vishingfraude por llamadasuplantación al soporte técnico

    3 de julio de 2026 · 5 min de lectura · Por Fensivo Team

    Vishing: el fraude por teléfono al soporte técnico

    La conclusión: el teléfono evade todos los controles de correo y ataca la confianza de la persona

    El canal más difícil de defender hoy no llega por correo, llega por una llamada. El vishing, es decir el phishing por voz o fraude por llamada telefónica, esquiva por completo los filtros de correo, las pasarelas de seguridad y el análisis de enlaces, porque no hay ningún mensaje que inspeccionar. Del otro lado hay una voz que apura, que suena convincente y que apela a la disposición natural de cualquiera a ayudar. Ese es el punto incómodo: la defensa técnica del correo, por buena que sea, no interviene cuando el ataque entra por el teléfono.

    Durante años la conversación giró en torno al correo, y con razón. Según CISA, más del 90 por ciento de los ciberataques exitosos comienzan con un correo de phishing. Pero esa misma concentración de defensas en el buzón abrió un flanco. Cuando el correo está bien protegido, el atacante no se rinde: cambia de canal y marca un número.

    Cómo funciona un vishing dirigido al soporte técnico

    El blanco favorito de estas llamadas no es un empleado cualquiera, es la mesa de ayuda. Quien llama se hace pasar por una persona real de la empresa y explota, con precisión, la función misma del soporte: resolver rápido para que la gente pueda seguir trabajando.

    El riesgo humano se gestiona automáticamente.

    Convierte el factor humano en tu primera línea de defensa.

    Agenda un demo

    Demo gratuito · 30 minutos · Sin compromiso

    El guion es más artesanal de lo que parece. Antes de marcar, el atacante reúne datos públicos de la persona que va a suplantar: su cargo, su área, el nombre de su jefe, a veces detalles que aparecen en perfiles profesionales o en filtraciones previas. Con eso arma una historia creíble y urgente: perdió el teléfono, quedó bloqueado justo antes de una reunión, necesita recuperar el acceso ya. La mesa de ayuda existe para atender ese tipo de pedido, y esa es exactamente la vulnerabilidad que se explota. No se rompe un sistema, se convence a una persona. El vishing es una forma de ingeniería social, y comparte con el resto de esa familia la misma raíz: manipular la confianza, no vulnerar la máquina, algo que ya revisamos al mirar cómo evoluciona la ingeniería social.

    Por qué el restablecimiento de MFA y de contraseña es el objetivo

    El pedido concreto de la llamada casi siempre es el mismo: que el agente restablezca una contraseña o cambie el método de autenticación multifactor (MFA), el segundo factor que se pide además de la contraseña. Ese es el premio, porque entrega el acceso completo en dos movimientos.

    Restablecer la contraseña abre la primera mitad de la puerta. Cambiar el método de MFA abre la segunda. Si el atacante logra que el soporte inscriba un dispositivo nuevo, el suyo, como segundo factor, la protección que debía frenarlo pasa a trabajar a su favor. Desde ahí escala hacia el correo, hacia los sistemas de identidad y, en los casos más rápidos, hacia privilegios amplios en cuestión de minutos. Con el buzón en su poder, el paso siguiente suele ser el fraude del correo corporativo (BEC, por su sigla en inglés de business email compromise): órdenes de transferencia o cambios de datos bancarios que salen desde una cuenta legítima y por eso pasan desapercibidos. Como buena parte de estos ataques arranca con datos que ya circulan, una credencial filtrada o un correo expuesto, detectar a tiempo esas exposiciones cierra parte del flanco antes de que suene el teléfono.

    El factor humano bajo presión de una llamada en vivo

    Una llamada en vivo presiona a la persona de una forma que un correo no puede, y ahí está la clave de por qué funciona. Conviene recordar de dónde viene el riesgo. El marco 90-5-5 de Cisco estima que cerca del 90 por ciento de las brechas involucran un factor humano. No hablamos de gente descuidada ni de una falla que se corrija con un regaño: hablamos de personas haciendo su trabajo, atendiendo a alguien que suena legítimo y apurado.

    La voz agrega algo que el texto no tiene: no deja espacio para pensar. Insiste, el silencio incomoda, y la cortesía juega en contra de quien atiende. Un correo se puede releer, reenviar a un colega, dejar reposar cinco minutos. Una llamada exige una respuesta ahora, y esa inmediatez es precisamente el instrumento del ataque. Por eso el problema no se resuelve pidiéndole a la gente que sea más lista o más desconfiada. Bajo esa presión, casi cualquiera puede ceder.

    Defensas: verificación por callback, protocolo de identidad y validación con retest

    La defensa efectiva no consiste en pedirle a la gente que desconfíe de todas las llamadas, consiste en sacar la decisión de las manos de una persona bajo presión y ponerla en un protocolo. Cuando el proceso decide, el nerviosismo del momento deja de importar.

    La medida más concreta es la verificación por devolución de llamada (callback): ante cualquier solicitud sensible, restablecer una contraseña, cambiar un método de MFA, inscribir un dispositivo, el agente no resuelve en esa misma llamada, cuelga y devuelve el contacto por un canal ya registrado de la persona. CISA recomienda este tipo de verificación fuera de banda para toda acción que toque una cuenta con acceso a datos sensibles, junto con un MFA resistente a phishing para las cuentas privilegiadas. El protocolo convierte una decisión de criterio en un paso obligatorio, y eso es lo que un atacante no puede improvisar.

    Hay una tercera capa que casi siempre falta: comprobar que la gente de verdad resiste el pretexto, no solo que asistió a una charla. Aquí es donde el concepto de retest cobra sentido. Capacitar a un empleado sobre vishing y darlo por resuelto es una ilusión cómoda: hay evidencia revisada por pares de que completar una capacitación no predice por sí solo la reducción de fallos reales. Lo que demuestra que alguien aprendió no es haber terminado el módulo, es volver a enfrentarlo semanas después, con un escenario distinto del mismo tipo, y ver si esta vez no cae. Validar el cambio de comportamiento en lugar de asumirlo es la idea central de la gestión de riesgo humano (Human Risk Management, HRM), y es lo que separa una defensa real de una casilla marcada.

    En Fensivo abordamos este caso de uso combinando la simulación realista del pretexto con la validación posterior: una persona que enfrenta un escenario de suplantación y luego lo vuelve a enfrentar, semanas después y con otra variante, demuestra con hechos que aprendió la lección, no que recordó un correo. Puedes ver cómo lo planteamos en nuestros casos de uso.

    ¿Si mañana alguien llamara a tu mesa de ayuda haciéndose pasar por tu director financiero, cuánto dependería la respuesta del criterio de la persona que contesta, y cuánto de un protocolo que ya no la deja decidir sola?

    El riesgo humano se gestiona automáticamente.

    Convierte el factor humano en tu primera línea de defensa.

    Agenda un demo

    Demo gratuito · 30 minutos · Sin compromiso