
Phishing de voz con IA (Vishing) en 2026: Verifique a los llamantes rápidamente
Escuchar este artículo
Loading...- Phishing de voz con IA y llamadas de estafa con deepfake: qué está pasando en 2026
- Guiones comunes de vishing que sigo escuchando
- Por qué funciona el phishing de voz con IA (incluso con personas inteligentes)
- Prevención de vishing que realmente funciona: deje de confiar en el identificador de llamadas
- Qué NO hacer en una llamada sospechosa
- La regla aburrida-pero-efectiva
- Proceso de verificación de llamantes: un guion rápido que su equipo puede seguir
- Paso 1: Detenga la conversación con cortesía
- Paso 2: Use una fuente de números confiable (no el llamante)
- Paso 3: Devuelva la llamada usando un procedimiento de devolución seguro
- Paso 4: Verifique la identidad con dos comprobaciones
- Ingeniería social contra la mesa de ayuda: refuerce las verificaciones de identidad sin frenar el trabajo
- Reglas para solicitudes a la mesa de ayuda (anótelas)
- Use controles basados en roles
- Protección contra estafas telefónicas empresariales: señales de alerta que su equipo debe reconocer
- Señales de alerta de alta confianza
- Qué decirles a los empleados (simple y repetible)
- Verificación fuera de banda: el héroe poco glamoroso de la prevención del vishing
- Buenas opciones fuera de banda
- Malas opciones fuera de banda
- Guía de respuesta a incidentes: qué hacer cuando ocurre una llamada sospechosa
- Su flujo de respuesta simple
- Si alguien entregó un código de MFA o permitió acceso remoto
- Capacitación de seguridad para empleados: manténgala corta, práctica y frecuente
- Qué incluir en la capacitación (15 minutos, máximo)
- Haga que sea fácil hacer lo correcto
- Realidad del condado de Palm Beach: los negocios locales también son objetivos
- Mi consejo final (escríbalo en una nota adhesiva)
- ¿Necesita soporte experto para computadoras?
El phishing de voz con IA es el tipo de problema que ahora veo tres veces por semana, y en 2026 se está poniendo peor. El estafador ya no suena como un “estafador”. Suena como su CEO. O como su técnico de TI. O como ese proveedor al que le paga todos los meses sin recordar por qué. Ese es el objetivo. El phishing de voz con IA (también llamado vishing) es ingeniería social con mejor actuación y peores consecuencias.
Antes, los estafadores tenían que esforzarse. Al menos tenían que intentar imitar una voz por una línea fija con interferencias. Ahora pueden crear un clon de voz convincente y llamar a su recepción como si fueran los dueños del lugar. Y si el “proceso de verificación” de su personal es “bueno, sonaba seguro”, va a tener una semana muy mala.
Hablemos de qué no hacer, qué hacer en su lugar y cómo las organizaciones del condado de Palm Beach pueden implementar un proceso de verificación de llamantes que sea aburrido, rápido y que realmente funcione.
Phishing de voz con IA y llamadas de estafa con deepfake: qué está pasando en 2026
Esto es lo que ocurre cuando se ignora el problema: alguien llama a su oficina, afirma ser un ejecutivo, soporte de TI o un proveedor, y presiona los botones correctos: urgencia, autoridad y confusión. Las llamadas de estafa con deepfake son especialmente efectivas cuando el atacante ya conoce nombres, cargos y quién reporta a quién (gracias, redes sociales y páginas de “Sobre nosotros”).
Guiones comunes de vishing que sigo escuchando
- “Soy el CEO, estoy de viaje y necesito que cambies los datos de pago ahora mismo.” Traducción: quieren que transfiera su dinero a su cuenta.
- “Habla TI. Léame el código de MFA para poder detener la brecha.” Traducción: ellos son la brecha.
- “Cambió el portal de pagos del proveedor. Confirme su inicio de sesión.” Traducción: quieren credenciales y un punto de apoyo.
- “Necesitamos acceso remoto para arreglar su estación de trabajo.” Traducción: quieren que usted les entregue las llaves y les mantenga la puerta abierta.
