2 de julio de 2026 • Ciberseguridad
A la mayoría de las personas se les ha enseñado, o al menos se les ha advertido, que desconfíen de los correos electrónicos en los que se les solicitan contraseñas, datos bancarios o que se les pide actuar con urgencia. Los atacantes lo saben. Esa es, en parte, la razón por la que el vishing ha ganado prevalencia: utiliza el teléfono en lugar del correo electrónico para manipular a las víctimas, aprovechándose de la confianza y la presión en tiempo real que genera una conversación en directo. Comprender qué es el vishing, cómo funciona y por qué es eficaz es el primer paso para que tus empleados sean capaces de resistirse a él.
Significado de «vishing»: ¿qué significa este término?
El término «vishing» es una combinación de «voice» (voz) y«phishing». Se refiere a los ataques de ingeniería social llevados a cabo por teléfono, ya sea mediante una llamada tradicional, una llamada VoIP o, cada vez más, a través de mensajes de voz generados por IA, con el objetivo de engañar a la víctima para que revele información confidencial, transfiera dinero o conceda acceso a los sistemas.
El significado de «vishing» es, en esencia, el mismo que el de «phishing»: engañar a alguien para que haga algo que no haría si comprendiera lo que realmente está ocurriendo. La diferencia radica en el canal. Mientras que el phishing utiliza el correo electrónico y el smishing los SMS, el vishing utiliza la voz, y la voz transmite una apariencia de legitimidad que el texto no tiene.
Una persona que llama por teléfono y que parece segura de sí misma, utiliza la terminología adecuada y plantea un escenario verosímil —como una comprobación de seguridad del banco, una llamada al servicio de asistencia informática o un proveedor que confirma los datos de pago— puede convencer a empleados que, de haber recibido la misma solicitud por correo electrónico, la habrían detectado en cuestión de segundos.
Cómo funciona un ataque de vishing
Los ataques de vishing rara vez son aleatorios. Por lo general, los atacantes investigan a su objetivo antes de llamar, utilizando LinkedIn, las páginas web de las empresas, datos de filtraciones anteriores o información recabada en intentos de phishing previos. Cuanto más sepa un atacante sobre el objetivo y su organización, más convincente podrá resultar la llamada.
Un caso típico de vishing sigue un patrón reconocible:
- Suplantación de identidad. La persona que llama se hace pasar por alguien en quien la víctima tiene motivos para confiar: un empleado de un banco, un técnico de soporte informático, un funcionario de Hacienda, un compañero de trabajo de mayor rango o un proveedor.
- Urgencia o autoridad. La persona que llama ejerce presión, alegando que hay un problema que hay que resolver de inmediato, o bien invoca su autoridad («tu jefe me ha pedido que te llame»). Esto anula el instinto de la persona a la que se dirige de hacer una pausa y verificar la información.
- Solicitud. La persona que llama pide algo: una contraseña, un código de un solo uso, la confirmación de los datos bancarios, acceso a un sistema o una transferencia de pago.
- Salida. Una vez obtenida la información o realizada la acción, la llamada se interrumpe rápidamente. Para cuando la víctima se da cuenta de que algo iba mal, el daño ya está hecho.
El vishing funciona porque resulta difícil aplicar en una conversación telefónica en directo los mismos filtros críticos que se utilizarían al leer un correo electrónico sospechoso. La presión social que supone una interacción en tiempo real hace que se pierda la cautela, y los atacantes cuentan precisamente con eso.
Vishing, phishing y smishing: ¿en qué se diferencian?
