Vishing com deepfake, ou phishing de voz gerado por IA, é um ataque de engenharia social em que criminosos usam tecnologia de clonagem de voz para se passar de forma convincente por uma pessoa real, geralmente um CEO, CFO ou fornecedor de confiança, durante uma ligação telefônica. Diferente do vishing tradicional, que depende de um roteiro e de um ator humano, o vishing com deepfake usa modelos de clonagem de voz treinados com apenas 20 a 30 segundos de áudio disponível publicamente, extraído de teleconferências de resultados, gravações de eventos, entrevistas ou vídeos no LinkedIn, para produzir uma voz sintética indistinguível ao ouvido da voz real do executivo.
Por que isso importa para as empresas agora? Porque a técnica deixou de ser uma raridade e se tornou um vetor de fraude predominante em apenas dois anos. Em 2026, cerca de 40% dos ataques de comprometimento de e-mail corporativo (BEC) já envolvem deepfakes de voz, vídeo ou texto gerados por IA, ante menos de 5% em 2023. Os incidentes de deepfake no geral cresceram 680% no ano, e somente o primeiro trimestre de 2025 registrou mais incidentes do que todo o ano de 2024 combinado. Para CIOs, CFOs e diretores de TI, isso significa que o velho protocolo de "ligar para confirmar", antes considerado uma proteção confiável contra fraude por e-mail, não pode mais ser aceito ao pé da letra, porque a voz do outro lado da linha agora pode ser fabricada.
Em que o vishing com deepfake difere de um golpe telefônico comum? O vishing tradicional depende da habilidade de atuação de um impostor humano e de um pretexto convincente. O vishing com deepfake elimina completamente essa dependência: os atacantes alimentam uma breve amostra de áudio em ferramentas de clonagem de voz disponíveis comercialmente, geram um modelo de voz sintética e o utilizam em tempo real ou em uma mensagem pré-gravada para autorizar uma transferência bancária, redefinir uma senha ou extrair credenciais, muitas vezes combinado com um identificador de chamadas falsificado.
Por décadas, ouvir uma voz conhecida ao telefone era considerado uma verificação de identidade razoável, ligar de volta para um número conhecido era o padrão-ouro para confirmar uma solicitação suspeita recebida por e-mail. Essa suposição já ruiu. As perdas médias por incidente em ataques de BEC potencializados por IA ultrapassam US$ 4,1 milhões, mais de três vezes os US$ 1,3 milhão em média do phishing tradicional, e o phishing por voz no geral aumentou 442% entre 2023 e 2024. As organizações agora perdem em média US$ 14 milhões por ano com ataques de vishing, e projeta-se que as perdas financeiras totais por phishing ultrapassem US$ 25 bilhões em 2026.
O desafio central é que a clonagem de voz exige muito pouca habilidade especializada ou equipamento caro. Os atacantes conseguem construir um modelo de voz utilizável a partir de áudio que os próprios executivos publicam voluntariamente: uma teleconferência de resultados, uma gravação de webinar, uma entrevista em podcast, um vídeo no LinkedIn, sem nunca precisar invadir uma rede corporativa. Até profissionais de segurança treinados têm dificuldade para detectar em tempo real uma ligação com deepfake bem executada, porque os modelos atuais reproduzem não só o tom e o ritmo, mas também os padrões de respiração, os cacoetes verbais e os sotaques regionais.
É exatamente essa lacuna que a infraestrutura de voz corporativa precisa fechar. Contar com tráfego de voz e troncos SIP gerenciados de forma confiável dá às equipes de TI e segurança os metadados de chamada, a identificação de chamadas autenticada e os registros necessários para sinalizar padrões de chamada anômalos, números falsificados e volumes de chamadas incomuns que costumam acompanhar uma campanha coordenada de vishing. Sem essa visibilidade sobre o tráfego de voz, as equipes de finanças e assistência executiva ficam dependendo apenas do ouvido humano, exatamente a fraqueza que o vishing com deepfake foi criado para explorar.
Defender-se do vishing com deepfake exige um processo em camadas, não uma única ferramenta. Os programas corporativos mais eficazes costumam seguir uma sequência semelhante. Primeiro, as organizações estabelecem um protocolo de verificação fora de banda para qualquer solicitação que envolva movimentação de dinheiro, redefinição de credenciais ou dados sensíveis, ou seja, um segundo canal de comunicação independente (uma ligação de retorno para um número previamente cadastrado, uma mensagem em uma plataforma interna de colaboração ou uma confirmação presencial) é obrigatório antes de agir sobre uma solicitação feita por telefone, não importa quão convincente a voz pareça.
Segundo, as equipes de finanças e assistência executiva recebem treinamento específico sobre os sinais de alerta do vishing com deepfake: urgência incomum, pedidos para pular as etapas normais de aprovação, resistência a mudar para videochamada e alterações de última hora nos dados de pagamento. Terceiro, as equipes de TI e segurança implementam padrões de autenticação de chamadas como STIR/SHAKEN e monitoram o tráfego de voz em busca de identificação de chamadas falsificada e padrões de chamada anômalos, área em que contar com serviços gerenciados de TI e infraestrutura de conectividade confiável é fundamental, já que a detecção depende de dados de chamada limpos e bem instrumentados trafegando por uma rede confiável.