Por qué funciona el phishing de voz con IA (incluso con personas inteligentes)
Porque los seres humanos estamos programados para cooperar por teléfono. Las llamadas se sienten “reales”. Una voz se siente personal. Y si suena como su jefe, su cerebro intenta ayudar antes de intentar ser escéptico. Eso no es un defecto de carácter. Eso es ser humano. Su trabajo es agregar un proceso que proteja a los humanos de ser humanos.
Si desea una guía general de protección contra estafas que no implique pensamiento mágico, Microsoft tiene un buen resumen aquí: Guía de Microsoft Support para proteger su PC de estafas.
Ubicación sugerida de imagen de apoyo: Coloque la imagen “help-desk-social-engineering-red-flags-checklist.jpg” después de esta sección para reforzar las señales de alerta.
Prevención de vishing que realmente funciona: deje de confiar en el identificador de llamadas
Dejemos esto claro: el identificador de llamadas no es identidad. El identificador de llamadas es una sugerencia. Una nota adhesiva. Una galleta de la fortuna. Los atacantes falsifican números (spoofing) todo el día. Si su personal dice: “Pero el número se veía correcto”, eso es como decir que su VCR parpadeaba 12:00, así que la película debe ser legítima.
Qué NO hacer en una llamada sospechosa
- No repita códigos de MFA. Ni “solo esta vez”. Ni “para confirmar”. Nunca.
- No instale herramientas de acceso remoto porque alguien lo pidió amablemente (o de forma agresiva).
- No cambie datos bancarios, información de ACH o el destino de pagos basándose en una llamada telefónica.
- No “verifique” a alguien preguntando información fácil de encontrar (cargo, monto de la última factura, dirección de la oficina).
La regla aburrida-pero-efectiva
Cualquier solicitud que involucre dinero, credenciales, MFA o acceso remoto debe verificarse fuera de banda. Fuera de banda significa que no usa el mismo canal que el atacante está controlando en ese momento. Si le llamaron, no “verifica” continuando la llamada. Verifica colgando y usando un método confiable.
Proceso de verificación de llamantes: un guion rápido que su equipo puede seguir
No necesita un manual de políticas de 40 páginas que nadie lee (y luego imprime, le derrama café encima y archiva bajo “varios”). Necesita un proceso de verificación de llamantes simple que el personal pueda ejecutar en menos de dos minutos.
Paso 1: Detenga la conversación con cortesía
Capacite al personal para decir:
- “Puedo ayudarle, pero primero necesito verificar su identidad. Voy a devolverle la llamada usando nuestro número oficial.”
Si la persona se molesta, presiona con urgencia o intenta mantenerlos en la línea, eso no es una razón para cumplir. Es una señal de alerta haciendo saltos.
Paso 2: Use una fuente de números confiable (no el llamante)
Busque el número en:
- Su directorio interno (preferido)
- Un registro de contrato del proveedor
- Un contacto en un sistema de tickets de confianza
No resultados de Google. No el número que le proporcionen. No el número en un correo que llegó hace cinco minutos.
Paso 3: Devuelva la llamada usando un procedimiento de devolución seguro
Llame al número confiable. Si es un proveedor, llame a la línea principal y pida a la persona por nombre. Si es un ejecutivo, llame a su extensión conocida o a su asistente. Si es “TI”, llame al número de mesa de ayuda que ya tiene publicado.
Paso 4: Verifique la identidad con dos comprobaciones
Elija dos elementos que sean difíciles de adivinar para externos y fáciles de responder para internos. Ejemplos:
- Un número de ticket creado por su personal (no por el llamante)
- Una frase de contraseña compartida para soporte del proveedor (rótela)
- Una devolución de llamada a un segundo contacto registrado (verificación de dos personas)
No use “¿Cuál es su ID de empleado?” si los IDs de empleado están en credenciales, firmas de correo o LinkedIn. Use algo que requiera estar dentro de su proceso.
