Ir al contenido
Amenazas y Ataques

¿Qué es el vishing (estafa por teléfono)?

El vishing (unión de "voice" y "phishing", o phishing por voz) es una estafa de ingeniería social hecha por llamada telefónica, en la que el criminal se hace pasar por alguien de confianza, el banco, un proveedor, el soporte de TI o el propio jefe, para convencer a la víctima de revelar contraseñas, aprobar pagos o instalar un programa. Es el phishing sacado del correo y llevado a la voz, donde la presión del tiempo real y, cada vez más, la clonación de voz con inteligencia artificial vuelven el engaño mucho más convincente.

Zamak TechnologiesActualizado el 10 de julio de 2026

Cómo ocurre una estafa de vishing

El vishing no depende de tecnología sofisticada para empezar: depende de confianza y de urgencia. La estafa suele seguir cuatro etapas.

1

Preparación

El criminal reúne información pública sobre la víctima y la empresa (sitio, redes sociales, una filtración anterior) para sonar convincente y citar nombres y detalles reales.

2

La llamada

Llama enmascarando el número (caller ID spoofing) para aparecer como un contacto legítimo, y se presenta como banco, proveedor, soporte o ejecutivo de la propia empresa.

3

La presión

Crea un escenario urgente: un fraude que contener, un pago atrasado, un acceso que confirmar ahora. La prisa es el arma, porque impide que la víctima se detenga a verificar.

4

La acción

Bajo presión, la víctima entrega la contraseña, el código de verificación, autoriza la transferencia o instala el programa que el estafador pide, entregando el acceso sin darse cuenta.

Fuente: Cyber Encyclopedia de N-able y CrowdStrike (Informe Global de Amenazas).

Señales de una llamada de vishing

  • Urgencia exagerada: exige una acción inmediata y desalienta a que cuelgue y verifique
  • Pedido de dato confidencial por teléfono: contraseña, código de verificación de dos factores, datos de tarjeta
  • La identidad no cierra: el número parece oficial, pero el pedido es extraño para ese contacto
  • Presión por el secreto: "no comente con nadie", "es confidencial", para evitar que usted confirme
  • Instrucción para instalar un programa o acceder a un sitio durante la propia llamada
  • Una voz conocida pidiendo algo inusual: puede ser clonación de voz con IA imitando a un ejecutivo

Las variaciones de la estafa por voz

  • Número enmascarado (caller ID spoofing) El estafador falsifica el número que aparece en la pantalla para hacerse pasar por el banco, por un organismo oficial o por un contacto interno conocido.
  • Clonación de voz con IA Con pocos segundos de audio público, la inteligencia artificial imita la voz de un ejecutivo para autorizar transferencias, el llamado fraude del CEO.
  • Vishing híbrido (el correo lleva al teléfono) Un correo pide que llame a un número de "soporte": del otro lado, un operador de vishing completa la estafa por la voz.
  • Falso soporte técnico El criminal llama alegando haber detectado un problema en su computadora y pide acceso remoto o la instalación de un programa para "corregir".

Por qué el vishing se volvió una de las amenazas que más crecen

+442%
de aumento en las llamadas de phishing por voz entre el 1.er y el 2.º semestre de 2024 (CrowdStrike, Informe Global de Amenazas 2025)
$ 25,6 M
el valor de un solo fraude por deepfake de voz y video en una videollamada con el falso "director financiero" (caso público, 2024)
15
transferencias fraudulentas autorizadas en un solo día en ese ataque, antes de que se notara el fraude

El vishing explotó porque la inteligencia artificial le quitó su mayor límite: la voz. Las llamadas de phishing por voz crecieron 442% entre el primer y el segundo semestre de 2024, y la clonación de voz transformó el fraude del ejecutivo de excepción en rutina. El caso más conocido muestra la escala del riesgo: en una empresa global de ingeniería, un empleado del área financiera fue convencido de hacer quince transferencias que sumaron cerca de $ 25,6 millones, después de participar de una videollamada en la que el "director financiero" y otros colegas eran, todos, deepfakes generados por IA a partir de grabaciones públicas. Lo que vuelve peligroso al vishing es que esquiva la defensa técnica: no hay adjunto para que el antivirus bloquee ni enlace para que el filtro frene, solo una persona presionada a tomar una decisión en segundos. Por eso la protección pasa por proceso y capacitación, no solo por tecnología.

