El fraude con voz clonada mediante IA crece en España en 2026, según INCIBE, con estafas que combinan SMS falsos, llamadas y transferencias bancarias fraudulentas.
Un empresario recibe un SMS que aparenta llegar de su entidad bancaria. Segundos después, suena el teléfono. Al otro lado de la línea, una voz idéntica a la de su director financiero le pide que autorice una transferencia urgente. La voz es la misma. El tono, las pausas, el acento. Todo encaja. Pero no es su director financiero. Es una grabación generada por inteligencia artificial. Cuando se percata del engaño, el dinero ya ha desaparecido.
Este tipo de fraude, conocido como estafa híbrida, combina tres técnicas en una sola secuencia que puede completarse en menos de diez minutos. Primero, un SMS falso que genera alarma. Después, una llamada con la voz clonada de alguien de confianza que confirma el contenido del mensaje. Y finalmente, una transferencia o un robo de credenciales que la víctima autoriza creyendo actuar correctamente.
El Instituto Nacional de Ciberseguridad (INCIBE) ha documentado durante los primeros meses de 2026 varios incidentes reales de esta naturaleza. En uno de los casos publicados en febrero, los delincuentes clonaron la voz del responsable de una empresa del sector comercio para desviar pagos a cuentas fraudulentas. En otro caso, la voz clonada fue la de un familiar, utilizada para solicitar un envío de dinero urgente.
Tres señales que delatan la estafa
La primera señal de alerta aparece cuando recibes un SMS con enlace de una entidad que normalmente no te escribe o que te exige actuar de inmediato. La segunda, cuando poco después llega una llamada que «confirma» exactamente lo que decía el mensaje. La tercera, cuando esa llamada incluye peticiones de datos bancarios, códigos de verificación o autorizaciones de pago por teléfono.
Qué hacer si has caído
Los expertos coinciden en que actuar dentro de la primera hora marca la diferencia. El primer paso es contactar directamente con el banco por el número oficial y solicitar el bloqueo inmediato. Después, presentar denuncia presencial ante la Policía Nacional o la Guardia Civil. Y finalmente, reportar el incidente al INCIBE a través de su línea 017.
La estafa con voz clonada por inteligencia artificial no es un tipo penal aislado. En la mayoría de los casos concurren simultáneamente los delitos de estafa del artículo 248 del Código Penal, usurpación de estado civil del artículo 401 y descubrimiento y revelación de secretos del artículo 197. Cuando la cantidad defraudada supera los 50.000 euros, la pena puede alcanzar los seis años de prisión», explica Juan Antonio Signes García, socio de Sanahuja Abogados Penalistas, y miembro de la European Criminal Bar Association (ECBA).
La CNMC mueve ficha, pero no basta
El pasado 27 de marzo, la Comisión Nacional de los Mercados y la Competencia aprobó la circular que regula el Registro de alias para SMS. Las obligaciones de bloqueo previstas en los arts. 7.2 y 8 de la Orden TDF/149/2025 producen efectos desde el 7 de junio de 2026. La medida dificulta el smishing, pero no afecta a la llamada con voz clonada, que opera por un canal telefónico distinto.
Ante la sofisticación creciente de estas técnicas, los expertos recomiendan establecer una contraseña verbal con familiares y personas de confianza, y no facilitar nunca datos bancarios ni códigos de verificación por teléfono, aunque la voz que escuchen resulte familiar.
El análisis penal completo de esta modalidad de fraude, incluyendo los delitos concurrentes, la defensa del investigado y las medidas de actuación inmediata para víctimas, puede consultarse en el artículo publicado por el despacho Sanahuja.