Abogados de Vishing y Suplantación de Voz con IA

El vishing con IA ha convertido en accesibles ataques que antes requerían capacidades sofisticadas. Con una muestra de 10-30 segundos —obtenida de redes sociales, podcasts, llamadas comerciales o entrevistas— los modelos generativos actuales producen una voz clonada capaz de mantener una conversación telefónica creíble. Las víctimas típicas son empleados de empresa (estafa del CEO con orden urgente de transferencia), familiares mayores (suplantación de hijo/nieto en emergencia simulada) y clientes bancarios (falsos avisos de seguridad).

Tecnología de Clonación de Voz

La síntesis de voz moderna no imita el timbre de forma genérica: clona la voz concreta de una persona a partir de muestras breves. Modelos comerciales y de código abierto reproducen no solo el tono, sino la entonación, el acento y las muletillas, hasta sostener una conversación espontánea. La barrera técnica que antes protegía a las víctimas —la dificultad de falsificar una voz reconocible— ha desaparecido. Esto convierte en prueba potencialmente engañosa cualquier grabación de audio aportada a un proceso: la voz ya no garantiza la identidad de quien habla. Por eso, toda grabación incorporada como prueba de cargo debe poder someterse a contradicción pericial, y no presumirse auténtica por el solo hecho de "sonar" como el acusado.

Modus Operandi del Vishing IA

El ataque sigue un patrón reconocible. (1) Recopilación de muestras: el atacante obtiene audio de la persona a suplantar en redes sociales, entrevistas o llamadas previas. (2) Generación de la voz clonada con el modelo elegido. (3) Llamada de urgencia que simula al directivo o al familiar y rompe los protocolos habituales: prisa, confidencialidad, evitación de la videollamada, cambio de los canales de comunicación normales. (4) Transferencia inmediata a una cuenta mula desde la que el dinero se dispersa en minutos. Reconstruir técnicamente este iter —muestreo, generación, llamada, transferencia— es esencial tanto para la acusación (acreditar el fraude) como para la defensa (discutir la autenticidad de la grabación o la diligencia exigible a la víctima).

Peritaje Acústico Forense

La detección de voz sintética se apoya en análisis espectral y biométrico-vocal: identificación de huellas frecuenciales típicas de modelos generativos, inconsistencias en la prosodia y el ritmo respiratorio, ausencia de microvariaciones naturales de la voz humana, y artefactos en transiciones fonéticas. Los peritos acústicos forenses con experiencia judicial pueden documentar metodológicamente la naturaleza sintética del audio con un grado de certeza alto en la mayoría de los casos. Cuando se aporta una grabación como prueba de la autoría, instamos el peritaje acústico contradictorio: quien aporta el audio soporta la carga de acreditar su autenticidad e integridad.

Tipos Penales Aplicables

El vishing es, ante todo, un fraude. La conducta nuclear integra el delito de estafa (Art. 248 CP) y, por la cuantía o el modus operandi, la estafa agravada (Art. 250 CP), con pena de prisión de 1 a 6 años. Cuando el atacante usa la identidad de un tercero con perjuicio, puede concurrir la suplantación de identidad (Art. 401 CP), castigada con prisión de 6 meses a 3 años. Y si la voz clonada sirve para acceder a comunicaciones, cuentas o datos protegidos, entra en juego el descubrimiento y revelación de secretos (Art. 197 CP). La calificación exacta depende del resultado y de los medios empleados, y con frecuencia se resuelve como un concurso de delitos.

Defensa Corporativa y Personal

La defensa se ajusta a la posición del cliente. Para la empresa o el particular perjudicados, articulamos la acusación, reconstruimos el vector de ataque y analizamos la responsabilidad de la entidad bancaria: bajo la PSD2 y la autenticación reforzada, el banco puede responder si no aplicó controles razonables de operativa atípica. La cooperación bancaria urgente —activación del protocolo frente a operaciones sospechosas y solicitud de retroceso si la transferencia es reciente— puede recuperar fondos. Para la persona acusada, el eje es el peritaje acústico contradictorio sobre las grabaciones y el análisis de la cadena de custodia. En el plano preventivo, un protocolo corporativo anti-vishing (verificación multicanal, doble confirmación, palabra clave) opera además como prueba de diligencia.

Encaje penal del vishing y la clonación de voz: ¿qué delito se aplica?

La conducta de fondo del vishing y de la suplantación de voz con IA es patrimonial: se obtiene dinero o un activo mediante engaño. Cuando ese engaño se dirige a una persona que, creyendo la voz auténtica, realiza por sí misma la disposición (autoriza una transferencia, dicta unas claves, entrega efectivo), el tipo aplicable es la estafa común de los artículos 248 y 250 del Código Penal, con la pena agravada del 250 cuando concurre, por ejemplo, especial gravedad por la cuantía o abuso de relaciones personales. La voz clonada es aquí el medio del engaño bastante, no un tipo penal autónomo.