Ubicación sugerida de imagen de apoyo: Coloque “secure-callback-procedure-flowchart-vishing.jpg” después de esta sección. La gente recuerda mejor las imágenes que las políticas.
Ingeniería social contra la mesa de ayuda: refuerce las verificaciones de identidad sin frenar el trabajo
Las mesas de ayuda son un objetivo favorito porque están entrenadas para ayudar. Los atacantes lo saben. También saben que en muchas organizaciones, la mesa de ayuda puede restablecer contraseñas, inscribir dispositivos y aprobar acceso remoto. Eso no es “soporte”. Eso es el llavero maestro.
Reglas para solicitudes a la mesa de ayuda (anótelas)
- No recopilar códigos de MFA. Nunca. Si su flujo de trabajo incluye “dígame el código”, su flujo de trabajo está roto.
- No restablecer credenciales a partir de llamadas entrantes a menos que la identidad se verifique mediante su método aprobado.
- No aprobar acceso remoto sin un ticket, un motivo y una identidad verificada.
- No gestionar cambios de pago o bancarios desde la mesa de ayuda. Enrute a finanzas con verificación.
Use controles basados en roles
No todos necesitan la capacidad de hacerlo todo. Así es como una sola llamada telefónica con pánico termina en una toma de control total de la cuenta. Limite lo que el personal de primera línea puede hacer sin escalamiento. Sí, es molesto. También lo es limpiar después de un ransomware.
Si necesita ayuda práctica para reforzar la seguridad de estaciones de trabajo y cuentas después de un incidente (o antes de que ocurra), ahí es cuando llama a profesionales. Realizamos soluciones prácticas mediante reparación y diagnóstico de computadoras para empresas y también podemos ayudar con soporte remoto para problemas urgentes cuando necesita que revisemos una situación rápidamente.
Protección contra estafas telefónicas empresariales: señales de alerta que su equipo debe reconocer
Algunas personas creen que la capacitación es una presentación única. Qué tierno. La capacitación es repetición, como aprender a manejar transmisión manual o ajustar el reloj del microondas después de un parpadeo de energía.
Señales de alerta de alta confianza
- Urgencia más secreto: “No se lo diga a nadie, solo hágalo.”
- Evasión del proceso: “No puedo hacer la devolución de llamada, estoy en una reunión.”
- Obsesión con MFA: Cualquier solicitud de un código, aprobación de notificación push o “bypass temporal”.
- Presión por acceso remoto: “Instale esta herramienta ahora mismo para que pueda arreglarlo.”
- Cambios en datos de pago: Nuevo banco, nueva ruta, nuevo beneficiario, nuevo correo, la misma estafa de siempre.
- Manipulación emocional: Enojo, culpa, halagos, amenazas.
Qué decirles a los empleados (simple y repetible)
Pruebe esta frase:
“Si es importante, puede esperar a una devolución de llamada.”
Esa sola oración evita muchos errores costosos.
Verificación fuera de banda: el héroe poco glamoroso de la prevención del vishing
La verificación fuera de banda es lo que antes llamábamos “no dejarse engañar por la misma persona dos veces”. Usted verifica usando un canal separado y confiable.
Buenas opciones fuera de banda
- Devolver la llamada usando un número de su directorio interno o del registro del contrato
- Usar su portal de tickets para confirmar que la solicitud existe
- Confirmar con un segundo contacto conocido (regla de dos personas)
- Usar una frase de contraseña preestablecida del proveedor (rótela como rota el aceite de un auto)
Malas opciones fuera de banda
- Llamar al número que le enviaron por texto
- Responder a un hilo de correo que usted no inició
- Confiar en el identificador de llamadas porque “coincidía”
Guía de respuesta a incidentes: qué hacer cuando ocurre una llamada sospechosa
La mayoría de los lugares no fallan porque recibieron una llamada mala. Fallan porque nadie sabe qué hacer después, así que no hacen nada. Luego hacen lo incorrecto. Luego compran con pánico un montón de “soluciones” carísimas que no configuran. He visto este problema exacto tres veces por semana.
