Vishing: qué es, cómo funciona y cómo protegerte de esta estafa
Mayo 13, 20267 minutos
Educación Financiera
Si alguna vez has recibido una llamada de alguien que asegura ser de tu banco, te pide confirmar datos "por seguridad" y te genera una urgencia difícil de ignorar, ya estuviste frente a un intento de vishing. Puede que lo hayas detectado a tiempo. O puede que no. Pero lo que sí es seguro es que este tipo de estafa se ha vuelto una de las amenazas más activas para usuarios y empresas en México, y que no está desacelerando.
En 2024 se registraron más de seis millones de fraudes cibernéticos en el país, con pérdidas que superaron los 20 mil millones de pesos. Y el vishing —la estafa a través de llamadas telefónicas— está en el corazón de ese problema. No como un delito de baja sofisticación que solo afecta a personas mayores, sino como una operación cada vez más profesionalizada, impulsada por inteligencia artificial y dirigida a cualquiera que tenga una cuenta bancaria o maneje dinero de un negocio.
El término vishing combina las palabras en inglés voice (voz) y phishing (el fraude por correo electrónico que ya muchos conocen). La idea es simple: engañar a una persona a través de una llamada telefónica para que revele información sensible —contraseñas, números de cuenta, códigos de verificación, datos bancarios— o para que realice una transferencia creyendo que está haciendo algo legítimo.
A diferencia del phishing, que llega por correo y da tiempo de pensar, el vishing ocurre en tiempo real. Hay una voz al otro lado de la línea. Hay urgencia. Hay presión. Y esa combinación hace que incluso personas precavidas cometan errores.
El vishing no es nuevo, pero sí ha cambiado mucho. Lo que antes era una llamada torpe con un guion genérico hoy puede ser una conversación fluida, con datos reales del cliente, número de banco falsificado en la pantalla y, en los casos más sofisticados, una voz generada por inteligencia artificial que imita a personas reales.
Entender cómo opera una estafa de vishing es la primera línea de defensa. El esquema suele seguir un patrón que, una vez que lo conoces, se vuelve reconocible.
Primer contacto. La víctima recibe una llamada —o a veces primero un SMS— que alerta sobre un problema urgente: un cargo desconocido en su tarjeta, un acceso sospechoso a su cuenta, una "verificación de seguridad" pendiente. El número que aparece en pantalla puede coincidir con el del banco real gracias a una técnica llamada spoofing, que permite falsificar el identificador de llamadas.
Generación de confianza. El estafador maneja datos reales del cliente: nombre completo, últimos dígitos de la tarjeta, incluso la última transacción. Esa información puede haber sido obtenida por filtraciones de datos, redes sociales o comprada en mercados ilegales. Con esos datos, la llamada parece completamente legítima.
La solicitud de información. Una vez establecida la confianza, el estafador solicita lo que realmente busca: el NIP, el código de seguridad, un token de autenticación, o directamente que el usuario transfiera dinero a una "cuenta segura" para "protegerlo". La urgencia es deliberada: no hay tiempo para dudar, para colgar y verificar, para consultar con alguien más.
El cierre. En el momento en que la víctima entrega el último dato, la llamada termina. A veces incluso antes. El daño ya está hecho.
Si el vishing clásico ya era efectivo, la incorporación de inteligencia artificial lo ha llevado a otro nivel. Las estafas de este tipo aumentaron un 442% en 2024 a nivel global, según un informe de CrowdStrike, y gran parte de ese crecimiento se explica por las nuevas capacidades tecnológicas disponibles para los defraudadores.
La clonación de voz con IA permite replicar la forma de hablar de una persona con apenas unos segundos de audio de referencia. Los audios disponibles en redes sociales, mensajes de voz filtrados o grabaciones públicas son suficientes para entrenar un modelo que suene convincentemente como un familiar, un jefe o un ejecutivo bancario. A eso se suman los bots de voz automatizados, capaces de hacer miles de llamadas simultáneas con guiones adaptados según las respuestas del interlocutor.
