Hard2bit
← Volver al glosario Técnicas ofensivas

Vishing

Qué es vishing

El vishing (voice phishing) es phishing por teléfono: el atacante llama —o consigue que la víctima llame— y usa la conversación en directo para robar credenciales, códigos de verificación o dinero, o para que se ejecuten acciones en su nombre. Es la variante más antigua de la ingeniería social y también una de las más eficaces, porque la voz humana genera una confianza que ningún correo consigue, y porque la presión de una llamada en tiempo real no deja espacio para pararse a pensar. El identificador de llamada se falsifica con facilidad, así que "llama desde el número del banco" no demuestra absolutamente nada.

Por qué importa

El vishing ha pasado de estafa doméstica a técnica de intrusión corporativa de primer nivel. Grupos como los agrupados bajo el nombre Scattered Spider han demostrado que llamar al helpdesk de una gran empresa, hacerse pasar por un empleado y pedir el restablecimiento de la contraseña y de la MFA funciona incluso contra organizaciones con presupuestos de seguridad millonarios: no explota ninguna vulnerabilidad de software, explota el procedimiento. La variante inversa, el callback phishing, envía primero un correo inocuo —una suscripción que va a renovarse, una factura extraña— con un teléfono de "atención al cliente"; al llamar, es la víctima quien inicia el contacto, y la llamada esquiva todos los filtros de correo porque el email original no contiene ni enlaces ni adjuntos. Y la clonación de voz con IA ha eliminado la última barrera: con unos segundos de audio público basta para imitar la voz de un directivo pidiendo una transferencia urgente. Cuando la voz ya no es prueba de identidad, la única defensa que queda es el procedimiento de verificación.

Puntos clave

Falso soporte técnico: el atacante se hace pasar por Microsoft, el proveedor de informática o el soporte del banco, alerta de un problema inexistente y guía a la víctima para instalar una herramienta de acceso remoto o leer en voz alta códigos de verificación.

Suplantación de empleado ante el helpdesk: la técnica firma de grupos tipo Scattered Spider. Con datos sacados de LinkedIn y de brechas, el atacante llama al soporte interno haciéndose pasar por un empleado real y pide restablecer contraseña y MFA. Si el helpdesk no verifica la identidad con rigor, la cuenta cambia de manos en una llamada.

Callback phishing: un correo sin enlaces ni adjuntos —una renovación que no reconoces, un cargo extraño— invita a llamar a un número de soporte. Al llamar la víctima, la confianza se invierte: nadie sospecha de una llamada que ha hecho ella misma. Suele terminar en instalación de software de acceso remoto.

Combinación multicanal: el vishing rara vez viaja solo. Un smishing previo o un correo de spear phishing preparan la historia, y la llamada la remata; o al revés, la llamada anuncia "un correo que le acabamos de enviar" para legitimarlo.

Clonación de voz con IA: con segundos de audio de una charla, un webinar o un vídeo corporativo se genera una voz sintética convincente del CEO o de un familiar. Las peticiones urgentes de transferencias o compras que llegan solo por voz ya no pueden validarse por el timbre de voz.

Defensas: verificación por canal alternativo antes de cualquier acción sensible (colgar y llamar al número oficial), procedimientos de helpdesk que exijan verificación robusta de identidad antes de restablecer credenciales o MFA, palabras clave acordadas para peticiones críticas y formación con simulaciones de vishing.

Ejemplo: la llamada al helpdesk que restableció la MFA equivocada

Lunes, 8:55. El técnico de soporte interno de una empresa de distribución de 400 empleados recibe una llamada: "Soy Marta, de ventas de la delegación de Sevilla. Estoy en casa de un cliente y no puedo entrar al CRM; me he cambiado de móvil este fin de semana y la aplicación de autenticación se ha quedado en el antiguo. Necesito que me la restablezcáis ya, tengo al cliente delante". La persona que llama conoce el nombre real de la empleada, su delegación, el nombre de su responsable e incluso que la semana anterior hubo una migración de CRM: todo estaba en LinkedIn y en una brecha de datos antigua. El técnico, con la cola de tickets del lunes por delante, restablece la MFA contra el número "nuevo" que le facilita la llamante.

