Los ciberdelincuentes siempre están buscando nuevas formas de explotar la psicología humana, y el vishing —o phishing de voz— es una de sus tácticas más insidiosas.
Y con el auge de la IA, los ataques de vishing se han vuelto más sofisticados que nunca. Hasta el punto de que son casi indistinguibles de las llamadas legítimas.
Pero, ¿cómo funciona el vishing y cómo puede protegerse para no caer en esta trampa? En este artículo explicamos:
- Las técnicas que utilizan los estafadores para los ataques de vishing.
- Ejemplos reales de vishing y su coste asociado.
- Consejos para detectar un ataque vishing cuando se produce.
- Pasos prácticos para salvaguardar sus datos sensibles.
Exploremos.
¿Qué es el Vishing?
Empecemos por el principio y definamos qué es realmente el vishing.
El vishing es una forma específica de ingeniería social, más concretamente un ataque de phishing realizado por teléfono. Al igual que en el phishing, se insta a la víctima a compartir cierta información confidencial mediante una excusa falsa creada por el estafador.
Si aún no lo ha hecho, asegúrese de consultar nuestra guía sobre ataques de phishing. Muchas de las técnicas descritas en ese artículo también son aplicables a los ataques de vishing, por lo que no las reiteraremos aquí.
Sin embargo, aquí están los detalles:
- Los ataques de phishing se basan en la confianza. Pretenden engañar a la víctima para que haga cosas que haría habitualmente con una organización concreta (hacer clic en un enlace, descargar un archivo, etc.) porque confía en la llamada y no cuestiona el origen del mensaje.
- Los ataques de phishing intentan convencerle de que haga clic en un enlace o abra un archivo adjunto, lo que le lleva a sitios web falsos o incluso a programas maliciosos.
- Los estafadores utilizarán la urgencia («Debe actuar AHORA») o las amenazas («Le cerrarán la cuenta») para que actúe sin pensar.
- También pueden atraerle con cebos («¡Ha ganado 1 millón de dólares! Haga clic aquí para reclamarlos») en ataques de baiting.
Sin embargo, en los ataques vishing, estas tácticas se aplican a tope.
Veamos un ejemplo concreto para que se haga una idea.
Recibe un correo electrónico que dice ser de su banco y en el que le advierten de que «el cierre de su cuenta de Paypal es inminente. Nuestros registros indican que tiene un saldo pendiente. Por favor, llame a nuestro servicio de atención al cliente al 00-… para evitar la eliminación de la cuenta.»
Usted llama al número y contesta un supuesto agente de Paypal. A continuación, le piden el número de su documento nacional de identidad y el número de su tarjeta de crédito para validar la titularidad de su cuenta. Una vez que facilita la información, se corta la comunicación.
Por desgracia, acaba de proporcionar información crítica a estafadores que ahora pueden utilizarla para vaciar su cuenta bancaria…
¿Por qué son tan eficaces los ataques de vishing?
Hay muchas razones por las que los ataques vishing tienen tanto éxito:
- Información correcta: Los atacantes ya tienen su nombre, dirección y número de teléfono. La mayor parte de esta información ya está disponible en la «dark web» gracias a hackeos anteriores. Esto hace que su enfoque parezca totalmente legítimo.
- Urgencia: Le hacen creer que su dinero o tus datos están en peligro y que tiene que actuar con rapidez. El miedo suele llevar a la gente a actuar sin pensar. Esto es más cierto cuando habla por teléfono con alguien, cuando tiene aún menos tiempo para pensar racionalmente.
- El número de teléfono parece legítimo: Gracias a la suplantación del identificador de llamadas, el número de teléfono parece proceder de una institución de confianza. Esto hace que sea mucho más probable que conteste.
- Gracias a la IA, los estafadores pueden desplegar ataques de vishing a escala. Incluso pueden hacerse pasar por personas que conoce replicando perfectamente sus voces (pero hablaremos de ello más adelante).
