Inicio/ Módulos/ Módulo 02
📞 Módulo 02 — Riesgo alto

Vishing y estafas telefónicas

Los atacantes usan llamadas de voz para manipularte. Aprende a identificar y detener estas estafas antes de que comprometan información de la empresa.

¿Qué es el vishing?

El vishing (Voice + Phishing) es un ataque donde el delincuente te llama por teléfono haciéndose pasar por una persona o entidad de confianza: soporte técnico de Microsoft, tu banco, el IMSS, un colega de TI, o incluso tu propio director.

Con la llegada de la IA, los atacantes ahora pueden clonar voces para hacerse pasar por personas específicas de tu empresa con una grabación de solo 3 segundos.

📱
Deepfake de voz: ya es realidad
Los atacantes ya clonan voces con segundos de audio sacado de redes sociales o llamadas previas. Escuchar la voz idéntica de un jefe NO es prueba de identidad. Si recibes una llamada "urgente" de un superior pidiendo transferencias o contraseñas, verifica por un canal distinto y previamente conocido: en persona, a la extensión interna registrada o al correo corporativo oficial — nunca respondiendo a la misma llamada ni por la misma app desde donde llegó la solicitud.

Pretextos más comunes en vishing

  • 🏦 "Soy de tu banco" : reportan actividad sospechosa y piden verificar con contraseña o código OTP.
  • 💻 "Soy del soporte técnico" : "detectamos virus en tu computadora, necesitamos acceso remoto ahora."
  • 👤 "Soy tu director/CEO" : solicitan una transferencia urgente y confidencial.
  • 🏛️ "Somos el SAT/IMSS/gobierno" : tienes una deuda, multa o proceso legal activo.
  • 🎁 "Ganaste un premio" : necesitan tus datos para "enviarte el premio".
Phishing de voz (Vishing) — Técnicas más comunes (Español)
Video complementario: Clonan tu voz con IA y cometen fraude — así operan (UnoTV)
🎭
Ejercicio: Identifica el ataque
Lee cada escenario y determina si es legítimo o vishing
⚠️ VISHING
Escenario A: La llamada del banco
Recibes una llamada de alguien que dice ser de BBVA. Te dice que detectaron un cargo no reconocido de $8,500 en tu cuenta y que para protegerla necesitan que les confirmes: tu número de tarjeta, fecha de vencimiento y el código de seguridad de la parte de atrás, "para validar que eres el titular".
🚫
¿Por qué es vishing?
Ningún banco te pedirá el código CVV por teléfono. Ellos ya tienen tus datos. Si te preguntan esto, es una estafa. Cuelga y llama al número oficial de tu banco.
⚠️ VISHING
Escenario B: Soporte técnico de Microsoft
Llaman diciendo que son de Microsoft. "Sus sistemas han reportado errores críticos y un virus activo. Necesitamos que instale TeamViewer ahora mismo para que podamos limpiar su equipo de forma remota antes de que pierda todos sus archivos."
🚫
¿Por qué es vishing?
Microsoft y los fabricantes de software nunca llaman proactivamente. Si instalas acceso remoto, el atacante tendrá control total de tu equipo y de toda la red. Cuelga inmediatamente y reporta a TI.
⚠️ VISHING
Escenario D: El combo SMS + llamada
Primero recibes un SMS o WhatsApp falso del "banco" o de "paquetería" avisando de un cargo sospechoso o un paquete retenido. Minutos después te llama un "ejecutivo" para "ayudarte a resolverlo" — el SMS ya te puso en alerta y le da credibilidad a la llamada.
🚫
¿Por qué es vishing?
El SMS inicial es parte del engaño: sirve para prepararte emocionalmente y hacer que la llamada parezca legítima. Qué hacer: cuelga y marca tú directamente al número oficial de la institución.
✅ POSIBLEMENTE LEGÍTIMO
Escenario C: TI corporativo llama
El equipo de TI de tu empresa te llama para decirte que mañana van a hacer mantenimiento de sistemas de 9 a 11am y que tu equipo podría reiniciarse. Solo te avisan para que guardes tu trabajo.
¿Por qué es diferente?
No te piden datos, contraseñas ni acceso. Solo informan. Sin embargo, si tienes duda, puedes verificar con tu área de TI por otro canal (correo interno o en persona).

🧠 Autoevaluación — Módulo 02

3 preguntas
Pregunta 1 de 3

Alguien que dice ser de tu banco llama y pide el código SMS que acabas de recibir "para verificar tu identidad". ¿Qué haces?

Pregunta 2 de 3

Recibes una llamada de alguien que dice ser tu director solicitando con urgencia una transferencia bancaria confidencial. ¿Cuál es el paso más importante antes de actuar?

Pregunta 3 de 3

Un "técnico de Microsoft" te llama y dice que tu computadora está enviando virus a internet y que necesita acceso remoto urgente para arreglarlo. ¿Qué haces?

Puntaje:
📣
¿Detectaste algo sospechoso? Repórtalo
Avisa de inmediato a tu coordinador o al área de TI. Reportar a tiempo nunca te mete en problemas: contener un incidente temprano vale más que cualquier error.
Anterior: Phishing Siguiente: Ingeniería social