/ ¿Qué es el vishing?
¿Qué es el vishing?
El vishing, o phishing de voz, es una forma de ingeniería social en la que los ciberdelincuentes utilizan llamadas de voz para hacerse pasar por personas u organizaciones de confianza para engañar a las víctimas y conseguir que revelen información confidencial, como contraseñas o datos financieros.
Cómo funciona el vishing: técnicas y tácticas
Los ataques de vishing son cada vez más sofisticados y aprovechan tanto la tecnología como la ingeniería social para explotar las vulnerabilidades humanas. A continuación se presentan algunas de las técnicas y tácticas más comunes utilizadas por los ciberdelincuentes para llevar a cabo ataques de vishing:
Suplantación de identidad de llamada
Los atacantes manipulan los sistemas de telecomunicaciones para falsificar la información de identificación de la persona que llama, haciendo que parezca que la llamada procede de una fuente confiable, como un banco, una agencia gubernamental o incluso un compañero de trabajo. Esta táctica reduce las defensas del objetivo al dotarle un aire de credibilidad a la interacción. Como resultado, los métodos de autenticación tradicionales vinculados a la identificación de llamadas se vuelven menos confiables, lo que pone de relieve la necesidad de medidas de verificación de identidad más avanzadas.
Pretextos
Al utilizar pretextos, el atacante inventa un escenario creíble, o “pretexto”, para convencer al objetivo de que revele información confidencial. Podría tratarse de una falsa alerta de fraude bancario o de una supuesta llamada de servicio al cliente que solicita verificación de cuenta. El éxito de los pretextos depende en gran medida de la capacidad del atacante de crear una sensación de urgencia o autoridad, incitando a la víctima a actuar sin cuestionar profundamente la situación. El análisis del comportamiento impulsado por IA puede ayudar a identificar estas señales de ingeniería social antes de que se conviertan en infracciones graves.
Explotación de VoIP
Los sistemas de voz sobre protocolo de Internet (VoIP) han hecho que sea más fácil y económico para los atacantes realizar grandes volúmenes de llamadas desde cualquier parte del mundo. Los servicios de VoIP suelen ser menos seguros que las líneas telefónicas tradicionales, lo que los convierte en un objetivo principal para los ciberdelincuentes que buscan enmascarar su identidad y ubicación. Los atacantes pueden utilizar inteligencia artificial para automatizar y escalar estas operaciones, aumentando la velocidad y el alcance de sus campañas. Proteger las comunicaciones VoIP es clave para reducir la superficie de ataque en incidentes de vishing.
Ataques de respuesta de voz interactiva (IVR)
Los sistemas de respuesta de voz interactiva (IVR) (sistemas automatizados que interactúan con los usuarios a través de entradas de voz o teclado) son utilizados comúnmente por las empresas para todo, desde servicio al cliente hasta acceso seguro a cuentas. Los ataques de vishing pueden tener como objetivo estos sistemas engañando a los usuarios para que introduzcan información confidencial, como PIN o contraseñas, a través de una interfaz IVR comprometida o fraudulenta. Los mecanismos avanzados de detección de amenazas pueden supervisar patrones inusuales en las interacciones IVR para ayudar a identificar y mitigar estas amenazas en tiempo real.
Ataques de phishing impulsados por IA
La inteligencia artificial (IA) se utiliza cada vez más como arma en el mundo de los ciberataques, lo que permite utilizar técnicas más sofisticadas que pueden engañar incluso a los usuarios que están más alerta. Cuando se trata de phishing, la IA amplifica la capacidad de los atacantes para escalar, personalizar y manipular sus objetivos, lo que hace que el vishing sea más peligroso que nunca.
Clonación de voz
La clonación de voz impulsada por inteligencia artificial se ha convertido en un elemento innovador para los ataques de vishing. Los ciberdelincuentes ahora pueden replicar la voz de una persona de confianza, como un ejecutivo de una empresa o un miembro de la familia, utilizando simplemente unos minutos de audio grabado. Con esta tecnología, los atacantes pueden hacer que sus intentos de vishing sean mucho más convincentes, engañando a las víctimas para que divulguen información confidencial o autoricen transacciones fraudulentas.
