargo sospechoso en tu cuenta, te dan un número de referencia y te explican el proceso de cancelación. Te comenta que solo necesitan verificar tu identidad.
La estafa que llega por teléfono
Según David Herrerías, director de Prevención de Fraudes de HSBC México, el vishing es la modalidad de fraude bancario más frecuente en el país y la más efectiva, precisamente porque nadie la espera.
El fraude funciona porque quien llama conoce tu nombre, menciona tu banco y reproduce el tono de un call center real.
La Comisión Nacional para la Protección y Defensa de los Usuarios de Servicios Financieros (CONDUSEF) ha documentado cómo los ciberdelincuentes utilizan un esquema conocido como “mascarilla“: un dispositivo que falsifica el número desde el que llaman, haciendo aparecer en tu pantalla del teléfono el número oficial del banco. En algunos casos le piden a la víctima que lo verifique para ganarse su confianza: el número es real, la llamada no.
El Mundial: temporada alta para los ciberdelincuentes
Durante cuatro semanas millones de personas estarán más distraídas, emocionadas y conectadas debido al Mundial de fútbol. Para los grupos que operan estos fraudes, este evento es temporada alta.
Estas llamadas no se improvisan, se planean y los delincuentes ajustan sus guiones conforme avanza el torneo: un cargo sospechoso por la compra de boletos, una alerta bancaria por una transacción internacional, una promoción de viaje que requiere confirmar datos antes de que expire.
De acuerdo a la CONDUSEF, el 76.9% de los fraudes financieros reportados en México se concentran en tres métodos: llamadas que simulan ser del banco, mensajes SMS con pretextos de cargos sospechosos y sitios web falsos que imitan instituciones financieras. El vishing encabeza esa lista.
Cómo opera la llamada en tiempo real
El guion es casi idéntico en todos los casos:
- Primero la identificación: nombre del banco, número de referencia, tu nombre completo.
- Después el pretexto: un cargo no reconocido, una transacción sospechosa, un acceso no autorizado.
- Y finalmente la solución: que siempre requiere que tú hagas algo como confirmar un dato, ingresar a un enlace, autorizar una transferencia para “proteger” tu dinero.
Este es un ejemplo de estafa: el delincuente informa de un cargo de nueve mil ochocientos pesos. Le pide al usuario que responda “CANCELAR” por mensaje si no lo reconoce. Cuando el usuario responde, una supuesta operadora lo llama y lo guía hacia una página falsa donde ingresa su número de tarjeta, NIP, correo electrónico y contraseña.
No es alguien improvisando, los estafadores pueden clonar la respuesta de voz interactiva de los centros de atención bancaria para que el engaño sea más creíble. Es una operación con tecnología, guiones y división de roles.
El dato que nadie quiere calcular
Al cierre de 2025 se registraron más de 7.2 millones de reclamaciones contra instituciones bancarias en México, de las cuales 7 de cada 10 son atribuibles a posible fraude, según la CONDUSEF.
Pero lo más perturbador no es la escala, es el silencio alrededor de ella, apenas el 9% de las víctimas denuncia. La mayoría guarda silencio por desconfianza o la percepción de que no encontrará respuesta. Es así que, por cada fraude reportado, hay aproximadamente 10 que no se conocen, no se investigan y no se previenen.
Las tres reglas
- Tu banco nunca te va a pedir tu NIP por teléfono.
- Nunca te va a solicitar que transfieras dinero a otra cuenta para “protegerlo”.
- Y nunca va a necesitar tu contraseña para cancelar un cargo sospechoso.
Si una llamada te pide cualquiera de esas tres cosas, no importa qué tan profesional suene la voz ni que el número en pantalla parezca oficial, ya sabes lo que es.
La CONDUSEF lo confirma: ninguna institución financiera solicita datos personales por teléfono, a menos que haya sido el propio usuario quien llamó primero. Si tú no marcaste, cualquier llamada solicitando tus datos es una alerta roja.
¿Qué hacer si ya proporcionaste tus datos?
- El tiempo importa, llama de inmediato a tu banco usando el número del reverso de tu tarjeta o de la app oficial, nunca el número que te llamó.
- Solicita el bloqueo preventivo de tarjetas y accesos a banca digital. Revisa movimientos y reporta cualquier transacción no reconocida.
- Después denuncia a alguna de estas tres dependencias federales que reciben tu reporte desde cualquier estado del país:
- CONDUSEF, fraudes financieros: gob.mx / 800 999 8080.
- Guardia Nacional, delitos digitales: 088.
- Profeco, fraudes con empresas o plataformas: gob.mx / 800 468 8722.
La llamada que no deberías contestar
El vishing funciona porque nadie espera que la llamada de su banco sea una trampa. La urgencia de la voz al otro lado está ahí para que actúes antes de pensar. Y casi siempre funciona.
La defensa no requiere ningún conocimiento técnico, solo un hábito que vale la pena construir antes de que empiece el torneo de fútbol. Cuando una llamada te genere urgencia y te pida datos: CUELGA.
Llama tú al banco por tus propios medios, si el problema era real, sigue ahí.
Durante el Mundial, tu banco no te va a llamar para pedirte algo. Los que sí van a llamar son otros, pero NO CONTESTES.
Si conoces a alguien que contestaría esa llamada sin dudarlo, compártele este texto.
