El vishing explicado: la phishing por voz que las empresas ya no pueden ignorar

Información clave

Los ataques de vishing se dispararon un 442 % en el segundo semestre de 2024 y ahora representan más del 60 % de las intervenciones de respuesta a incidentes phishing, lo que convierte phishing por voz phishing principal vector de ingeniería social al que se enfrentan las empresas.
La clonación de voz mediante IA solo necesita tres segundos de audio para producir una réplica convincente, y el FBI ha emitido una advertencia oficial sobre mensajes de voz generados por IA que se hacen pasar por altos cargos del Gobierno estadounidense.
Scattered Spider de 2025-2026 afectó a más de 760 organizaciones mediante vishing, lo que demuestra que phishing por voz phishing un vector de acceso inicial a nivel empresarial, y no una estafa dirigida a los consumidores.
La detección de amenazas corporativas requiere correlacionar la actividad de las llamadas de voz con los eventos de autenticación: los registros de VoIP/SIP, las anomalías en las notificaciones de autenticación multifactorial (MFA) y los patrones de instalación de herramientas de acceso remoto proporcionan señales que el centro de operaciones de seguridad (SOC) puede aprovechar.
El vishing se corresponde con MITRE ATT&CK específicas del marco MITRE ATT&CK (T1566.004 y T1598.004) y los controles del marco de cumplimiento que las organizaciones deben incluir en sus programas de seguridad.

El vishing está creciendo más rápido que cualquier otro vector de ingeniería social. Según el Informe sobre amenazas globales de CrowdStrike para 2025, phishing por voz se dispararon un 442 % entre el primer y el segundo semestre de 2024, y el primer semestre de 2025 ya superó las cifras de todo el año 2024. Por su parte, Cisco Talos informó de que el vishing representó más del 60 % de todas las intervenciones de respuesta a incidentes phishing en el primer trimestre de 2025, lo que lo convierte en phishing más común con el que se topó su equipo. Para los equipos de seguridad que aún consideran el vishing como una simple molestia para los consumidores, los datos cuentan una historia diferente. Las campañas de nivel empresarial —impulsadas por la clonación de voz mediante IA, manuales de ingeniería social y alianzas coordinadas entre actores maliciosos— ahora se dirigen a credenciales de SSO, plataformas de CRM e identidades de ejecutivos a gran escala.

¿Qué es el vishing?

El vishing es una forma de phishing que utiliza la comunicación de voz —llamadas telefónicas, VoIP o mensajes de voz— para manipular a las víctimas con el fin de que revelen información confidencial, instalen herramientas de acceso remoto o transfieran fondos. El término combina «voz» yphishing, lo que lo sitúa junto al smishing ( phishing por SMS) y phishing spear phishing ( phishing por correo electrónico dirigido) en la taxonomía más amplia de la ingeniería social.

Lo que hace que el vishing sea especialmente peligroso es el propio canal de voz. Una llamada telefónica en directo transmite urgencia y autoridad de forma más convincente que un mensaje de texto. Los atacantes se aprovechan de ello haciéndose pasar por personas de confianza —personal del servicio de asistencia informática, representantes bancarios, funcionarios públicos o incluso ejecutivos cuyas voces han sido clonadas mediante inteligencia artificial—. El resultado es un ataque de ingeniería social que elude los filtros de correo electrónico, los escáneres de enlaces y muchos de los controles basados en texto en los que confían las organizaciones.

La magnitud del problema es considerable. El Informe sobre amenazas globales de CrowdStrike para 2025 documentó un aumento del 442 % en los ataques de vishing entre el primer y el segundo semestre de 2024. Cisco Talos confirmó esta tendencia desde el punto de vista de la respuesta a incidentes, al constatar que el vishing fue el phishing más común en el primer trimestre de 2025, representando más del 60 % de todas las interacciones phishing. Según Keepnet Labs, el 70 % de las organizaciones ha sido víctima de un phishing por voz.

Vishing, phishing smishing

Comprender cómo encaja el vishing dentro de la phishing ayuda a los equipos de seguridad a aplicar los controles adecuados a los vectores correspondientes.

Comparación entre phishing, el vishing y el smishing en cuanto a canales de distribución, señuelos habituales y requisitos de protección:

Tipo de ataque	Canal	Señuelo común	Diferencia clave
Phishing	Correo electrónico	Enlaces maliciosos, páginas de inicio de sesión falsas, fraude en las facturas	Bloqueado por las puertas de enlace de correo electrónico, filtrado de URL
Vishing	Llamada telefónica / VoIP / mensaje de voz	Suplantación de identidad por parte del servicio de asistencia informática, verificación bancaria, amenazas por parte de las autoridades	Elude los controles de seguridad basados en texto; aprovecha la autoridad de voz
Smishing	SMS / mensaje de texto	Entrega de paquetes, códigos MFA, alertas de cuenta	Se aprovecha de la confianza en los dispositivos móviles; el espacio limitado de la pantalla oculta las señales de alerta

La diferencia fundamental para los defensores: el vishing se lleva a cabo fuera de los canales que supervisan la mayoría de las herramientas de seguridad. phishing por correo electrónico y SMS phishing rastros digitales —URL, encabezados del remitente, metadatos del mensaje— que los sistemas de detección pueden analizar. El vishing deja una llamada telefónica y lo que la persona al otro lado decida hacer a continuación.