Videollamadas deepfake
Más allá de la simple manipulación de voz, la IA también puede crear videollamadas falsas en las que los atacantes se hacen pasar por alguien en tiempo real. Estos ataques de vishing basados en vídeo son especialmente efectivos en entornos de trabajo remotos, donde las señales visuales durante las reuniones virtuales suelen ser la base para generar confianza. Al imitar la apariencia y la voz de un individuo conocido, los atacantes pueden orquestar esquemas de ingeniería social muy convincentes.
Llamadas automáticas
Las llamadas automáticas impulsadas por IA han evolucionado desde simples mensajes automatizados a interacciones dinámicas que imitan la conversación humana. Utilizando el procesamiento del lenguaje natural (PLN), estas llamadas pueden responder de forma inteligente a la información de las víctimas, haciendo que la interacción parezca más auténtica. Esto permite a los atacantes escalar sus intentos de vishing, llegando a cientos o incluso miles de víctimas potenciales en un período corto.
Minería de datos con inteligencia artificial para ataques de vishing selectivos
La IA puede examinar grandes cantidades de datos disponibles públicamente, como perfiles de redes sociales, sitios web de empresas y bases de datos filtradas, para crear ataques de vishing altamente específicos. Al crear perfiles detallados de víctimas potenciales, los ciberdelincuentes pueden diseñar intentos de vishing personalizados que parezcan creíbles y relevantes, lo que aumenta la probabilidad de éxito. El resultado es un ataque más focalizado que aprovecha las circunstancias o relaciones específicas de la víctima.
A medida que la IA continúa evolucionando, también lo hacen las amenazas que plantean estas técnicas avanzadas de vishing. Las organizaciones deben mantenerse a la vanguardia adoptando soluciones de seguridad impulsadas por IA que puedan detectar y contrarrestar estos riesgos emergentes.

Al comprender estas técnicas, las organizaciones pueden anticipar y mitigar mejor los riesgos asociados con el vishing, especialmente a medida que los delincuentes continúan desarrollando sus métodos.
¿Por qué el vishing es una amenaza creciente?
El vishing se utiliza cada vez más debido a la creciente sofisticación de los ciberdelincuentes y a la dependencia generalizada de las comunicaciones móviles. Los atacantes están aprovechando tácticas avanzadas de ingeniería social para explotar la vulnerabilidad humana, a menudo eludiendo las medidas de seguridad tradicionales. Ahora que la gente está más conectada que nunca, especialmente con el auge del trabajo remoto, los estafadores están encontrando nuevas oportunidades para manipular a las personas a fin de que revelen información confidencial por teléfono.
Además, la accesibilidad a datos personales en la web ha permitido a los atacantes diseñar intentos de vishing muy convincentes y dirigidos. Los ciberdelincuentes ahora pueden recopilar fácilmente suficientes datos personales para simular legitimidad, lo que hace más difícil incluso para las personas más atentas detectar una estafa. A medida que avanza la tecnología de IA, los propios atacantes utilizan herramientas de aprendizaje automático y síntesis de voz para crear imitaciones aún más realistas de entidades confiables, lo que amplifica aún más el desafío tanto para las organizaciones como para las personas. De hecho, durante el último año, los ataques de phishing impulsados por IA (incluido el vishing) han aumentado un 60 %.
Ejemplos del mundo real
Las sofisticadas campañas de vishing se están volviendo populares en todo el mundo, y los cibercriminales utilizan la psicología y la tecnología para estafar incluso a las víctimas más astutas por millones de dólares. Por ejemplo, Corea del Sur ha experimentado un aumento de ataques de vishing, incluido un caso en agosto de 2022 en el que un médico perdió 3 millones de dólares en efectivo, seguros, acciones y criptomonedas que fueron a parar a manos de los delincuentes. En este caso, los estafadores se hicieron pasar por funcionarios encargados de hacer cumplir la ley en Corea del Sur; sin embargo, ThreatLabz observó (y frustró) un ataque de vishing muy cerca de casa en 2023.
