De correos falsos a llamadas engañosas: evolución del phishing

Mayo 2025

En pocas palabras: La ingeniería social está evolucionando: del clásico phishing por correo electrónico, ahora los atacantes recurren al vishing, llamadas telefónicas diseñadas para manipular al usuario. En este artículo, te explicamos cómo identificar estos ataques y qué hacer para prevenirlos.



Durante años, el phishing fue la estrella de los ataques de ingeniería social. Correos falsos que suplantan a bancos, servicios o incluso colegas, buscando que la víctima haga clic en un enlace o entregue sus credenciales. Pero los atacantes han aprendido que el correo electrónico ya no siempre es suficiente. Hoy, el engaño suena por teléfono.

El vishing —combinación de "voice" y "phishing"— es un ataque en el que los ciberdelincuentes llaman directamente a la víctima. Usan pretextos creíbles, suplantan identidades legítimas y manipulan emocionalmente para obtener información confidencial. El truco puede ir desde hacerse pasar por un técnico de soporte hasta fingir ser parte del equipo de seguridad de una institución financiera.

En TBSEK hemos detectado un crecimiento significativo de este tipo de ataques en empresas de Latinoamérica. Lo más preocupante es que muchas veces el vishing no se percibe como un riesgo real. A diferencia del phishing, que ya es conocido y más fácil de detectar, el vishing se aprovecha del factor sorpresa y la urgencia emocional.

Además, muchos atacantes combinan ambos métodos. Primero envían un correo fraudulento y luego llaman para “dar seguimiento”. La víctima, al reconocer el mensaje anterior, baja la guardia. Esta táctica aumenta la efectividad del ataque y demuestra cuán sofisticadas se han vuelto las campañas de ingeniería social.

Combatir el vishing requiere algo más que tecnología. Aquí, el factor humano es clave. Las empresas deben educar a sus equipos, entrenarlos para desconfiar de llamadas inesperadas, y establecer protocolos claros para validar cualquier solicitud que llegue por teléfono.

También es importante que los usuarios sepan decir no. Que tengan autorización para cortar una llamada, para cuestionar una instrucción, y para verificar la identidad del interlocutor por otros medios. Crear esta cultura de desconfianza saludable puede marcar la diferencia entre un incidente frustrado y una brecha catastrófica.

✅ Acciones inmediatas

  • 📞 Informa a todo el personal sobre qué es el vishing y cómo se diferencia del phishing tradicional.
  • 🛡️ Implementa un protocolo interno para validar llamadas que soliciten información sensible.
  • 🎓 Programa simulaciones de ingeniería social que incluyan escenarios por voz.

En TBSEK ayudamos a las organizaciones a enfrentar esta nueva generación de ataques. Porque hoy más que nunca, la ciberseguridad empieza por las personas, no por las máquinas.

¿Tu equipo está preparado para el próximo ataque disfrazado de llamada telefónica? Hablemos en https://www.tbsek.mx/contacto/

🤔 Para reflexionar

  • ¿Tus empleados sabrían qué hacer si reciben una llamada sospechosa de alguien que dice ser del área de TI?
  • ¿Has integrado la voz como canal a monitorear dentro de tu estrategia de seguridad?
  • ¿Tu cultura organizacional permite cuestionar y verificar, o promueve la obediencia inmediata?
Prol. Paseo de la Reforma 215, Santa Fe, Paseo de las Lomas, Cuajimalpa de Morelos, 01330 Ciudad de México +52 55 4742 1320 contacto@tbsek.mx | Aviso de privacidad