Cómo funciona el vishing

Un ataque típico de vishing sigue una secuencia estructurada que combina la preparación técnica con la manipulación psicológica.

Reconocimiento: los atacantes recopilan información sobre los objetivos a través de LinkedIn, directorios de empresas, bases de datos vulneradas y redes sociales. Esta fase de reconocimiento sirve para crear el pretexto.
Elaboración del pretexto: el atacante crea un escenario verosímil: una emergencia informática, una alerta de fraude bancario, una auditoría de cumplimiento normativo o una solicitud de un directivo.
Falsificación del identificador de llamadas: mediante la infraestructura de VoIP, los atacantes falsifican el identificador de llamadas para mostrar un número de confianza, como el servicio de asistencia de la empresa, un banco conocido o un organismo público.
Primera llamada y establecimiento de confianza: el atacante se gana la confianza del destinatario haciendo referencia a detalles concretos (nombre del empleado, departamento, números de incidencias recientes) recabados durante la fase de reconocimiento.
La manipulación psicológica —la urgencia («Tu cuenta se bloqueará en 15 minutos»), la autoridad («Somos el equipo de seguridad») y el miedo («Hemos detectado un acceso no autorizado»)— empuja a la víctima a obedecer.
Robo de credenciales o instalación de herramientas: se redirige al usuario a un sitio web destinado a robar credenciales, se le pide que facilite códigos de autenticación multifactorial (MFA) o se le indica que instale herramientas de acceso remoto como Quick Assist o AnyDesk.
Actividad posterior a la intrusión: los atacantes utilizan las credenciales sustraídas o el acceso remoto para desplazarse lateralmente, extraer datos, registrar la autenticación multifactorial (MFA) en dispositivos controlados por ellos o desplegar ransomware.

Los autores de ataques de vishing suelen buscar credenciales (contraseñas de SSO, códigos de MFA), acceso remoto a los sistemas (mediante la instalación de herramientas), información financiera (datos bancarios, autorizaciones de transferencias bancarias) y datos personales que les permitan llevar a cabo otras tácticas de ingeniería social.

Vishing y clonación de voz mediante deepfake impulsados por IA

La IA ha transformado el vishing, pasando de ser una operación manual a pequeña escala a convertirse en una amenaza a gran escala. La tecnología de clonación de voz solo necesita ahora tres segundos de audio para producir una réplica convincente de la voz de una persona, según la investigación VALL-E de Microsoft citada en phishing de voz recopiladas por Programs.com. Según las previsiones de Fortune para 2026 sobre deepfakes, la voz generada por IA ha superado el «umbral de la indistinguibilidad», lo que significa que el oyente medio no puede distinguir de forma fiable una voz clonada de una real.

Las consecuencias son graves. En mayo de 2025, el FBI publicó el aviso PSA250515 en el que alertaba de que actores maliciosos estaban utilizando mensajes de voz generados por IA para suplantar la identidad de altos cargos del Gobierno de EE. UU., dirigiéndose a funcionarios federales y estatales, tanto en activo como retirados, con el fin de obtener sus credenciales y hacerse con el control de sus cuentas. Se prevé que las pérdidas por fraudes basados en deepfakes alcancen los 40 000 millones de dólares en 2027, según estimaciones de Deloitte citadas en Programs.com. Esta es la evolución phishing basado en IA para la que los equipos de seguridad deben prepararse.

phishing por devolución de llamada phishing TOAD

phishing por devolución de llamada phishing también conocido como «ataque orientado al teléfono» (TOAD)— constituye una cadena de ataque híbrida que combina los canales de correo electrónico y voz. El patrón, ampliamente documentado por Cisco Talos en su informe de tendencias de respuesta a incidentes del primer trimestre de 2025, funciona así: los atacantes primero inundan la bandeja de entrada de la víctima con spam o envían un correo electrónico de notificación convincente (una confirmación de suscripción falsa, una factura o una alerta de seguridad). El correo electrónico incluye un número de teléfono de «asistencia técnica». Cuando la víctima llama, un atacante en directo le guía a través de la instalación de un software de acceso remoto como Quick Assist, lo que le otorga al atacante acceso directo al sistema.

Esta técnica es especialmente peligrosa porque es la propia víctima quien inicia la llamada, lo que le da una mayor sensación de seguridad que recibir una llamada de un número desconocido. Las campañas de BazarCall fueron pioneras en este enfoque, que se ha convertido en un patrón predominante en las operaciones de vishing dirigidas a empresas.

