El vishing con deepfakes, o phishing de voz generado por IA, es un ataque de ingeniería social en el que los delincuentes usan tecnología de clonación de voz para suplantar de manera convincente a una persona real, normalmente un CEO, un CFO o un proveedor de confianza, durante una llamada telefónica. A diferencia del vishing tradicional, que depende de un guion y de un actor humano, el vishing con deepfakes utiliza modelos de clonación de voz entrenados con apenas 20 a 30 segundos de audio disponible públicamente, tomado de llamadas de resultados financieros, grabaciones de conferencias, entrevistas o videos de LinkedIn, para producir una voz sintética indistinguible al oído de la del ejecutivo real.
¿Por qué importa esto para las empresas justo ahora? Porque la técnica pasó de ser una rareza a convertirse en un vector de fraude generalizado en apenas dos años. En 2026, aproximadamente el 40% de los ataques de compromiso de correo empresarial (BEC) ya involucran deepfakes de voz, video o texto generados por IA, frente a menos del 5% en 2023. Los incidentes de deepfakes en general crecieron un 680% interanual, y solo el primer trimestre de 2025 registró más incidentes que todo 2024 combinado. Para CIO, CFO y directores de TI, esto significa que el viejo protocolo de "llamar para verificar", antes considerado una salvaguarda confiable contra el fraude por correo, ya no puede tomarse al pie de la letra, porque la voz al otro lado de la línea puede ser fabricada.
¿En qué se diferencia el vishing con deepfakes de una estafa telefónica común? El vishing tradicional depende de la habilidad actoral de un impostor humano y de un pretexto convincente. El vishing con deepfakes elimina por completo esa dependencia: los atacantes alimentan una breve muestra de audio en herramientas de clonación de voz disponibles comercialmente, generan un modelo de voz sintética y lo usan en tiempo real o en un mensaje pregrabado para autorizar una transferencia bancaria, restablecer una contraseña o extraer credenciales, a menudo combinado con una identificación de llamada falsificada.
Durante décadas, escuchar una voz conocida por teléfono se consideraba una verificación de identidad razonable: devolver la llamada a un número conocido era el estándar de oro para confirmar una solicitud sospechosa recibida por correo. Esa suposición ya colapsó. Las pérdidas promedio por incidente en ataques BEC potenciados por IA superan los $4.1 millones, más de tres veces los $1.3 millones promedio del phishing tradicional, y el phishing de voz en general aumentó un 442% entre 2023 y 2024. Las organizaciones ahora pierden en promedio $14 millones al año por ataques de vishing, y se proyecta que las pérdidas financieras totales por phishing superen los $25,000 millones en 2026.
El reto central es que la clonación de voz requiere muy poca habilidad especializada o equipo costoso. Los atacantes pueden construir un modelo de voz utilizable a partir de audio que los propios ejecutivos publican voluntariamente: una llamada de resultados, una grabación de webinar, una entrevista en pódcast, un video de LinkedIn, sin necesidad de vulnerar jamás una red corporativa. Incluso los profesionales de seguridad capacitados tienen dificultades para detectar en tiempo real una llamada con deepfake bien ejecutada, porque los modelos actuales reproducen no solo el tono y el ritmo, sino también los patrones de respiración, las muletillas verbales y los acentos regionales.
Esta es precisamente la brecha que la infraestructura de voz empresarial necesita cerrar. Contar con servicios confiables de tráfico de voz y troncales SIP le da a los equipos de TI y seguridad los metadatos de llamada, la identificación de llamadas autenticada y los registros necesarios para detectar patrones de llamada anómalos, números falsificados y volúmenes de llamadas inusuales que suelen acompañar a una campaña coordinada de vishing. Sin esa visibilidad sobre el tráfico de voz, los equipos de finanzas y asistencia ejecutiva quedan dependiendo únicamente del oído humano, exactamente la debilidad que el vishing con deepfakes está diseñado para explotar.
Defenderse del vishing con deepfakes requiere un proceso por capas, no una sola herramienta. Los programas empresariales más efectivos suelen seguir una secuencia similar. Primero, las organizaciones establecen un protocolo de verificación fuera de banda para cualquier solicitud que involucre movimiento de dinero, restablecimiento de credenciales o datos sensibles, es decir, un segundo canal de comunicación independiente (una llamada de vuelta a un número previamente registrado, un mensaje en una plataforma interna de colaboración o una confirmación en persona) es obligatorio antes de actuar sobre una solicitud telefónica, sin importar cuán convincente suene la voz.
Segundo, los equipos de finanzas y asistencia ejecutiva reciben capacitación específica sobre las señales de alerta del vishing con deepfakes: urgencia inusual, solicitudes para saltarse los pasos normales de aprobación, resistencia a pasar a videollamada y cambios de último momento en los datos de pago. Tercero, los equipos de TI y seguridad implementan estándares de autenticación de llamadas como STIR/SHAKEN y monitorean el tráfico de voz en busca de identificación de llamadas falsificada y patrones de llamada anómalos, ámbito en el que contar con servicios gestionados de TI e infraestructura de conectividad confiable resulta fundamental, ya que la detección depende de datos de llamada limpios y bien instrumentados que fluyen por una red confiable.