Quarto, uma "palavra de segurança" ou código de verificação compartilhado, trocado periodicamente e conhecido apenas pela equipe autorizada, dá aos funcionários uma forma rápida e de baixo atrito para confirmar identidade em uma ligação ao vivo sem precisar escalar para uma investigação completa toda vez. Por fim, as organizações ampliam o treinamento de conscientização em segurança para cobrir explicitamente deepfakes de áudio e vídeo, já que a maioria dos treinamentos de phishing existentes ainda foca em sinais de alerta de e-mail e não acompanhou a engenharia social baseada em voz.
A maioria das empresas que implementam isso com sucesso começa pelas equipes de finanças e assistência executiva, as funções mais visadas pelos atacantes, antes de expandir o protocolo para toda a companhia ao longo de alguns meses, combinando os controles técnicos com exercícios de simulação realistas e repetidos.
Além de prevenir perdas catastróficas por fraude, um programa formal de defesa contra vishing com deepfake traz benefícios que se estendem por toda a organização. O mais direto é financeiro: com perdas médias de US$ 4,1 milhões por incidente em ataques de BEC potencializados por IA, evitar até mesmo um punhado de ataques já paga várias vezes o investimento em um programa completo de verificação e monitoramento. As seguradoras de cyber também têm perguntado cada vez mais sobre controles de fraude baseada em voz no momento da renovação das apólices, o que significa que um protocolo documentado de verificação fora de banda pode afetar materialmente os prêmios e as condições de cobertura.
Há também uma dimensão de confiança e cultura organizacional. Quando as equipes de finanças, RH e liderança executiva sabem exatamente como verificar uma solicitação telefônica de alto risco, elas conseguem agir com rapidez e confiança em vez de hesitar ou, pior, atender a uma solicitação fraudulenta por medo de ofender um "executivo sênior". Isso reduz o atrito operacional do qual os atacantes dependem: o instinto de atender primeiro e questionar depois.
As capacidades de detecção e resposta criadas para o vishing com deepfake também fortalecem a postura de segurança geral da empresa. A mesma mentalidade de detecção de anomalias que sinaliza um padrão de chamada falsificado se estende naturalmente ao monitoramento de SOC 24/7 e à detecção e resposta gerenciadas, em que sinais de identidade, rede e voz são correlacionados em conjunto, em vez de tratados como silos separados. Para fins de conformidade e auditoria, protocolos de verificação documentados e infraestrutura de voz monitorada demonstram o tipo de defesa em profundidade que reguladores e auditores esperam cada vez mais, à medida que a fraude habilitada por IA se torna uma categoria de risco nomeada nas avaliações de risco corporativo.
A HIT Communications tem mais de 30 anos construindo e protegendo a infraestrutura de voz e dados da qual empresas na América Latina, nos Estados Unidos e na Europa dependem todos os dias. À medida que o vishing com deepfake deixa de ser novidade e se torna uma tática de fraude predominante, a HIT reúne as duas disciplinas que as empresas precisam para responder: infraestrutura de voz gerenciada, incluindo troncos SIP, autenticação de chamadas e monitoramento de tráfego, e uma área de cibersegurança 24/7 com monitoramento de SOC, correlação de SIEM e detecção e resposta gerenciadas.
Essa combinação importa porque o vishing com deepfake fica exatamente na interseção entre telefonia e cibersegurança, uma lacuna que muitas soluções pontuais não cobrem. Os engenheiros da HIT podem avaliar a postura atual de autenticação de chamadas de uma organização, ajudar a desenhar e implantar um protocolo de verificação fora de banda para as equipes de finanças e liderança executiva, e garantir que a infraestrutura de voz e rede subjacente dê às equipes de segurança a visibilidade necessária para detectar padrões de chamada anômalos antes que se tornem uma transferência bancária de milhões de dólares.
A voz costumava ser uma das coisas mais difíceis de falsificar de forma convincente. Em 2026, é uma das mais fáceis, e as empresas que ainda tratam uma ligação telefônica como prova suficiente de identidade estão expostas a uma técnica de fraude já responsável por perdas médias de mais de US$ 4 milhões por incidente. Fechar essa lacuna exige mais do que conscientização dos funcionários: exige protocolos de verificação fora de banda, infraestrutura de voz monitorada e uma equipe de segurança capaz de correlacionar anomalias de voz com o restante do cenário de ameaças.
As organizações que agirem agora vão evitar se tornar mais uma estatística no próximo relatório de perdas por BEC. Se sua empresa quer avaliar sua exposição ao vishing com deepfake ou construir um programa de verificação e monitoramento que feche essa lacuna, entre em contato com a HIT Communications para iniciar a conversa.

Descubra como podemos transformar o seu negócio. Fale com um dos nossos especialistas agora!
Entre em contato