Tipos de ataques de vishing

Los ataques de vishing abarcan desde campañas masivas automatizadas hasta operaciones muy específicas. Cada tipo plantea retos distintos en cuanto a su detección y prevención.

Tipos de ataques de vishing clasificados según su sofisticación y el riesgo para las empresas:

Tipo de ataque	Objetivo típico	Técnica clave	Dificultad de detección
VoIP/marcación automática	Gran público	Los sistemas IVR automatizados marcan miles de números	Guiones genéricos de bajo a alto volumen
Suplantación de identidad de organismos públicos	Particulares, pequeñas empresas	Pretexto relacionado con el IRS, la Seguridad Social y las fuerzas del orden	Bajo-medio: patrones reconocibles
Vishing en instituciones financieras	Clientes bancarios, equipos financieros	Verificación de la cuenta, pretexto de alerta de fraude	Medio: utiliza datos reales de la cuenta
Suplantación de identidad por teléfono en el ámbito del soporte técnico	Empleados, personal del servicio de asistencia	Suplantación de identidad informática, instalación remota de herramientas	Medio-alto — Scattered Spider » según MITRE ATT&CK .004
phishing por devolución de llamada phishing TOAD	Empleados de la empresa	Una avalancha de correo basura seguida de técnicas de ingeniería social por teléfono	Alto: la víctima inicia el contacto
Suplantación de identidad de directores generales o ejecutivos	Finanzas, Recursos Humanos, asistentes ejecutivos	Voces falsificadas mediante deepfake, transferencias bancarias o solicitudes de datos	Elevada — IBM registra unas pérdidas de 25 millones de dólares en un caso en Hong Kong
Vishing con deepfakes generados por IA	Funcionarios públicos, ejecutivos	Clonación de voz mediante IA en tiempo real a partir de unos segundos de audio	Muy alta: indistinguible de la auténtica

Las organizaciones en las que el 70 % de los encuestados por Keepnet Labs afirma haber sido víctima de este tipo de ataques se enfrentan a unos costes anuales medios estimados de 14 millones de dólares derivados de los ataques de vishing, aunque esta cifra proporcionada por el proveedor debe interpretarse con cautela, dada la falta de claridad de su metodología. La conclusión clave es que el vishing ya no es un problema que afecte únicamente a los consumidores, sino que se trata de un vector sistemático de ingeniería social empresarial que los autores de las amenazas tratan como un servicio profesional.

El vishing en la práctica: casos prácticos de 2025-2026

El periodo 2025-2026 ha sido testigo de las campañas de vishing empresarial más importantes de las que se tiene constancia. Estos ejemplos demuestran que phishing ahora uno de los principales vectores de acceso inicial para los autores de amenazas avanzadas.

Scattered Spider (2025-2026). La campaña de vishing más impactante de este periodo tuvo como objetivo a más de 760 empresas, según ReliaQuest y Computer Weekly. El colectivo ShinyHunters, con acceso inicial proporcionado por Scattered Spider , utilizó kits de vishing personalizados para atacar entornos SSO (Google, Microsoft, Okta). Entre las víctimas confirmadas se encuentran Google, Cisco, Wynn Resorts (más de 800 000 registros de empleados), CarGurus (12,5 millones de registros) y la Universidad de Harvard. Picus Security calificó a esta alianza como uno de los supergrupos de ciberdelincuencia más peligrosos de 2025. La campaña demostró que el vishing se ofrece ahora como un servicio profesional, con operadores contratados por entre 500 y 1000 dólares por llamada que utilizan guiones preescritos dirigidos a los servicios de asistencia técnica de TI.

Fuga de datos en el CRM de Cisco (julio de 2025). Un empleado de Cisco fue víctima de ingeniería social a través de una llamada de vishing, lo que permitió al atacante acceder a un sistema CRM de terceros cloud y exportar información de perfiles. El propio aviso de seguridad de Cisco confirmó la fuga de datos, lo que pone de manifiesto que incluso las organizaciones más conscientes de la seguridad son vulnerables cuando se ve comprometida la seguridad de un solo empleado.

Advertencia del FBI (IC3) sobre suplantación de identidad mediante voces generadas por IA (mayo de 2025). El FBI emitió el aviso PSA250515 tras descubrir que, al menos desde abril de 2025, actores maliciosos habían estado utilizando mensajes de voz y de texto generados por IA para suplantar la identidad de altos cargos del Gobierno de EE. UU. La campaña tenía como objetivo a funcionarios federales y estatales, tanto en activo como retirados, con el fin de obtener sus credenciales. Según el seguimiento Cloud Google Cloud, estas técnicas siguen evolucionando y ampliando su alcance.