Cuarto, una "palabra de seguridad" o código de verificación compartido, cambiado periódicamente y conocido solo por el personal autorizado, les da a los empleados una forma rápida y de baja fricción para confirmar la identidad en una llamada en vivo sin necesidad de escalar a una investigación completa cada vez. Finalmente, las organizaciones amplían la capacitación en concientización de seguridad para cubrir explícitamente los deepfakes de audio y video, ya que la mayoría de las capacitaciones de phishing existentes aún se centran en señales de alerta del correo electrónico y no se han actualizado para la ingeniería social basada en voz.
La mayoría de las empresas que implementan esto con éxito comienzan por los equipos de finanzas y asistencia ejecutiva, los roles que los atacantes atacan primero, antes de expandir el protocolo a toda la compañía en unos meses, combinando los controles técnicos con ejercicios de simulación realistas y repetidos.
Más allá de prevenir pérdidas catastróficas por fraude, un programa formal de defensa contra el vishing con deepfakes ofrece beneficios que se extienden por toda la organización. El más directo es financiero: con pérdidas promedio de $4.1 millones por incidente en ataques BEC potenciados por IA, incluso prevenir un puñado de ataques justifica muchas veces la inversión en un programa integral de verificación y monitoreo. Las aseguradoras de ciberseguros también preguntan cada vez más sobre los controles de fraude basado en voz al momento de renovar pólizas, lo que significa que un protocolo documentado de verificación fuera de banda puede afectar de forma material las primas y las condiciones de cobertura.
También existe una dimensión de confianza y cultura organizacional. Cuando los equipos de finanzas, recursos humanos y dirección ejecutiva saben exactamente cómo verificar una solicitud telefónica de alto riesgo, pueden actuar con rapidez y confianza en lugar de dudar o, peor, cumplir con una solicitud fraudulenta por temor a ofender a un "alto ejecutivo". Esto reduce la fricción operativa de la que dependen los atacantes: el instinto de cumplir primero y preguntar después.
Las capacidades de detección y respuesta diseñadas para el vishing con deepfakes también fortalecen la postura de seguridad general de la empresa. La misma mentalidad de detección de anomalías que identifica un patrón de llamada falsificado se extiende naturalmente al monitoreo de SOC 24/7 y la detección y respuesta gestionadas, donde las señales de identidad, red y voz se correlacionan en conjunto en lugar de tratarse como silos separados. Para efectos de cumplimiento y auditoría, contar con protocolos de verificación documentados e infraestructura de voz monitoreada demuestra el tipo de defensa en profundidad que reguladores y auditores esperan cada vez más a medida que el fraude habilitado por IA se convierte en una categoría de riesgo con nombre propio en las evaluaciones de riesgo empresarial.
HIT Communications lleva más de 30 años construyendo y protegiendo la infraestructura de voz y datos de la que dependen a diario las empresas en América Latina, Estados Unidos y Europa. A medida que el vishing con deepfakes pasa de ser una novedad a una táctica de fraude generalizada, HIT reúne las dos disciplinas que las empresas necesitan para responder: infraestructura de voz gestionada, que incluye troncales SIP, autenticación de llamadas y monitoreo de tráfico, y una práctica de ciberseguridad 24/7 con monitoreo de SOC, correlación de SIEM y detección y respuesta gestionadas.
Esa combinación importa porque el vishing con deepfakes se ubica justo en la intersección entre telefonía y ciberseguridad, una brecha que muchas soluciones puntuales no cubren. Los ingenieros de HIT pueden evaluar la postura actual de autenticación de llamadas de una organización, ayudar a diseñar e implementar un protocolo de verificación fuera de banda para los equipos de finanzas y dirección ejecutiva, y asegurar que la infraestructura de voz y red subyacente les dé a los equipos de seguridad la visibilidad necesaria para detectar patrones de llamada anómalos antes de que se conviertan en una transferencia bancaria de varios millones de dólares.
La voz solía ser una de las cosas más difíciles de falsificar de manera convincente. En 2026 es una de las más fáciles, y las empresas que todavía tratan una llamada telefónica como prueba suficiente de identidad están expuestas a una técnica de fraude ya responsable de pérdidas promedio de más de $4 millones por incidente. Cerrar esa brecha requiere más que concientización de los empleados: exige protocolos de verificación fuera de banda, infraestructura de voz monitoreada y un equipo de seguridad capaz de correlacionar anomalías de voz con el resto del panorama de amenazas.
Las organizaciones que actúen ahora evitarán convertirse en una estadística más en el próximo informe de pérdidas por BEC. Si su empresa quiere evaluar su exposición al vishing con deepfakes o construir un programa de verificación y monitoreo que cierre esta brecha, contacte a HIT Communications para iniciar la conversación.

Descubre cómo podemos transformar tu empresa. ¡Habla con uno de nuestros expertos ahora!
Contáctanos