En otro ejemplo, un empleado de finanzas en Hong Kong pagó 25 millones de dólares tras una videollamada con un "director financiero" falso en una videoconferencia. El ciberdelincuente engañó al empleado para que asistiera a una videollamada con quienes él pensaba que eran otros miembros del personal, pero en realidad eran recreaciones deepfake.
En el verano de 2023, los atacantes se hicieron pasar por el propio director ejecutivo de Zscaler, Jay Chaudhry, en un ataque de vishing utilizando tecnología de inteligencia artificial. El proceso fue el siguiente:
- El atacante llamó a un empleado de Zscaler por WhatsApp.
- Utilizando la clonación de voz generada por IA para simular la voz de Jay, el atacante estableció comunicación y luego colgó rápidamente para evitar una interacción prolongada y una posible exposición.
- El atacante inmediatamente siguió con un mensaje de texto, haciéndose pasar por Jay, afirmando tener "mala cobertura de red".
- En un mensaje de texto de WhatsApp, el atacante ordenó al empleado de Zscaler que comprara tarjetas regalo por un importe determinado.
- El empleado encontró esto sospechoso e inmediatamente lo informó al equipo de seguridad.
- Los investigadores de ThreatLabz investigaron y descubrieron que era parte de una campaña generalizada dirigida a varias empresas de tecnología.
Para combatir eficazmente esta creciente amenaza, la ciberseguridad debe evolucionar más allá de las defensas tradicionales. Los sistemas impulsados por inteligencia artificial que pueden detectar patrones sospechosos en tiempo real y evaluar el riesgo a un nivel granular se están volviendo esenciales. Al integrar capacidades avanzadas de gestión de riesgos, las organizaciones pueden protegerse mejor a sí mismas y a sus empleados para evitar ser víctimas de esquemas de vishing cada vez más sofisticados.
Escenarios comunes de vishing
Los ataques de vishing se presentan en numerosos formatos, cada uno diseñado para explotar la confianza y convencer a las víctimas de que compartan información confidencial. A continuación se presentan algunas de las tácticas más comunes utilizadas por los ciberdelincuentes:
- Estafas de fraude bancario: las personas que llaman se hacen pasar por representantes del banco y afirman que su cuenta se ha visto comprometida. Le presionan para que proporcione datos personales o incluso transfiera fondos a una cuenta "segura".
- Estafas de soporte técnico: los estafadores se hacen pasar por soporte técnico de empresas confiables, advierten sobre malware en su dispositivo y solicitan acceso remoto para "solucionar" el problema, lo que en realidad es una estratagema para robar datos o instalar software malicioso.
- Estafas fiscales: los atacantes dicen ser del IRS o de las autoridades fiscales y amenazan con arrestarlo o tomar acciones legales a menos que pague una factura de impuestos pendiente, a menudo a través de métodos imposibles de rastrear, como tarjetas de regalo o transferencias bancarias.
- Fraude del CEO (correo electrónico empresarial comprometido): los ciberdelincuentes atacan a los empleados haciéndose pasar por altos ejecutivos y dándoles instrucciones para que realicen transferencias bancarias urgentes o divulguen información confidencial de la empresa, a menudo bajo la apariencia de una emergencia urgente.
Vishing frente a phishing frente a smishing
Si bien los tres (vishing, phishing y smishing) son formas de ataques de ingeniería social diseñados para manipular a las víctimas para que divulguen información confidencial, difieren principalmente en sus métodos de entrega y las tácticas específicas utilizadas para explotar la confianza humana. Comprender estas distinciones es crucial para desarrollar una estrategia de seguridad potente y proactiva, especialmente a medida que los ciberdelincuentes continúan desarrollando sus técnicas.
Phishing
Posiblemente el más conocido de los tres, el phishing generalmente implica correos electrónicos fraudulentos que se hacen pasar por entidades legítimas, como empresas, agencias gubernamentales o personas de confianza. El objetivo de los ataques de phishing generalmente es robar credenciales de inicio de sesión, información financiera u otros datos confidenciales.