Fallo de seguridad en la Universidad de Harvard (noviembre de 2025). Los sistemas de Relaciones con Antiguos Alumnos y Desarrollo de Harvard se vieron comprometidos a raíz de un ataque de vishing. El fallo de seguridad dejó al descubierto datos de antiguos alumnos y relaciones de desarrollo, lo que, según estimaciones de los analistas, podría tener un impacto significativo a largo plazo para la institución.

Estos casos tienen un denominador común: el vishing sirvió como vector de acceso inicial que permitió el compromiso posterior: el robo de credenciales, la sustracción de datos y, en varios casos, las demandas de rescate.

Detección y prevención del vishing

Una defensa eficaz contra el vishing va más allá de limitarse a decir a los empleados que no respondan a llamadas desconocidas. Requiere correlacionar la actividad del canal de voz con los eventos de autenticación y desarrollar capacidades de detección en el SOC que identifiquen comportamientos sospechosos tras un ataque de vishing.

Estrategias de detección empresarial

Dado que la llamada de vishing en sí misma se produce fuera del alcance de la mayoría de los sistemas de supervisión de seguridad, los equipos del SOC deben centrarse en detectar los patrones de comportamiento que siguen a un ataque de vishing exitoso.

Señales de detección del SOC empresarial para actividades de compromiso posteriores al vishing:

Señal de detección	Fuente de datos	Medida del SOC
Instalación de herramientas de acceso remoto (Quick Assist, AnyDesk, TeamViewer)	EDR / telemetría de dispositivos finales	Alertar e investigar; bloquear las instalaciones no autorizadas de RAT
Envío de un mensaje MFA pocos minutos después de recibir una llamada	Registros del proveedor de identidad + registros de VoIP/SIP	Sincronizar los plazos; exigir la verificación de la llamada de respuesta antes de la aprobación
Restablecimiento de credenciales seguido de la inscripción de un nuevo dispositivo en la autenticación multifactorial (MFA)	Registros del proveedor de identidad / Azure AD / Okta	Analizar la cadena de cambios de identidad; solicitar la aprobación del responsable
Exportación de datos inusual desde el CRM/SaaS tras un evento de identidad	Registros de auditoría de CASB y SaaS	Relacionar con anomalías de identidad; activar la revisión de DLP
Autenticación mediante código de dispositivo OAuth desde una ubicación inesperada	Registros de inicio de sesión de Azure AD	Supervisar el uso indebido del flujo de códigos de los dispositivos: una nueva técnica de vishing
Problemas con la VPN o el acceso remoto fuera del horario laboral	Análisis de comportamiento / NDR	Correlacionar con eventos de identidad iniciados desde el teléfono

Este método de detección se ajusta a las directrices MITRE ATT&CK .004, que recomiendan supervisar los registros de llamadas de los dispositivos corporativos en busca de números inusuales y correlacionar los intentos de autenticación multifactorial (MFA) mediante notificaciones push con la actividad de llamadas de voz.

Mejores prácticas de prevención

Implemente procedimientos de verificación mediante devolución de llamada. Exija que todas las solicitudes confidenciales recibidas por teléfono se verifiquen mediante una devolución de llamada a un número previamente registrado y verificado de forma independiente. Esta única medida rompe el control que el atacante ejerce sobre el canal de comunicación.
Limita la instalación de herramientas de acceso remoto. El patrón de ataque de Cisco Talos del primer trimestre de 2025 consistía sistemáticamente en engañar a los usuarios para que instalaran Quick Assist. Limita qué herramientas de acceso remoto se pueden instalar y quién puede hacerlo mediante una lista de aplicaciones permitidas.
Aplicar la autenticación multifactorial con métodos phishing. Las claves de seguridad de hardware (FIDO2) resisten la ingeniería social de la MFA. Tenga en cuenta que la MFA basada en notificaciones push puede eludirse mediante vishing: los atacantes convencen a las víctimas para que aprueben la notificación push.
Implemente la autenticación de llamadas STIR/SHAKEN. Este protocolo de nivel de telecomunicaciones verifica la identidad de la persona que llama, lo que ayuda a detectar números falsificados antes de que lleguen a los empleados.
Realice simulaciones de vishing como parte de la formación en concienciación sobre seguridad. Según Keepnet Labs, las organizaciones que llevan a cabo simulaciones periódicas de vishing alcanzan tasas de éxito en el reconocimiento de ataques de hasta el 90 %. Sin embargo, el 33 % de los empleados formados sigue revelando información a pesar de las severas advertencias, lo que demuestra que la formación por sí sola no elimina el riesgo. Como referencia, el 6,5 % de los empleados revela información confidencial durante las pruebas simuladas de vishing.
Controlar los procesos de inscripción en SSO/MFA. Evitar el registro de dispositivos maliciosos tras el robo de credenciales exigiendo una verificación adicional para la inscripción de nuevos dispositivos.