Su flujo de respuesta simple
- Termine la llamada. No discuta. No “siga el juego”. Cuelgue.
- Documente los detalles. Hora, identidad alegada, solicitud realizada, número de devolución proporcionado, nombres utilizados.
- Notifique a las personas correctas. Gerencia, TI, punto de contacto de seguridad. Rápido.
- Verifique la exposición. ¿Alguien compartió un código de MFA? ¿Aprobó una notificación push? ¿Instaló acceso remoto? ¿Cambió datos de pago?
- Contenga si es necesario. Si se otorgó acceso remoto, desconecte el equipo de la red y solicite una evaluación.
- Restablezca y revise. Restablecimiento de contraseñas, revocar sesiones cuando aplique, revisar registros (logs) y reforzar el proceso que fue explotado.
Si alguien entregó un código de MFA o permitió acceso remoto
Mire, no voy a endulzarlo: trátelo como un incidente. El enfoque de “tal vez no pasa nada” es cómo los problemas pequeños se convierten en facturas grandes.
Como mínimo:
- Cambie las contraseñas de las cuentas afectadas (desde un dispositivo limpio)
- Revise inicios de sesión y sesiones activas donde su plataforma lo permita
- Escanee el endpoint en busca de malware y herramientas remotas que no deberían estar allí
Si sospecha malware, no lo “pinche con un palo” esperando que se arregle. Atiéndalo correctamente mediante eliminación profesional de virus y malware. Y si ocurre lo peor y los datos se dañan o se cifran, los servicios de recuperación de datos son la siguiente llamada. Si no tiene un respaldo, no tiene datos. Solo los está “prestando”.
Capacitación de seguridad para empleados: manténgala corta, práctica y frecuente
La capacitación debe ser como cepillarse los dientes. Un hábito pequeño, repetido con frecuencia, evita dolor costoso después.
Qué incluir en la capacitación (15 minutos, máximo)
- Regla de devolución de llamada en una página
- Ejemplos de guiones de vishing usados contra su industria
- Role-play: un escenario de llamada sospechosa por trimestre
- Ruta clara de escalamiento: a quién notificar y cómo
Haga que sea fácil hacer lo correcto
Publique el número oficial de la mesa de ayuda, los pasos de verificación de finanzas y la lista de contactos de proveedores donde el personal pueda encontrarlos rápidamente. Si la gente tiene que buscar en tres sistemas y un archivador lleno de polvo, tomará el atajo. Los humanos siempre lo hacen.
Para más concientización continua de seguridad y cobertura de tendencias de estafas, Malwarebytes mantiene una biblioteca sólida aquí: Recursos de Malwarebytes sobre estafas y amenazas.
Realidad del condado de Palm Beach: los negocios locales también son objetivos
Si está en el condado de Palm Beach y piensa “somos demasiado pequeños para ser un objetivo”, tengo un puente para venderle (y el llamante aceptará el pago en tarjetas de regalo). A los atacantes les gustan las organizaciones pequeñas y medianas porque los procesos son informales y la gente usa diez sombreros. Eso no es una crítica. Eso es un martes.
Ayudamos regularmente a organizaciones en West Palm Beach, Palm Beach Gardens, Lake Worth Beach, Boynton Beach, Jupiter, Wellington y Royal Palm Beach a implementar controles básicos. Nada sofisticado. Nada sobrevalorado. Solo sólido.
Mi consejo final (escríbalo en una nota adhesiva)
- Asuma que las llamadas entrantes pueden ser falsas. Incluso si la voz suena correcta.
- Use un procedimiento de devolución de llamada seguro usando solo números confiables.
- No comparta códigos de MFA. Sin excepciones.
- Coloque una guía simple de respuesta a incidentes donde el personal realmente pueda encontrarla.
- Capacite poco y con frecuencia. No una vez al año cuando todos están medio dormidos.
¿Necesita soporte experto para computadoras?
Obtenga ayuda profesional de los especialistas de reparación de computadoras de confianza del condado de Palm Beach.
Obtenga ayuda hoy