Los ciberdelincuentes siempre están buscando nuevas formas de explotar la psicología humana, y el vishing -o phishing de voz- es una de sus tácticas más engañosas.
Y con el auge de la IA, los ataques de vishing se han vuelto más sofisticados que nunca. Hasta el punto de que son casi indistinguibles de las llamadas legítimas.
Pero, ¿cómo funciona el vishing y cómo puedes protegerte para no caer en esta trampa? En este artículo te lo explicamos:
- las técnicas que utilizan los estafadores para los ataques de vishing;
- ejemplos reales de vishing y su coste asociado;
- consejos para detectar un ataque vishing cuando se produce;
- y pasos prácticos para salvaguardar tus datos sensibles.
Exploremos.
¿Qué es el Vishing?
Empecemos por el principio y definamos qué es realmente el vishing.
El vishing es una forma específica de ingeniería social, más concretamente un ataque de phishing realizado por teléfono. Al igual que en el phishing, se insta a la víctima a compartir cierta información confidencial mediante una excusa falsa creada por el estafador.
Si aún no lo has hecho, asegúrate de consultar nuestra guía sobre ataques de phishing. Muchas de las técnicas descritas en ese artículo también son aplicables a los ataques de vishing, por lo que no las reiteraremos aquí.
Sin embargo, aquí está el TL;DR:
- Los ataques de phishing se basan en la confianza. Pretenden engañar a la víctima para que haga cosas que haría habitualmente con una organización concreta (hacer clic en un enlace, descargar un archivo, etc.) porque confía en ella y no cuestiona el origen del mensaje;
- Los ataques de phishing intentan que hagas clic en un enlace o abras un archivo adjunto, lo que te lleva a sitios web falsos o incluso a programas maliciosos;
- Los estafadores utilizarán la urgencia («Debes actuar AHORA») o las amenazas («Te cerrarán la cuenta») para que actúes sin pensar;
- También pueden atraerte con cebos («¡Has ganado 1 millón de dólares! Haz clic aquí para reclamar») en ataques de cebo.
Sin embargo, en los ataques vishing, estas tácticas se elevan al 11.
Veamos un ejemplo concreto para que te hagas una idea.
Recibes un correo electrónico que dice ser de tu banco y te advierte de que «el cierre de tu cuenta Paypal es inminente. Nuestros registros indican que tienes un saldo pendiente. Por favor, llama a nuestro servicio de atención al cliente al 00-… para evitar la eliminación de la cuenta.»
Llamas al número y contesta un supuesto agente de Paypal. A continuación, te piden el número de tu documento nacional de identidad y el número de tu tarjeta de crédito para validar la titularidad de tu cuenta. una vez que facilitas la información, se corta la comunicación.
Por desgracia, acabas de proporcionar información crítica a estafadores que ahora pueden utilizarla para vaciar tu saldo bancario…
¿Por qué son tan eficaces los ataques Vishing?
Hay muchas razones por las que los ataques vishing tienen tanto éxito:
- Información correcta: los atacantes ya tienen tu nombre, dirección y número de teléfono. La mayor parte de esta información ya está disponible en la red oscura gracias a hackeos anteriores. Esto hace que su enfoque parezca totalmente legítimo.
- Urgencia: te hacen creer que tu dinero o tus datos están en peligro y que tienes que actuar con rapidez. El miedo suele llevar a la gente a actuar sin pensar. Esto es más cierto cuando hablas por teléfono con alguien, cuando tienes aún menos tiempo para pensar racionalmente.
- El número de teléfono parece legítimo: gracias a la suplantación del identificador de llamadas, el número de teléfono parece proceder de una institución de confianza. Esto hace que sea mucho más probable que contestes.
- Gracias a la IA, los estafadores pueden desplegar ataques de vishing a escala. Incluso pueden hacerse pasar por personas que conoces replicando perfectamente sus voces (pero hablaremos de ello más adelante).
Los ataques de vishing son difíciles de rastrear porque «mayoritariamente» utilizan VoIP (Protocolo de Voz sobre Internet). En consecuencia, esto significa que inician y terminan una llamada en un ordenador que puede estar situado en cualquier parte del mundo.