Qué hacer si un ataque de vishing tiene éxito

Si un ataque de vishing compromete las credenciales o permite el acceso remoto, los equipos de seguridad deben rotar inmediatamente las credenciales afectadas, revocar las sesiones activas, auditar la cuenta comprometida para detectar accesos a los datos y cambios, comprobar si se han registrado nuevos dispositivos de autenticación multifactorial (MFA), analizar los terminales en busca de herramientas de acceso remoto e iniciar una investigación forense para determinar el alcance del acceso. La rapidez es fundamental: el margen de tiempo entre el compromiso inicial y la sustracción de datos suele medirse en minutos.

Vishing y cumplimiento normativo

El vishing se corresponde con controles específicos de los principales marcos de cumplimiento, una relación que, por el momento, ningún competidor entre los primeros resultados de búsqueda establece. Los equipos de GRC deberían incluir estas correspondencias en sus pruebas de auditoría y evaluaciones de riesgos.

Controles del marco de cumplimiento aplicables a la gestión del riesgo de vishing:

Marco	ID de control	Nombre del control	Importancia del vishing
MITRE ATT&CK	`T1566.004`	Spearphishing por voz (acceso inicial)	Correspondencia directa; ejemplos de procedimientos de Scattered Spider y Storm-1811
MITRE ATT&CK	`T1598.004`	Spearphishing por voz (reconocimiento)	Vishing en la fase de reconocimiento; llamadas al servicio de asistencia de LAPSUS$
LCR 2.0 DEL NIST	PR.AT	Sensibilización y formación	La formación en materia de seguridad debe incluir el reconocimiento del vishing
NIST SP 800-53	AT-2, AT-3	Formación en sensibilización, formación basada en funciones	El personal de atención al cliente y de soporte informático es el principal objetivo del vishing
CIS Controls v8	14.2, 14.5	Reconocer la ingeniería social, pruebas simuladas	Las simulaciones de vishing cumplen con el requisito 14.5
ISO 27001:2022	A.6.3, A.5.14	Concienciación sobre seguridad, transferencia de información	Políticas sobre la divulgación de información por teléfono
PCI DSS v4.0	12.6	Formación en concienciación sobre seguridad	La formación debe abarcar las amenazas a los datos de los titulares de tarjetas, incluido el vishing

Los marcos de cumplimiento proporcionan la estructura, pero solo funcionan cuando las organizaciones asocian realmente amenazas concretas, como el vishing, a controles específicos. Las directrices sobre ingeniería social de la CISA ofrecen un contexto adicional a las organizaciones que están desarrollando sus programas de defensa contra el vishing.

Enfoques modernos para la defensa contra el vishing

El sector de la seguridad está respondiendo al aumento de los casos de vishing con soluciones que abarcan la prevención, la detección y la respuesta. Entre las categorías principales se incluyen la detección y respuesta en red (NDR) para la detección del comportamiento tras un ataque de vishing, la detección y respuesta ante amenazas de identidad (ITDR) para la supervisión del uso indebido de credenciales, las plataformas de formación en concienciación sobre seguridad con capacidades de simulación de vishing y las nuevas herramientas de detección de deepfakes de voz.

En el ámbito de la detección de deepfakes, isVerified salió a la luz en enero de 2026 con aplicaciones diseñadas para identificar voces generadas por IA en tiempo real. La necesidad del mercado es evidente: solo en el primer trimestre de 2025 se perdieron más de 200 millones de dólares a causa de estafas de deepfakes. El informe Cyber Insights 2026 de SecurityWeek predice que la ingeniería social evolucionará hacia las «operaciones de relación»: campañas de manipulación psicológica sostenidas y asistidas por IA que combinan canales de voz, texto y vídeo a lo largo de semanas o meses, en lugar de llamadas puntuales.

Cómo Vectra AI la defensa contra el vishing

El vishing es un vector de acceso inicial. La llamada telefónica en sí misma es difícil de prevenir, pero lo que ocurre tras un ataque de vishing exitoso genera patrones de comportamiento detectables. Attack Signal Intelligence se centra en identificar los comportamientos posteriores a la compromisión que siguen a una llamada de vishing exitosa: instalación de herramientas de acceso remoto, uso anómalo de identidades, patrones inusuales de acceso a datos y movimiento lateral a través de la red. Esta filosofía de «asumir la compromisión» significa que los defensores obtienen cobertura incluso cuando la ingeniería social basada en la voz tiene éxito, ya que los atacantes aún necesitan actuar dentro de la red para lograr sus objetivos, y esas acciones generan señales.

Tendencias futuras y consideraciones emergentes

El panorama del vishing seguirá evolucionando rápidamente durante los próximos 12 a 24 meses. Hay varias novedades que merecen la atención de los responsables de seguridad.