Los ataques de vishing son difíciles de rastrear porque «mayoritariamente» utilizan VoIP (Voz sobre Protocolo de Internet). En consecuencia, esto significa que inician y terminan una llamada en un ordenador que puede estar situado en cualquier parte del mundo.
El auge de la IA en los ataques de vishing
Los ciberdelincuentes siempre han adaptado sus tácticas para explotar las nuevas tecnologías, y la IA no es diferente.
En particular, la IA está haciendo que los ataques de vishing sean más sofisticados, convincentes y escalables que nunca.
Deepfakes, síntesis de voz, segmentación avanzada… Exploremos cómo la IA está haciendo que los ataques de vishing sean más peligrosos que nunca.
Voces falsas
Uno de los usos más alarmantes de la IA en los ataques de vishing es la tecnología de voz deepfake.
Los ciberdelincuentes pueden ahora clonar la voz de una persona utilizando sólo una breve muestra de audio, lo que hace que el fraude por suplantación de identidad (o «spoofing») sea más convincente que nunca.

Lo que da miedo es que los estafadores no necesitan grandes muestras de audio para replicar la voz de uno. Basta con entre 3 y 5 minutos de audio para crear una réplica de voz convincente. Microsoft llegó a afirmar que sólo necesitaban 3 segundos de su voz para replicarla.
Utilizando esta tecnología, los estafadores han imitado con éxito a directores generales (como veremos en los estudios de casos más adelante) e incluso a miembros de la familia para engañar a las víctimas para que transfieran fondos o revelen información sensible.
A medida que avance la tecnología, será más difícil que nunca distinguir las voces humanas reales de las replicadas por la IA.
Chatbots de IA
Los ataques tradicionales de vishing se basaban en estafadores humanos, pero ahora los bots de voz con IA pueden mantener conversaciones en tiempo real utilizando el procesamiento del lenguaje natural (PLN). Estos sistemas impulsados por IA pueden responder dinámicamente a las víctimas, superando las limitaciones anteriores de los mensajes de estafa pregrabados.
Los atacantes utilizan estos chatbots para hacerse pasar por:
- Representantes del banco.
- Agentes de soporte técnico para robar credenciales.
- Personal de RRHH que realiza «verificaciones de seguridad».
De repente, esto hace que los ataques de vishing sean mucho más escalables. Ya no se necesita un único estafador para cada víctima: ahora los ataques de vishing pueden automatizarse a gran escala, dirigiéndose a miles de víctimas simultáneamente. Esto aumenta significativamente sus tasas de éxito.
Ataques de vishing hiperpersonalizados
Gracias a la IA, los ciberdelincuentes pueden ahora analizar cantidades masivas de datos personales extraídos de las redes sociales, las filtraciones de datos y las interacciones online.
Los nombres de sus familiares y amigos, dónde ha estado de vacaciones, el banco que utiliza, el nombre de su mascota… Es probable que toda esta información esté disponible libremente con un poco de investigación. Pero la IA hace que todo este proceso sea mucho más fácil, rápido y barato.
Por tanto, los estafadores pueden elaborar ataques de vishing muy personalizados y difíciles de detectar. El contexto sonará legítimo, lo que aumentará la tasa de éxito de los ataques.
8 pasos para protegerse de los ataques de vishing
Todo esto puede sonar aterrador. ¿Cómo saber si una llamada es legítima hoy en día? Por suerte, siempre habrá estrategias paliativas que puede poner en marcha para detectar y protegerse de los ataques de vishing. Vamos a repasarlas:
- Nunca dé información personal por teléfono. Esto incluye números de la Seguridad Social, números del DNI, números de tarjetas de crédito, credenciales de acceso, números PIN, etc. Las organizaciones legítimas nunca le pedirán este tipo de información por teléfono.
- Nunca llame a un número que le hayan dado por SMS o correo electrónico. Tómese su tiempo para buscar el número legítimo (por ejemplo, directamente en el sitio web de su banco) y luego llámelo.
- ¿Sospecha algo? Cuelgue. Nunca ocurrirá nada malo si se toma unas horas para investigar el asunto supuestamente urgente antes de actuar.