Cómo proteger a la empresa contra el vishing

Como el vishing ataca a la persona, y no a la máquina, la defensa combina proceso y comportamiento. En el orden que más reduce el riesgo:

  1. Verificación por un segundo canalAnte cualquier pedido de dinero o de dato sensible por teléfono, cuelgue y confirme por un canal conocido e independiente (un número oficial, un contacto ya registrado), nunca por el número que llamó.
  2. Regla de doble aprobación para pagosNinguna transferencia relevante depende de una sola persona ni de un solo canal. Una segunda aprobación prevista en el proceso desarma el fraude del ejecutivo.
  3. Una segunda verificación de identidad (MFA)Si una contraseña se entrega en una llamada, un segundo factor impide que ella sola abra la puerta.
  4. Capacitación y simulaciónUn equipo que ya vio la estafa de cerca, incluidas las simulaciones, reconoce la presión y la incoherencia antes de actuar.
  5. Combinar la voz con el correoComo el vishing suele venir junto al correo y al mensaje, la seguridad de correo gestionada y el filtrado cortan el gancho que lleva a la víctima al teléfono.

En la práctica

La pregunta que revela el riesgo real: si alguien llamara ahora con la voz del director financiero pidiendo una transferencia urgente y secreta, ¿existe en la empresa una regla que obligaría a confirmar por otro canal antes de pagar, o la decisión dependería de la sangre fría de una persona bajo presión?

Cómo reduce Zamak el riesgo de vishing en su empresa

Zamak Technologies trata el vishing como un riesgo de personas y procesos, y no solo de tecnología. El programa combina capacitación y simulación de ingeniería social, seguridad de correo gestionada (que corta el gancho híbrido que lleva a la víctima al teléfono) y la segunda verificación de identidad, todo apoyado por un centro de operaciones de seguridad que monitorea señales de compromiso. La tecnología sostiene la defensa, pero quien desarma la estafa es un equipo preparado. Un buen punto de partida es la simulación de phishing, que muestra en una prueba segura cómo reaccionaría su equipo ante un pedido fraudulento.

Preguntas frecuentes sobre el vishing

¿Cuál es la diferencia entre phishing, vishing y smishing?
Son variaciones de la misma estafa de ingeniería social, cambiando el canal. El phishing usa el correo, el vishing usa la llamada telefónica ("voice phishing") y el smishing usa el mensaje de texto o las apps de mensajería. Muchos ataques combinan los tres: un correo que pide llamar, un mensaje que confirma la "llamada del banco".
¿Cómo funciona la clonación de voz en las estafas?
Con pocos segundos de audio público de una persona (un video, una charla, una reunión grabada), las herramientas de inteligencia artificial logran generar una imitación convincente de su voz. El estafador usa esa voz clonada para hacerse pasar por un ejecutivo y autorizar transferencias, el llamado fraude del CEO.
¿El identificador de llamadas garantiza que la llamada es legítima?
No. Los criminales usan una técnica llamada caller ID spoofing para hacer aparecer en la pantalla el número de un banco, de un organismo oficial o de un contacto interno. Ver un número conocido no prueba nada: la única garantía es colgar y llamar de vuelta a un número que usted mismo buscó.
¿Qué hacer si sospecho de una llamada de vishing?
No proporcione ningún dato ni tome ninguna acción durante la llamada. Cuelgue y confirme por un canal independiente y conocido. Avise al equipo de seguridad o de TI, porque un intento suele venir en serie contra varios empleados.
¿Una empresa pequeña también es blanco de vishing?
Sí, y muchas veces es blanco preferido, porque suele tener menos controles de proceso. El fraude del ejecutivo y el falso soporte técnico funcionan bien cuando una sola persona puede aprobar un pago o dar acceso sin una segunda verificación.
¿Solo la capacitación resuelve el vishing?
La capacitación es esencial, pero no alcanza por sí sola. Reduce la probabilidad de que la persona caiga, y el proceso (doble aprobación de pagos, verificación por segundo canal) garantiza que, aunque alguien sea engañado, la estafa no se complete. Defensa en capas de comportamiento y proceso, no una medida única.

Términos relacionados

Endpoint e Identidad
MFAPAM (acceso privilegiado)SSO (inicio de sesión único)
Detección y Respuesta
EDRMDRXDRMITRE ATT&CKSIEMSOC (centro de operaciones)
Red y Acceso
ZTNAFirewallVPNSASE
Gobernanza y Conformidad
LGPDISO 27001SOC 2NIST CSFShadow ITEvaluación de madurez cibernéticaHIPAAPCI DSSGDPRCMMCCIS ControlsISO 42001 (gestión de IA)NIST AI RMFNIST 800-171FTC SafeguardsISO 27701 (privacidad)FedRAMPGRC (gobernanza, riesgo, cumplimiento)vCIOvCISO
Conceptos y Fundamentos
Deep webZero TrustDefensa en profundidadSuperficie de ataqueEndpointMenor privilegio
IA y Seguridad
Shadow AIGobernanza de IAInyección de promptsOWASP LLM Top 10Deepfake