Voz deepfake en tiempo real durante llamadas en directo. Los ataques actuales suelen utilizar mensajes pregrabados generados por IA, pero la tecnología para la conversión de voz en tiempo real durante conversaciones en directo está madurando. La competición de vishing con IA de DEF CON ya ha demostrado que la IA puede manipular con éxito a los objetivos mediante ingeniería social en entornos controlados, tal y como documentó IBM. A medida que esta capacidad se vuelva más accesible, la distinción entre una llamada «real» y una «sintética» desaparecerá por completo, lo que aumentará la demanda de la detección de comportamiento frente a la autenticación basada en la voz.

La profesionalización del «vishing como servicio».Scattered Spider ha puesto de manifiesto un modelo de servicio en el que se contrata a operadores de vishing, a los que se les paga por llamada (entre 500 y 1000 dólares), y se les proporcionan guiones preelaborados y datos sobre los objetivos. Esta profesionalización reduce las barreras de acceso y aumenta el volumen de ataques. Es de esperar que el vishing siga el modelo del «ransomware como servicio», con operadores especializados que se encarguen de las diferentes fases de la cadena de ataque.

Aceleración normativa. El Departamento de Servicios Financieros de Nueva York publicó en febrero de 2026 un aviso específico sobre el vishing, convirtiéndose en el primer organismo regulador financiero a nivel estatal en hacerlo. A medida que se acumulen los casos de violaciones de seguridad de gran repercusión, es probable que más organismos reguladores impongan controles específicos contra el vishing, pruebas de simulación de vishing y requisitos de notificación de incidentes.

Abuso del código de dispositivo en la autenticación. A finales de 2025 surgió una nueva técnica que combina el vishing con el abuso del flujo de autorización de dispositivos de OAuth 2.0, dirigida a entornos de Microsoft Entra. Esta técnica elude la autenticación multifactorial (MFA) tradicional al aprovechar un mecanismo de autenticación legítimo, por lo que las organizaciones deben dar prioridad a la supervisión de cualquier actividad inusual relacionada con el flujo de códigos de dispositivo.

Las organizaciones deberían invertir en tres áreas: capacidades de detección de amenazas a la identidad que correlacionen la actividad del canal de voz con los eventos de autenticación, autenticación multifactorial (MFA) phishing(llaves de hardware FIDO2) y programas periódicos de simulación de vishing que midan y mejoren la resiliencia de los empleados a lo largo del tiempo.

Conclusión

El vishing ha pasado de ser una estafa telefónica de baja tecnología a convertirse en uno de los vectores de acceso inicial más eficaces en el panorama de amenazas que afecta a las empresas. El aumento del 442 % registrado en 2024, el predominio del phishing las intervenciones de respuesta a incidentes y laScattered Spider , dirigida contra más de 760 organizaciones, apuntan todos a la misma conclusión: phishing el mismo nivel de inversión en medidas defensivas que phishing por correo electrónico phishing recibido durante las últimas dos décadas.

El camino a seguir combina tres elementos. En primer lugar, controles de procesos, como la verificación de devoluciones de llamada, que eliminan el control del atacante sobre el canal de comunicación. En segundo lugar, la detección técnica, que correlaciona la actividad del canal de voz con los eventos de autenticación y el comportamiento posterior a la intrusión. En tercer lugar, programas de concienciación sobre seguridad que incluyen simulaciones periódicas de vishing, sin olvidar que la formación por sí sola no puede eliminar el riesgo.

Las organizaciones que deseen reforzar su estrategia de defensa contra el vishing pueden descubrir cómo la plataforma Vectra AI detecta los comportamientos posteriores a la intrusión que se producen tras un ataque de ingeniería social exitoso, ya que asumir que se ha producido una intrusión es el primer paso hacia la resiliencia.

Preguntas frecuentes

¿Qué es el vishing en pocas palabras?

El vishing es una estafa en la que los atacantes utilizan llamadas telefónicas o mensajes de voz para engañar a las personas y que estas revelen información confidencial, como contraseñas, datos bancarios o códigos de autenticación multifactorial (MFA). El término combina «voz» yphishing». A diferencia phishing por correo electrónico, el vishing se aprovecha de la confianza y la urgencia que la comunicación vocal transmite de forma natural. La persona que llama puede hacerse pasar por su banco, su departamento de TI o incluso una agencia gubernamental. El objetivo es siempre el mismo: manipularle para que realice una acción que beneficie al atacante, ya sea leer en voz alta un código de verificación, instalar software de acceso remoto o transferir dinero a una cuenta fraudulenta. El vishing es una forma de ingeniería social y, según CrowdStrike, se disparó un 442 % en la segunda mitad de 2024.

¿Cómo funciona un ataque de vishing?