El «vishing» es una de las diversas técnicas de ingeniería social basadas en llamadas y mensajes. Comprender en qué se diferencian ayuda a las organizaciones a formar a sus empleados para que sepan reconocer cada una de ellas.
| Técnica | Canal | Situación habitual | Por qué funciona |
|---|---|---|---|
| Phishing | Correo electrónico | Página de inicio de sesión falsa, aviso urgente sobre la cuenta | Volumen y engaño visual |
| Vishing | Teléfono / voz | Llamada fraudulenta de un banco, suplantación de identidad del servicio de asistencia informática | Presión en tiempo real, autoridad en la voz |
| Smishing | SMS / aplicación de mensajería | Aviso de entrega falso, enlace de pago | Contexto móvil, formato breve, los enlaces se integran de forma natural |
| Lanza phishing | Correo electrónico (dirigido) | Correo electrónico personalizado utilizando datos conocidos | La especificidad resulta creíble porque te conoce |
En la práctica, estas técnicas suelen combinarse. Un atacante puede enviar primero un correo electrónico de phishing y, a continuación, realizar una llamada de vishing haciéndose pasar por el servicio de soporte informático para hablar del correo que la víctima acaba de recibir. Cada canal refuerza la credibilidad del otro.
El vishing en la práctica: situaciones típicas
Los ataques de vishing no son amenazas abstractas. Se trata de situaciones a las que se enfrentan habitualmente las organizaciones, incluidas las empresas neerlandesas:
- La llamada al servicio de asistencia informática. La persona que llama afirma pertenecer al servicio de asistencia informática interno, dice que se ha detectado actividad sospechosa en la cuenta del empleado y le pide que confirme su contraseña o que instale una herramienta de acceso remoto «para solucionar el problema».
- La llamada de seguridad del banco. Una persona que se hace pasar por un miembro del departamento de fraude advierte de que la cuenta bancaria de la empresa ha sido comprometida y pide a la víctima que confirme los datos de la cuenta o que autorice una «transferencia de prueba».
- La llamada del director general o del director financiero. Conocida como «fraude del director general» o BEC (Business Email Compromise), consiste en que la persona que llama se hace pasar por un alto ejecutivo y presiona a un empleado del departamento financiero para que realice una transferencia urgente, a menudo un viernes por la tarde.
- La llamada de confirmación del proveedor. Una persona que llama afirma ser de un proveedor conocido y solicita actualizar los datos de la cuenta bancaria para futuros pagos, con el fin de desviar los pagos a una cuenta controlada por el atacante.
- La llamada «deepfake» generada por IA. Gracias a la tecnología de clonación de voz mediante IA, los atacantes pueden ahora suplantar la identidad de compañeros de trabajo o directivos reales con una precisión asombrosa. Los empleados reciben una llamada que suena exactamente igual que la de su jefe, en la que se les solicitan credenciales de acceso o la aprobación urgente de un pago.
Cómo la formación en concienciación sobre seguridad protege contra el vishing
Las medidas técnicas no impiden el vishing. Los filtros de spam, los cortafuegos y las herramientas de seguridad para dispositivos finales no sirven de nada cuando un atacante descuelga el teléfono. La única defensa eficaz es una plantilla que sepa reconocer las tácticas de manipulación y sepa qué hacer cuando algo le parezca sospechoso.
Esto se consigue mediante la formación, no con una presentación puntual, sino con una práctica constante que permita crear hábitos. Una formación eficaz en materia de concienciación sobre seguridad frente al vishing abarca varios aspectos:
- Reconocer los factores desencadenantes. La urgencia, la autoridad, las peticiones inusuales, las peticiones de eludir los procedimientos habituales. Los empleados que saben identificar estos patrones tardan más en acceder a ellos.
- El derecho a verificar. Los empleados deben saber que siempre es aceptable decir «Te volveré a llamar al número que tengo registrado», incluso si quien llama es el director general. Para crear ese hábito se necesita el permiso explícito de la dirección y su refuerzo a través de la formación.
- Qué hacer después. Si un empleado sospecha que ha sido víctima de una llamada de vishing o, peor aún, que ha cedido a ella, debe disponer de un procedimiento claro para escalar el incidente. La notificación de estos casos debe ser algo habitual, no algo que se estigmatice.
- Mantenerse al día con la evolución de las tácticas. La clonación de voz mediante IA, los «deepfakes» y los ataques cada vez más personalizados hacen que el panorama de amenazas cambie rápidamente. La formación debe seguir el ritmo, por lo que las sesiones breves y frecuentes son más eficaces que los cursos de actualización anuales.
Protege a tu equipo hoy mismo
Los ciberdelincuentes están llamando. ¿Está preparado tu equipo?
Solicitar una demostración