El phishing a menudo aprovecha una sensación de urgencia o miedo, lo que lleva a la víctima a hacer clic en enlaces maliciosos o descargar archivos adjuntos infectados. Dado que el correo electrónico sigue siendo una herramienta de comunicación fundamental tanto en contextos personales como profesionales, los ataques de phishing tienen un amplio alcance y pueden ser devastadores si no se detectan a tiempo.
Smishing
El smishing es una evolución más reciente del phishing que se dirige a personas a través de SMS o mensajes de texto. Al igual que los correos electrónicos de phishing, los mensajes de smishing a menudo parecen provenir de fuentes confiables (como bancos, servicios de entrega o incluso compañeros de trabajo) y, por lo general, incluyen un enlace malicioso o una solicitud para compartir detalles confidenciales.
Este método es particularmente peligroso porque aprovecha la inmediatez y la naturaleza casual de los mensajes de texto, donde es más probable que los usuarios respondan rápidamente y sin sospechas. Dada la ubicuidad de los teléfonos inteligentes y la creciente dependencia de las comunicaciones basadas en SMS, los ataques de smishing han aumentado rápidamente.
Vishing
Como se ha indicado anteriormente en este artículo, el vishing utiliza la comunicación de voz, generalmente a través de llamadas telefónicas, para manipular a las víctimas. Los atacantes pueden hacerse pasar, ya sea a través de texto o tecnología de clonación de voz de IA, por figuras de autoridad como autoridades tributarias, representantes de soporte técnico o incluso familiares en apuros.
Su objetivo suele ser el mismo que el del phishing y el smishing: extraer información confidencial, como contraseñas o números de tarjetas de crédito, o convencer a la víctima de realizar acciones específicas, como transferir fondos. El vishing añade el toque adicional de explotar directamente la psicología humana a través de una conversación en tiempo real, lo que hace más difícil para las víctimas detenerse y evaluar críticamente la situación.
Diferencias clave en los vectores y tácticas de ataque
El phishing opera predominantemente a través del correo electrónico, lo que lo convierte en una forma escrita de engaño. Los atacantes a menudo incluyen plantillas de correo electrónico y logotipos bien elaborados para imitar organizaciones legítimas. Estos correos electrónicos suelen contener enlaces o archivos adjuntos maliciosos que explotan vulnerabilidades en el sistema del destinatario una vez que se hace clic en ellos o se descargan.
El smishing aprovecha los SMS, un medio conocido por su brevedad y urgencia. Los mensajes a menudo contienen URL abreviadas para disfrazar enlaces maliciosos, y los usuarios pueden estar más inclinados a confiar en los textos debido a la naturaleza personal de los dispositivos móviles.
El vishing se basa en la interacción de voz, lo que puede añadir un elemento de presión o manipulación emocional que no se transmite tan fácilmente a través del texto. Los atacantes pueden usar tácticas como "falsificar" números de teléfono para hacer que la llamada parezca proceder de una fuente legítima, como una agencia gubernamental o una institución conocida.
Cómo protegerse a sí mismo y a su organización del vishing
Los ataques de vishing son cada vez más sofisticados, pero hay medidas claras que su organización puede tomar para mitigar el riesgo. La implementación de las estrategias adecuadas puede ayudar a proteger la información personal y corporativa de las amenazas de phishing basadas en voz.
Formación sobre concienciación en materia de seguridad
Es fundamental educar periódicamente a los empleados sobre las tácticas de vishing. Los programas de formación integrales pueden enseñar al personal a reconocer señales de alerta como llamadas no solicitadas, tácticas de presión o solicitudes de información confidencial. La concientización es la primera línea de defensa para prevenir ataques exitosos.
Procedimientos de autenticación de llamadas
La implementación de procedimientos estrictos de autenticación de llamadas puede reducir la probabilidad de ser víctima de vishing. Asegúrese de que los empleados sigan los protocolos de verificación, como devolver la llamada a números oficiales y utilizar la autenticación multifactor (MFA) para confirmar la identidad de la persona que llama antes de compartir cualquier información confidencial.
Uso de tecnología antispam
Aproveche las tecnologías de filtrado de llamadas y antispam impulsadas por IA para bloquear llamadas sospechosas o no solicitadas antes de que lleguen a su equipo. Estas herramientas pueden analizar patrones y detectar posibles intentos de phishing, proporcionando una capa adicional de protección frente a ataques de vishing.