Un ataque de vishing suele seguir siete etapas: reconocimiento (recopilación de información sobre el objetivo), elaboración del pretexto (creación de una historia creíble), suplantación del identificador de llamada (hacer que la llamada parezca legítima), contacto inicial y establecimiento de una relación de confianza, manipulación psicológica mediante la urgencia o la autoridad, obtención de credenciales o instalación de herramientas remotas, y actividades posteriores a la intrusión, como el movimiento lateral o la exfiltración de datos. El éxito del atacante depende de convencer al objetivo de que la llamada es legítima en los primeros 30-60 segundos. Las operaciones modernas de vishing utilizan tecnología VoIP para realizar llamadas anónimas a gran escala, clonación de voz mediante IA para suplantar a ejecutivos y datos de reconocimiento detallados de LinkedIn y bases de datos vulneradas para que sus pretextos resulten convincentes. El informe de Cisco Talos del primer trimestre de 2025 reveló que phishing de devolución de llamada phishing en el que se engaña a la víctima para que llame al atacante— era el patrón dominante.

¿Cuáles son los indicios de un ataque de vishing?

Entre las señales de alerta clave se incluyen las llamadas no solicitadas que exigen una acción inmediata, las solicitudes de contraseñas o códigos de autenticación multifactorial (MFA) por teléfono, la presión para instalar software o conceder acceso remoto, los identificadores de llamadas que parecen legítimos pero cuya identidad no se puede verificar a través de un canal independiente, las amenazas de suspensión de la cuenta o de consecuencias legales, y las peticiones de eludir los procedimientos habituales debido a una «urgencia». En un contexto empresarial, hay que estar atento a las llamadas que se hacen pasar por el servicio de asistencia de TI o los equipos de seguridad fuera del horario laboral, a las personas que mencionan detalles internos específicos (para ganar credibilidad) pero eluden las solicitudes de verificación, y a cualquier llamada telefónica seguida inmediatamente de una notificación push de MFA. Los ataques de vishing más sofisticados —como los que utilizan la clonación de voz mediante IA— pueden no presentar ninguna de las señales de alerta tradicionales, por lo que los controles de detección técnica son complementos esenciales de la formación en concienciación.

¿Qué papel desempeña la IA en los ataques de vishing?

La IA ha agravado drásticamente la amenaza del vishing de tres maneras. En primer lugar, según una investigación de Microsoft VALL-E, la tecnología de clonación de voz puede producir una réplica convincente de la voz de una persona a partir de tan solo tres segundos de audio. Los atacantes utilizan grabaciones de conferencias sobre resultados financieros, presentaciones en congresos, redes sociales y mensajes de bienvenida de buzones de voz como material de partida. En segundo lugar, la IA permite la conversión de voz en tiempo real durante las llamadas telefónicas en directo, lo que permite a un atacante hablar con la voz de un director ejecutivo o de un compañero de confianza. En tercer lugar, los grandes modelos de lenguaje ayudan a los atacantes a generar guiones más convincentes, adaptarse a los objetivos en tiempo real y operar en varios idiomas. El FBI advirtió en mayo de 2025 que se estaban utilizando mensajes de voz generados por IA para suplantar a altos cargos del Gobierno de EE. UU. Según Deloitte, se prevé que las pérdidas por fraudes basados en deepfakes alcancen los 40 000 millones de dólares en 2027.

¿Cómo previenen las empresas los ataques de vishing?

La prevención del vishing en las empresas requiere un enfoque por capas que combine personas, procesos y tecnología. El control de procesos más crítico es la verificación mediante devolución de llamada, que exige que todas las solicitudes confidenciales recibidas por teléfono se verifiquen llamando de vuelta a un número prerregistrado y verificado de forma independiente. Los controles técnicos incluyen restringir la instalación de herramientas de acceso remoto (Quick Assist, AnyDesk, TeamViewer) mediante listas de aplicaciones permitidas, implementar autenticación multifactorial (MFA) phishing, como las claves de seguridad de hardware FIDO2, implementar la autenticación de llamadas STIR/SHAKEN para sistemas VoIP y supervisar los registros de los proveedores de identidad en busca de patrones anómalos que se correlacionen con la actividad iniciada por voz. En cuanto al factor humano, las organizaciones deben realizar simulaciones periódicas de vishing: según Keepnet Labs, las empresas que lo hacen alcanzan tasas de reconocimiento de ataques de hasta el 90 %, aunque un 33 % residual de los empleados formados sigue revelando información bajo presión, lo que demuestra la necesidad de contar con medidas de seguridad técnicas.

¿Qué es un phishing por devolución de llamada?

phishing por devolución de llamada, también conocido como «ataque orientado al teléfono» (TOAD), es un ataque híbrido que utiliza el correo electrónico como cebo para que la víctima realice una llamada telefónica. El atacante envía un correo electrónico —una confirmación de suscripción, una factura o una alerta de seguridad falsas— con un número de teléfono de «atención al cliente». Cuando la víctima llama, un atacante real se hace pasar por un miembro del personal de asistencia y le guía a través de una serie de acciones que comprometen su sistema, normalmente instalando software de acceso remoto como Quick Assist. Esta técnica es especialmente eficaz porque es la víctima quien inicia la llamada, lo que le da más seguridad que contestar a un número desconocido. Cisco Talos identificó phishing por devolución de llamada phishing el phishing más común en sus intervenciones de respuesta a incidentes del primer trimestre de 2025. Las campañas de BazarCall fueron pioneras en este enfoque, y ha sido adoptado por múltiples grupos de actores maliciosos, incluidos los vinculados a Scattered Spider .