El auge de la IA en los ataques de Vishing
Los ciberdelincuentes siempre han adaptado sus tácticas para explotar las nuevas tecnologías, y la IA no es diferente.
En particular, la IA está haciendo que los ataques de vishing sean más sofisticados, convincentes y escalables que nunca.
Deepfakes, síntesis de voz, segmentación avanzada… Exploremos cómo la IA está haciendo que los ataques de vishing sean más peligrosos que nunca.
Voces falsas
Uno de los usos más alarmantes de la IA en los ataques de vishing es la tecnología de voz deepfake.
Los ciberdelincuentes pueden ahora clonar la voz de una persona utilizando sólo una breve muestra de audio, lo que hace que el fraude por suplantación de identidad sea más convincente que nunca.
Lo que da miedo es que los estafadores no necesitan grandes muestras de audio para replicar la voz de uno. Basta con entre 3 y 5 minutos de audio para crear una réplica de voz convincente. Microsoft llegó a afirmar que sólo necesitaban 3 segundos de tu voz para replicarla.
Utilizando esta tecnología, los estafadores han imitado con éxito a directores generales (como veremos en los estudios de casos más adelante) e incluso a miembros de la familia para engañar a las víctimas para que transfieran fondos o revelen información sensible.
A medida que avance la tecnología, será más difícil que nunca distinguir las voces humanas reales de las replicadas por la IA.
Chatbots de IA
Los ataques tradicionales de vishing se basaban en estafadores humanos, pero ahora los bots de voz con IA pueden mantener conversaciones en tiempo real utilizando el procesamiento del lenguaje natural (PLN). Estos sistemas impulsados por IA pueden responder dinámicamente a las víctimas, superando las limitaciones anteriores de los mensajes de estafa pregrabados.
Los atacantes utilizan estos chatbots para:
- se hacen pasar por representantes del banco;
- hacerse pasar por agentes de soporte técnico para robar credenciales;
- se hacen pasar por personal de RRHH que realiza «verificaciones de seguridad».
De repente, esto hace que los ataques de vishing sean mucho más escalables. Ya no se necesita un único estafador para cada víctima: ahora los ataques de vishing pueden automatizarse a gran escala, dirigiéndose a miles de víctimas simultáneamente. Esto aumenta significativamente sus tasas de éxito.
Ataques vishing hiperpersonalizados
Gracias a la IA, los ciberdelincuentes pueden ahora analizar cantidades masivas de datos personales extraídos de las redes sociales, las violaciones de datos y las interacciones en línea.
Los nombres de tus familiares y amigos, dónde has estado de vacaciones, el banco que utilizas, el nombre de tu mascota… Es probable que toda esta información esté disponible libremente con un poco de investigación. Pero la IA hace que todo este proceso sea mucho más fácil, rápido y barato.
Por tanto, los estafadores pueden elaborar ataques de vishing muy personalizados y difíciles de detectar. El contexto sonará legítimo, lo que aumentará la tasa de éxito de los ataques.
8 Pasos para Protegerte de los Ataques de Vishing
Todo esto puede sonar aterrador. ¿Cómo sabes ya si una llamada es legítima? Por suerte, siempre habrá estrategias paliativas que puedes poner en marcha para detectar y protegerte de los ataques de vishing. Vamos a repasarlas:
- Nunca des información personal por teléfono. Esto incluye números de la Seguridad Social, números del DNI, números de tarjetas de crédito, credenciales de acceso, números PIN, etc. Las organizaciones legítimas nunca te pedirán este tipo de información por teléfono.
- Nunca llames a un número que te hayan dado por SMS o correo electrónico. Tómate tu tiempo para buscar el número legítimo (por ejemplo, directamente en el sitio web de tu banco) y luego llámalo.
- ¿Sospechas algo? Cuelga. Nunca ocurrirá nada malo si te tomas unas horas para investigar el asunto supuestamente urgente antes de actuar.
