¿Qué es el vishing (estafa por teléfono)?
El vishing (unión de "voice" y "phishing", o phishing por voz) es una estafa de ingeniería social hecha por llamada telefónica, en la que el criminal se hace pasar por alguien de confianza, el banco, un proveedor, el soporte de TI o el propio jefe, para convencer a la víctima de revelar contraseñas, aprobar pagos o instalar un programa. Es el phishing sacado del correo y llevado a la voz, donde la presión del tiempo real y, cada vez más, la clonación de voz con inteligencia artificial vuelven el engaño mucho más convincente.
Cómo ocurre una estafa de vishing
El vishing no depende de tecnología sofisticada para empezar: depende de confianza y de urgencia. La estafa suele seguir cuatro etapas.
Preparación
El criminal reúne información pública sobre la víctima y la empresa (sitio, redes sociales, una filtración anterior) para sonar convincente y citar nombres y detalles reales.
La llamada
Llama enmascarando el número (caller ID spoofing) para aparecer como un contacto legítimo, y se presenta como banco, proveedor, soporte o ejecutivo de la propia empresa.
La presión
Crea un escenario urgente: un fraude que contener, un pago atrasado, un acceso que confirmar ahora. La prisa es el arma, porque impide que la víctima se detenga a verificar.
La acción
Bajo presión, la víctima entrega la contraseña, el código de verificación, autoriza la transferencia o instala el programa que el estafador pide, entregando el acceso sin darse cuenta.
Fuente: Cyber Encyclopedia de N-able y CrowdStrike (Informe Global de Amenazas).
Señales de una llamada de vishing
- Urgencia exagerada: exige una acción inmediata y desalienta a que cuelgue y verifique
- Pedido de dato confidencial por teléfono: contraseña, código de verificación de dos factores, datos de tarjeta
- La identidad no cierra: el número parece oficial, pero el pedido es extraño para ese contacto
- Presión por el secreto: "no comente con nadie", "es confidencial", para evitar que usted confirme
- Instrucción para instalar un programa o acceder a un sitio durante la propia llamada
- Una voz conocida pidiendo algo inusual: puede ser clonación de voz con IA imitando a un ejecutivo
Las variaciones de la estafa por voz
- Número enmascarado (caller ID spoofing) El estafador falsifica el número que aparece en la pantalla para hacerse pasar por el banco, por un organismo oficial o por un contacto interno conocido.
- Clonación de voz con IA Con pocos segundos de audio público, la inteligencia artificial imita la voz de un ejecutivo para autorizar transferencias, el llamado fraude del CEO.
- Vishing híbrido (el correo lleva al teléfono) Un correo pide que llame a un número de "soporte": del otro lado, un operador de vishing completa la estafa por la voz.
- Falso soporte técnico El criminal llama alegando haber detectado un problema en su computadora y pide acceso remoto o la instalación de un programa para "corregir".
Por qué el vishing se volvió una de las amenazas que más crecen
El vishing explotó porque la inteligencia artificial le quitó su mayor límite: la voz. Las llamadas de phishing por voz crecieron 442% entre el primer y el segundo semestre de 2024, y la clonación de voz transformó el fraude del ejecutivo de excepción en rutina. El caso más conocido muestra la escala del riesgo: en una empresa global de ingeniería, un empleado del área financiera fue convencido de hacer quince transferencias que sumaron cerca de $ 25,6 millones, después de participar de una videollamada en la que el "director financiero" y otros colegas eran, todos, deepfakes generados por IA a partir de grabaciones públicas. Lo que vuelve peligroso al vishing es que esquiva la defensa técnica: no hay adjunto para que el antivirus bloquee ni enlace para que el filtro frene, solo una persona presionada a tomar una decisión en segundos. Por eso la protección pasa por proceso y capacitación, no solo por tecnología.
Cómo proteger a la empresa contra el vishing
Como el vishing ataca a la persona, y no a la máquina, la defensa combina proceso y comportamiento. En el orden que más reduce el riesgo:
- Verificación por un segundo canalAnte cualquier pedido de dinero o de dato sensible por teléfono, cuelgue y confirme por un canal conocido e independiente (un número oficial, un contacto ya registrado), nunca por el número que llamó.
- Regla de doble aprobación para pagosNinguna transferencia relevante depende de una sola persona ni de un solo canal. Una segunda aprobación prevista en el proceso desarma el fraude del ejecutivo.
- Una segunda verificación de identidad (MFA)Si una contraseña se entrega en una llamada, un segundo factor impide que ella sola abra la puerta.
- Capacitación y simulaciónUn equipo que ya vio la estafa de cerca, incluidas las simulaciones, reconoce la presión y la incoherencia antes de actuar.
- Combinar la voz con el correoComo el vishing suele venir junto al correo y al mensaje, la seguridad de correo gestionada y el filtrado cortan el gancho que lleva a la víctima al teléfono.
En la práctica
La pregunta que revela el riesgo real: si alguien llamara ahora con la voz del director financiero pidiendo una transferencia urgente y secreta, ¿existe en la empresa una regla que obligaría a confirmar por otro canal antes de pagar, o la decisión dependería de la sangre fría de una persona bajo presión?
Cómo reduce Zamak el riesgo de vishing en su empresa
Zamak Technologies trata el vishing como un riesgo de personas y procesos, y no solo de tecnología. El programa combina capacitación y simulación de ingeniería social, seguridad de correo gestionada (que corta el gancho híbrido que lleva a la víctima al teléfono) y la segunda verificación de identidad, todo apoyado por un centro de operaciones de seguridad que monitorea señales de compromiso. La tecnología sostiene la defensa, pero quien desarma la estafa es un equipo preparado. Un buen punto de partida es la simulación de phishing, que muestra en una prueba segura cómo reaccionaría su equipo ante un pedido fraudulento.