¿Cuál es un ejemplo de un ataque de vishing?

El ejemplo más significativo de los últimos tiempos es la campañaScattered Spider de 2025-2026, que tuvo como objetivo a más de 760 empresas. Los atacantes llamaron a empleados de las organizaciones afectadas, se hicieron pasar por personal del servicio de asistencia técnica de TI y dirigieron a las víctimas a páginas de inicio de sesión falsas de SSO de Google, Microsoft y Okta. Una vez que obtuvieron las credenciales y los códigos de autenticación multifactorial (MFA), accedieron a los sistemas CRM de Salesforce y sustrajeron datos de clientes. Entre las víctimas confirmadas se encontraban Google, Cisco, Wynn Resorts (más de 800 000 registros de empleados) y CarGurus (12,5 millones de registros). En un incidente independiente ocurrido en julio de 2025, un único empleado de Cisco fue víctima de ingeniería social a través de una llamada de vishing, lo que condujo a la exportación de información de perfiles de CRM. Estos ejemplos demuestran que el vishing moderno tiene como objetivo la infraestructura empresarial, no solo las cuentas bancarias individuales.

¿Cómo denunciar un ataque de vishing?

Denuncia los ataques de vishing a través de varios canales al mismo tiempo. Presenta una denuncia ante el Centro de Denuncias de Delitos en Internet (IC3) del FBI en ic3.gov y notifícalo a la FTC en reportfraud.ftc.gov. Avisa inmediatamente al equipo de seguridad o de respuesta a incidentes de tu organización: deben evaluar si se han visto comprometidas las credenciales, si se ha concedido acceso remoto y qué datos pueden haber quedado expuestos. Si se ha comprometido información financiera, ponte en contacto directamente con tu banco utilizando el número que figura en tu tarjeta o extracto (no un número facilitado por el atacante). Documenta todo lo que recuerdes de la llamada: el número de teléfono que apareció en pantalla, las afirmaciones de la persona que llamó, la información que facilitaste y cualquier acción que realizaste durante o después de la llamada. Esta documentación servirá de apoyo tanto para la investigación como para cualquier notificación reglamentaria que sea necesaria.

¿Qué sectores son los más afectados por el vishing?

Los datos de la campaña 2025-2026 revelan que la tecnología, los servicios financieros, las telecomunicaciones, el comercio minorista y la educación superior se encuentran entre los sectores más afectados.Scattered Spider afectó a empresas de diversos sectores, entre ellos el tecnológico (Google, Cisco, Optimizely), el hotelero (Wynn Resorts), el automovilístico (CarGurus), el minorista (Pandora, Adidas), el de las telecomunicaciones (Odido en los Países Bajos, con entre 6,2 y 21 millones de registros expuestos), el de las aerolíneas (Qantas) y el de la educación superior (Harvard, UPenn). Las organizaciones de servicios financieros se enfrentan a un riesgo elevado porque el vishing se dirige directamente a los procesos de autorización financiera. Las organizaciones sanitarias son objetivo por los datos de los pacientes. El denominador común no es el sector en sí, sino el valor de los datos o el acceso que posee la organización, en particular las credenciales de SSO que desbloquean plataformas SaaS que contienen datos de clientes.

¿Puede la IA clonar tu voz para llevar a cabo un ataque de vishing?

Sí. La tecnología de clonación de voz mediante IA puede producir una réplica realista de la voz de una persona a partir de tan solo tres segundos de audio grabado. El material de partida puede proceder de conferencias sobre resultados, presentaciones en congresos, vídeos de YouTube, publicaciones en redes sociales o mensajes de bienvenida de buzones de voz —todo ello de dominio público en el caso de muchos líderes empresariales—. La tecnología actual permite tanto el uso de audio deepfake pregrabado como la conversión de voz en tiempo real durante llamadas en directo. Fortune informó a finales de 2025 que la voz generada por IA ha superado el «umbral de la indistinguibilidad», lo que significa que los oyentes medios no pueden distinguir la diferencia de forma fiable. Esto ha permitido ataques como el fraude de 25 millones de dólares en Hong Kong, donde un empleado fue engañado mediante una videollamada deepfake con voces clonadas de ejecutivos de la empresa, y la campaña documentada por el FBI que utilizaba mensajes de voz generados por IA para suplantar a altos funcionarios del Gobierno de EE. UU.