- Limita la cantidad de información que compartes en Internet. Cuanta más información puedan recopilar los estafadores sobre ti, más convincentes serán sus ataques de vishing. Cuando te comuniques por Internet, da prioridad a los canales seguros , como Signal o los correos electrónicos cifrados.
- Establece un código seguro o frase de contraseña entre tú y tus amigos y familiares. Si alguna vez sospechas y sospechas que no estás hablando realmente con ellos sino con una réplica de la IA, pídeles la frase de contraseña. Así te asegurarás de que estás hablando con una persona real.
- ¿Hay un periodo de silencio antes de descolgar? Es probable que forme parte de la fase de reconocimiento de un ataque vishing. Cuelga y bloquea el número para que no vuelva a llamarte.
- Sé escéptico ante cualquier petición urgente, especialmente las financieras. Nunca nada es urgente hasta el punto de que tengas que actuar en cuestión de minutos.
- Activa la 2FA(autenticación de 2 factores) para evitar cualquier acceso no autorizado a tus cuentas.
Ejemplos reales de ataques de Vishing
Veamos ahora algunos casos reales de ataques vishing, y veamos qué podemos aprender de ellos.
La estafa de la suplantación de identidad de 3 millones de dólares
En agosto de 2022, un médico surcoreano recibió una serie de llamadas telefónicas de individuos que decían ser agentes de la ley.
Los delincuentes afirmaron ser fiscales que tenían pruebas de que las cuentas bancarias del médico se utilizaban para blanquear dinero. A menos que cooperara con la investigación, lo detendrían.
Incluso enviaron una orden de detención falsa por mensajes de texto, algo que las fuerzas de seguridad oficiales nunca harían. Bajo la presión de estas amenazas, el médico acabó transfiriendo un total de 3 millones de dólares.
Este caso pone de relieve la eficacia de los ataques de vishing que se aprovechan de la autoridad y el miedo. Los particulares deben tener cuidado con las llamadas no solicitadas de supuestos funcionarios y verificar las identidades a través de los canales oficiales antes de emprender cualquier acción.
Puedes consultar este artículo para obtener más información.
La falsa estafa del rescate
Más recientemente, en enero de 2025, una pareja de ancianos de Massachusetts fue víctima de una llamada telefónica fraudulenta de un supuesto abogado.
Les informaron falsamente de que un familiar cercano había sido detenido y necesitaba 10.000 dólares para pagar la fianza. Sin verificar la afirmación, retiraron la cantidad solicitada y se la entregaron a un mensajero (que en realidad no formaba parte de la estafa).
Sólo más tarde descubrieron que su familiar nunca había sido detenido. Pero para entonces, los 10.000 dólares habían desaparecido.
Los estafadores suelen utilizar la manipulación emocional durante los ataques de vishing para engañar a sus víctimas y hacer que actúen de inmediato. Este caso pone de relieve una vez más la importancia del pensamiento racional y de verificar las afirmaciones a través de canales secundarios.
Reflexiones finales sobre los ataques de Vishing
Hasta aquí esta guía sobre los ataques vishing. Espero que te haya resultado útil y que ahora seas capaz de detectarlos antes de ser víctima de ellos.
Si quieres mejorar tu seguridad en Internet, tu primer paso debe ser conseguir un proveedor de correo electrónico privado y seguro.
En Mailfence nos enorgullecemos de:
- Herramientas avanzadas de seguridad: encriptación de extremo a extremo, encriptación simétrica, firmas digitales y mucho más.
- Sin seguimiento ni publicidad. No utilizamos ningún rastreador de publicidad o marketing de terceros. No rastreamos tu actividad en la aplicación. Mailfence está completamente libre de anuncios.
- Leyes de privacidad estrictas. Los servidores de Mailfence tienen su sede en Bélgica, donde existen leyes estrictas que protegen la privacidad. Sólo una orden judicial belga válida puede obligarnos a revelar datos.
¿Te interesa llevar tu privacidad y ciberseguridad al siguiente nivel? ¡Crea tu cuenta gratuita hoy mismo!