Planes de respuesta a incidentes
Contar con un plan de respuesta a incidentes potente es esencial para minimizar el daño si se produce un ataque de vishing. Asegúrese de que su organización cuente con protocolos claros para informar de llamadas sospechosas e investigar posibles infracciones, de modo que se puedan tomar medidas rápidas para contener cualquier amenaza.
Inteligencia artificial, seguridad e inteligencia de amenazas
La incorporación de soluciones de seguridad impulsadas por IA puede mejorar la capacidad de su organización para detectar y responder a campañas de vishing en tiempo real. Al aprovechar la inteligencia sobre amenazas, estos sistemas pueden identificar métodos de vishing emergentes, lo que permite defensas proactivas que evolucionan a medida que el panorama de amenazas cambia.
Mirando hacia el futuro: la importancia de un enfoque zero trust en capas
El phishing, el smishing y el vishing explotan el eslabón más débil de la ciberseguridad: el comportamiento humano. Para combatir eficazmente estas amenazas, las organizaciones deben adoptar un enfoque zero trust, asumiendo que ninguna comunicación, plataforma o usuario es inherentemente confiable.
Este cambio de paradigma requiere una estrategia de defensa de múltiples capas que integre supervisión impulsada por IA, autenticación continua y protección de terminales. Al combinar la educación de los usuarios con tecnología de vanguardia, las organizaciones pueden mantenerse por delante de los atacantes y reducir significativamente el riesgo de ser víctimas de la ingeniería social.
A medida que estas tácticas maliciosas evolucionan, también deben hacerlo las defensas, garantizando que cada correo electrónico, mensaje de texto y llamada telefónica se examine con el mismo nivel de diligencia y escepticismo. Si bien el phishing, el smishing y el vishing presentan desafíos distintos, una estrategia de seguridad unificada mejorada con IA puede ayudar a mitigar los riesgos que plantean los tres, fomentando un entorno digital más resistente y seguro.
Cómo puede ayudar Zscaler
Para defenderse eficazmente ante este panorama de amenazas en evolución, las organizaciones deben integrar controles avanzados de prevención de phishing en estrategias zero trust. A la vanguardia de esta estrategia de defensa se encuentra Zscaler Zero Trust Exchange™, construido sobre una potente arquitectura de zero trust.
Adoptando un enfoque integral de la ciberseguridad, Zero Trust Exchange frustra eficazmente los ataques de phishing tanto convencionales como impulsados por IA en múltiples etapas de la cadena de ataque al:
Evitar la suplantación de identidad basada en IA y C2
Los modelos de IA de Zscaler detectan sitios de phishing conocidos y de paciente cero para evitar el robo de credenciales y la explotación del navegador, además de analizar patrones de tráfico, comportamiento y malware para detectar en tiempo real infraestructura de comando y control (C2) nunca antes vista.
Aplicar un sistema de defensa de sandbox con IA basada en archivos
El Zscaler Sandbox en línea impulsado por IA detecta instantáneamente archivos maliciosos mientras garantiza la productividad de los empleados. Nuestra tecnología AI Instant Verdict identifica, pone en cuarentena y previene instantáneamente archivos maliciosos de alta confianza, incluidas las amenazas de día cero, al tiempo que elimina la necesidad de esperar al análisis de estos archivos.
IA para bloquear amenazas web
Zscaler Browser Isolation impulsado por IA bloquea las amenazas de día cero y al mismo tiempo garantiza que los empleados puedan acceder a los sitios pertinentes para realizar su trabajo. Nuestro AI Smart Isolation puede identificar cuándo un sitio puede ser arriesgado y abrirlo de forma aislada para el usuario, transmitiendo el sitio de forma segura como píxeles en un entorno seguro y en contenedores.
¿Quiere ver la potente defensa contra phishing de Zscaler en acción? Programe una demostración personalizada con uno de nuestros expertos y permítale mostrarle cómo Zscaler puede protegerle contra las amenazas basadas en IA más avanzadas.