En cambio, cuando la maniobra opera sobre el propio sistema informático —se introducen, alteran o transmiten datos para conseguir una transferencia no consentida sin que intervenga la voluntad engañada de un humano— el encaje correcto es la estafa informática del artículo 249.1.a del Código Penal. Es un tipo de configuración propia que no exige el engaño bastante clásico, porque la manipulación informática actúa directamente en perjuicio del tercero. Distinguir ambas figuras importa porque cambia el relato de los hechos, la prueba a practicar y, llegado el caso, el marco de pena y de responsabilidad civil aplicable.

Delitos que pueden concurrir: usurpación de estado civil, datos personales e integridad de sistemas

El vishing rara vez es un delito aislado. Hacerse pasar de forma estable por otra persona, asumiendo su identidad para producir efectos jurídicos en su nombre, puede integrar la usurpación de estado civil del artículo 401 del Código Penal, figura distinta del mero uso puntual de un nombre falso. Si para preparar el fraude se accede sin autorización a datos reservados, se interceptan comunicaciones o se difunden datos personales obtenidos ilícitamente, entra en juego el artículo 197 (descubrimiento y revelación de secretos) y, cuando se vulnera la seguridad de un sistema accediendo a él sin autorización, el artículo 197 bis.

Conviene tratar con cautela el reproche por deepfake. El artículo 197.7 castiga difundir imágenes o grabaciones íntimas reales obtenidas con consentimiento; según la lectura mayoritaria no abarca con nitidez las imágenes íntegramente sintéticas creadas con IA, que no reproducen una realidad captada. Para contenido íntimo plenamente fabricado de una persona adulta, la vía suele reconducirse a la dignidad e integridad moral (artículo 173), no al 197.7. Si además se daña, borra o inutiliza información o sistemas ajenos, puede sumarse el delito de daños informáticos del artículo 264. La defensa debe vigilar que no se acumulen tipos por los mismos hechos vulnerando el principio non bis in idem.

Prueba digital forense y licitud de su obtención

El núcleo probatorio del vishing es digital: registros de llamada y trazas de telefonía, metadatos, números de origen suplantados (caller ID spoofing), grabaciones, capturas, IPs, rastros de la cuenta de destino y muestras de voz sobre las que se discute si hubo síntesis con IA. La cadena de custodia y la integridad de esos elementos —función hash, clonado forense, fecha cierta— son decisivas: una recogida defectuosa o una manipulación no documentada abren una línea de defensa sólida frente a su valor probatorio.

La obtención de esa prueba está sujeta a garantías constitucionales y procesales. La interceptación de comunicaciones afecta al secreto del artículo 18.3 de la Constitución y exige autorización judicial motivada conforme a los artículos 588 bis a) y siguientes y, en concreto, a los artículos 588 ter para la intervención de las comunicaciones telefónicas y telemáticas; el registro de dispositivos de almacenamiento masivo de información requiere la cobertura del artículo 588 sexies de la Ley de Enjuiciamiento Criminal. La defensa examina la proporcionalidad, la especialidad y la necesidad de cada injerencia: la prueba obtenida con vulneración de derechos fundamentales es nula (artículo 11.1 de la Ley Orgánica del Poder Judicial) y arrastra a la derivada de ella.

Procedimiento, tribunal competente, prescripción y conformidad

La instrucción de estos asuntos corresponde al Juzgado de Instrucción del lugar de los hechos. El enjuiciamiento depende de la pena: cuando el límite máximo previsto no supera los cinco años de prisión conoce el Juzgado de lo Penal, y cuando excede de cinco años corresponde a la Audiencia Provincial. No es competencia de la Audiencia Nacional salvo que exista una conexión expresa que la atribuya legalmente; el carácter tecnológico o transfronterizo del fraude no la convierte por sí solo en competente. En la figura del mulero o cuenta puente, la línea entre dolo eventual y mera imprudencia, y la posible aplicación del blanqueo imprudente del artículo 301.3, son determinantes para la calificación y la pena.

La prescripción se rige por el artículo 131 del Código Penal en función de la pena máxima del delito: si esa pena no excede de cinco años, el plazo de prescripción es de cinco años; si es superior a cinco y no excede de diez, el plazo es de diez años. No existe un tramo intermedio de tres años para estas figuras. Cuando la prueba es sólida, una conformidad bien negociada puede reducir la pena y acotar la responsabilidad civil; cuando hay debilidades en la cadena de custodia, en la licitud de la injerencia o en la prueba del dolo, conviene sostener el juicio. Esta exposición es orientativa y cada asunto exige análisis individual.