En veinte minutos, el atacante ha entrado en el correo de la empleada real, ha exportado la cartera de clientes y ha enviado a tres de ellos una notificación de cambio de cuenta bancaria desde el buzón legítimo. La investigación posterior no encuentra malware ni exploits: solo una llamada de cuatro minutos. La corrección tampoco es tecnológica: el procedimiento pasa a exigir que todo restablecimiento de MFA se verifique con una videollamada con cámara encendida o con la confirmación del responsable directo por un canal ya registrado, y el helpdesk gana autoridad explícita para decir "no" sin penalización, por mucha urgencia que transmita quien llama.

Errores habituales

  • Fiarse del identificador de llamada. El spoofing de número es trivial: que en pantalla aparezca el número real del banco o de la empresa no prueba nada. La identidad se verifica colgando y llamando al número oficial, nunca aceptando la llamada entrante como prueba.
  • Dejar el restablecimiento de contraseñas y MFA a discreción del helpdesk sin procedimiento. Es la puerta favorita de los atacantes modernos: si la verificación de identidad depende de datos que están en LinkedIn o en brechas (nombre, cargo, fecha de nacimiento), no hay verificación.
  • Formar solo contra el phishing por correo. Los empleados que borran cualquier email sospechoso siguen contestando al teléfono con total confianza; sin simulaciones de vishing, la mitad del vector queda sin entrenar.
  • Ceder a la urgencia. Toda llamada que exija actuar 'ahora mismo' —transferir, instalar, leer un código— es sospechosa por definición. Los procesos legítimos sobreviven a una verificación de cinco minutos; los fraudulentos, no.
  • Creer que reconocer la voz basta. Con la clonación por IA, la voz del CEO, de un compañero o de un hijo se imita con segundos de audio público. Las peticiones sensibles recibidas solo por voz necesitan confirmación por un segundo canal, sin excepciones.

Servicios relacionados

Este concepto puede tener relación con servicios como:

Preguntas frecuentes

¿Qué diferencia hay entre vishing, smishing y phishing?

El canal. El phishing clásico llega por correo electrónico; el smishing, por SMS y aplicaciones de mensajería; el vishing, por voz: llamadas telefónicas o mensajes de voz. La mecánica psicológica es la misma —suplantar una identidad de confianza y presionar para actuar—, pero el vishing añade la interacción en tiempo real: el atacante adapta el guion sobre la marcha y no deja a la víctima tiempo para reflexionar o consultar.

¿Qué es el callback phishing y por qué es tan difícil de filtrar?

Es la variante en la que el correo inicial no contiene enlaces ni adjuntos, solo un motivo para llamar: una suscripción que va a renovarse, un cargo no reconocido. Los filtros de correo no encuentran nada malicioso que bloquear, y cuando la víctima llama al número indicado, la relación de confianza se invierte: es ella quien ha iniciado el contacto. A partir de ahí, el 'agente' guía la instalación de software de acceso remoto o el pago.

¿Cómo se protege un helpdesk contra la suplantación de empleados?

Con verificación de identidad que no dependa de datos públicos. Antes de restablecer contraseñas o MFA: videollamada con cámara, confirmación del responsable directo por un canal ya registrado, o verificación contra un dato que solo el empleado real posee. Además, el procedimiento debe dar al técnico autoridad explícita para negarse ante presiones y urgencias, y todo restablecimiento debe generar una alerta revisable a posteriori.

¿La clonación de voz con IA hace inútil cualquier verificación telefónica?

Hace inútil la verificación basada en reconocer la voz, no la verificación de procedimiento. La respuesta correcta es asumir que la voz ya no es prueba de identidad: peticiones sensibles —transferencias, cambios de cuenta, restablecimientos— se confirman siempre por un segundo canal ya conocido, con palabras clave acordadas para emergencias familiares o corporativas. La regla es simple: colgar y llamar al número de siempre.