- Limite la cantidad de información que comparte en Internet. Cuanta más información puedan recopilar los estafadores sobre usted, más convincentes serán sus ataques de vishing. Cuando se comunique por Internet, dele prioridad a los canales seguros, como Signal o los correos electrónicos cifrados.
- Establezca un código seguro o frase de contraseña entre usted y sus amigos y familiares. Si alguna vez sospecha que no está hablando realmente con ellos sino con una réplica de la IA, pídale la frase de contraseña. Así se asegurará de que está hablando con una persona real.
- ¿Hay un periodo de silencio antes de descolgar? Es probable que forme parte de la fase de reconocimiento de un ataque de vishing. Cuelgue y bloquee el número para que no vuelva a llamarle.
- Sea escéptico ante cualquier petición urgente, especialmente las financieras. Nada es urgente hasta el punto de que tenga que actuar en cuestión de minutos.
- Active la 2FA(autenticación de 2 factores) para evitar cualquier acceso no autorizado a sus cuentas.
Ejemplos reales de ataques de Vishing
Veamos ahora algunos casos reales de ataques vishing, y veamos qué podemos aprender de ellos.
La estafa de la suplantación de identidad de 3 millones de dólares
En agosto de 2022, un médico surcoreano recibió una serie de llamadas telefónicas de individuos que decían ser las autoridades.
Los delincuentes afirmaron ser fiscales que tenían pruebas de que las cuentas bancarias del médico se utilizaban para blanquear dinero. A menos que cooperara con la investigación, lo detendrían.
Incluso enviaron una orden de detención falsa por mensajes de texto, algo que las autoridades nunca harían. Bajo la presión de estas amenazas, el médico acabó transfiriendo un total de 3 millones de dólares.
Este caso pone de relieve la eficacia de los ataques de vishing que se aprovechan de la autoridad y el miedo. Los particulares deben tener cuidado con las llamadas no solicitadas de supuestos funcionarios y verificar las identidades a través de los canales oficiales antes de emprender cualquier acción.
Puedes consultar este artículo para obtener más información.
La falsa estafa del rescate
Más recientemente, en enero de 2025, una pareja de ancianos de Massachusetts fue víctima de una llamada telefónica fraudulenta de un supuesto abogado.
Les informaron falsamente de que un familiar cercano había sido detenido y necesitaba 10.000 dólares para pagar la fianza. Sin verificar la afirmación, retiraron la cantidad solicitada y se la entregaron a un mensajero (que en realidad no formaba parte de la estafa).
Sólo más tarde descubrieron que su familiar nunca había sido detenido. Pero para entonces, los 10.000 dólares habían desaparecido.
Los estafadores suelen utilizar la manipulación emocional durante los ataques de vishing para engañar a sus víctimas y hacer que actúen de inmediato. Este caso pone de relieve una vez más la importancia del pensamiento racional y de verificar las afirmaciones a través de canales secundarios.
Reflexiones finales sobre los ataques de Vishing
Hasta aquí esta guía sobre los ataques vishing. Espero que le haya resultado útil y que ahora sea capaz de detectarlos antes de ser víctima de ellos.
Si quiere mejorar su seguridad en Internet, el primer paso debe ser conseguir un proveedor de correo electrónico privado y seguro.
En Mailfence nos enorgullecemos de ofrecer:
- Herramientas avanzadas de seguridad: Cifrado de extremo a extremo, cifrado simétrico, firmas digitales y mucho más.
- Cero seguimiento ni publicidad. No utilizamos ningún rastreador de publicidad o marketing de terceros. No rastreamos su actividad en la aplicación. Mailfence está completamente libre de anuncios.
- Leyes de privacidad estrictas. Los servidores de Mailfence tienen su sede en Bélgica, donde existen leyes estrictas que protegen la privacidad. Sólo una orden judicial belga válida puede obligarnos a revelar datos.
¿Le interesaría llevar su privacidad y ciberseguridad al siguiente nivel? ¡Cree su cuenta gratuita hoy mismo!