BHACKING - Ciberseguridad
Volver al Blog

Vishing: El Phishing por Voz que Creció 11% y Ahora Supera al Email en 2026

30 de marzo de 2026IA BHACKING
Vishing: El Phishing por Voz que Creció 11% y Ahora Supera al Email en 2026
Contenido generado por IA · Verificado por expertos
30 de marzo de 2026

El vishing (phishing por voz) se ha convertido en la segunda forma más frecuente de acceso inicial en ciberataques durante 2025, alcanzando el 11% de los incidentes reportados y superando al phishing tradicional por email que cayó del 14% al 6%. Esta tendencia alarmante representa un cambio radical en las tácticas de los cibercriminales que ahora explotan la confianza que las personas depositan en las llamadas telefónicas.

¿Qué es el vishing y por qué está creciendo?

El vishing combina "voice" (voz) y "phishing" para describir ataques donde los delincuentes se hacen pasar por instituciones legítimas a través de llamadas telefónicas. Con la ayuda de inteligencia artificial, estos ataques ahora utilizan voces sintéticas que imitan a ejecutivos, proveedores o instituciones bancarias con una precisión aterradora.

Los cibercriminales aprovechan que:

  • Las personas confían más en una voz humana que en un email
  • La IA permite crear deepfakes de audio en tiempo real
  • Las llamadas generan urgencia y presión psicológica inmediata
  • Es más difícil verificar la identidad del interlocutor por teléfono

Casos reales en PyMEs mexicanas

En México, se han documentado casos donde atacantes llamaron a departamentos de contabilidad haciéndose pasar por el CEO de la empresa, solicitando transferencias urgentes. En un caso en Querétaro, una PyME perdió más de 450,000 pesos en una sola llamada fraudulenta.

Otro patrón común es la suplantación de proveedores de servicios como bancos o proveedores de internet, solicitando "verificación de datos" o "actualización de información de seguridad" que en realidad busca robar credenciales de acceso.

Sectores más vulnerables

  • Finanzas y contabilidad: Empleados con acceso a cuentas bancarias
  • Recursos humanos: Personal que maneja datos sensibles de empleados
  • Recepción y atención al cliente: Primer punto de contacto vulnerable
  • Dirección general: Ejecutivos con autoridad para aprobar transacciones

Técnicas avanzadas de vishing en 2026

  1. 1Clonación de voz con IA: Los atacantes solo necesitan 3-5 segundos de audio de una persona (obtenido de redes sociales o videos corporativos) para crear un clon de voz convincente.
  1. 2Spoofing de números telefónicos: Las llamadas aparecen como provenientes de números legítimos de bancos o instituciones conocidas.
  1. 3Ingeniería social sofisticada: Los atacantes investigan a la empresa en redes sociales y sitios web para personalizar el ataque con nombres reales de empleados y proyectos.
  1. 4Ataques multicanal: Combinan llamadas con emails o mensajes de WhatsApp para aumentar la credibilidad.

Señales de alerta de un ataque de vishing

  • Solicitudes urgentes de transferencias o cambios en datos bancarios
  • Llamadas que piden verificar contraseñas o códigos de autenticación
  • Presión para actuar inmediatamente "o habrá consecuencias"
  • Solicitudes de información confidencial por teléfono
  • Números que parecen legítimos pero tienen comportamiento sospechoso

Impacto económico en PyMEs

Según datos de 2025, el 60% de las PyMEs mexicanas que sufrieron ataques de vishing reportaron pérdidas promedio de 300,000 a 800,000 pesos. El tiempo de recuperación promedio es de 2-3 semanas, sin contar el daño reputacional y la pérdida de confianza de clientes.

Recomendaciones

  • Implementar protocolos de verificación: Establecer un proceso de doble verificación para cualquier solicitud financiera por teléfono. Siempre colgar y llamar de vuelta al número oficial registrado.
  • Capacitación continua del personal: Realizar simulacros de vishing trimestrales para entrenar a los empleados en identificar llamadas sospechosas. El factor humano sigue siendo la primera línea de defensa.
  • Usar autenticación multifactor resistente a phishing: Implementar FIDO2/WebAuthn o tokens de hardware (YubiKey, Google Titan) que no pueden ser comprometidos por teléfono.
  • Establecer palabras clave de seguridad: Crear códigos secretos que solo el personal autorizado conoce para verificar identidades en llamadas internas críticas.
  • Monitorear y registrar llamadas críticas: Implementar sistemas de grabación para llamadas que involucren transacciones financieras o cambios en información sensible.
  • Configurar alertas automáticas: Usar herramientas como Wazuh para detectar patrones anómalos en solicitudes de transferencias o cambios de datos bancarios.
  • Limitar información pública: Reducir la cantidad de información sobre estructura organizacional y empleados en redes sociales y sitios web corporativos.

¿Necesitas ayuda con la seguridad de tu empresa?

Nuestro equipo puede ayudarte a implementar las mejores prácticas.

Solicitar Asesoría