Para los negocios, esto representa un riesgo adicional: el vishing empresarial o fraude del CEO es una variante donde el estafador se hace pasar por un directivo de la empresa para presionar a un empleado financiero a realizar una transferencia urgente. El empleado escucha la voz de su jefe. La instrucción parece legítima. Y el dinero sale.
Los números hablan por sí solos, y no son menores.
En los primeros nueve meses de 2025 se registraron más de 3.82 millones de reclamaciones por fraudes financieros ante la CONDUSEF, equivalentes a casi 10 denuncias por minuto.
El fraude financiero en México generó pérdidas superiores a los 16,678 millones de pesos solo en ese período.
Al menos 13.5 millones de personas han sido víctimas de fraudes digitales en años recientes, con una pérdida promedio de 8,750 pesos por afectado, según datos de la propia CONDUSEF.
Un estudio de The Competitive Intelligence Unit encontró que el 34% de los usuarios de internet en México ha recibido llamadas sospechosas donde se les solicitan datos personales.
El fraude ya no discrimina. Afecta a personas en todos los rangos de edad, nivel educativo y perfil económico. Y para las empresas —especialmente las pequeñas y medianas— una sola llamada bien ejecutada puede representar un golpe financiero difícil de absorber.
El vishing adopta diferentes formas dependiendo del objetivo y el perfil de la víctima. Conocerlas ayuda a identificarlas antes de que sea tarde.
Suplantación bancaria. La más frecuente. Alguien llama diciendo ser del banco, reporta actividad inusual y pide confirmar datos o transferir a una "cuenta puente". Es el esquema que más denuncias genera ante la CONDUSEF.
Soporte técnico falso. El estafador se identifica como técnico de una empresa de software o telecomunicaciones, asegura que el equipo tiene un problema de seguridad y solicita acceso remoto para "resolverlo". Una vez dentro, tiene acceso a todo.
Oferta laboral o premio. Se contacta a la víctima con una propuesta tentadora —trabajo bien pagado, premio de un concurso, beca— y en el proceso de "registro" se solicitan datos personales y bancarios.
Fraude del paquete. El estafador se hace pasar por una empresa de paquetería que notifica un problema de entrega. El "trámite" para resolverlo lleva a proporcionar datos sensibles o a realizar un pago.
Urgencia gubernamental. Llamadas que simulan ser del SAT, IMSS u otras dependencias, alertando sobre adeudos, auditorías o problemas legales que requieren acción inmediata.
Reconocer los patrones es la defensa más efectiva. Ante una llamada, estas señales deben encender focos de alerta:
Urgencia extrema. Si quien llama insiste en que debes actuar ahora mismo, que cada segundo cuenta y que no hay tiempo de verificar nada, es una táctica clásica de manipulación. Los bancos y las instituciones legítimas siempre dan tiempo para verificar.
Solicitud de datos que ya deberían tener. Tu banco ya tiene tu número de cuenta. Nadie con acceso legítimo a tu información necesita que tú se la dictes de nuevo. Si alguien te pide confirmar datos sensibles por teléfono, es una señal roja.
Solicitud de transferencia a cuenta "segura". Ningún banco te pedirá mover tu dinero a otra cuenta para protegerlo. Eso no existe.
Número que no cuadra al verificar. Si recibes una llamada de tu banco y tienes duda, cuelga y marca tú directamente al número que aparece en tu tarjeta o en la aplicación oficial.
Presión para no colgar. Frases como "si cuelga perderá su dinero" o "no puede hablar con nadie más" son indicadores claros de que algo está mal.
Para las empresas, especialmente las que manejan volúmenes de transacciones o tienen empleados con acceso a cuentas y transferencias, el vishing empresarial representa un riesgo operativo concreto. Estas prácticas reducen significativamente la exposición:
Protocolo de verificación para transferencias. Ninguna transferencia —sin importar quién la solicite por teléfono— debe ejecutarse sin un proceso de verificación independiente. Si el "director general" llama pidiendo una transferencia urgente, el protocolo es colgar y confirmar por otro canal antes de mover un peso.
Capacitación del equipo. La mayoría de los programas de seguridad en empresas no cubren el vishing. Entrenar a los empleados para que reconozcan las tácticas de ingeniería social reduce drásticamente la probabilidad de éxito de este tipo de ataques.
Autenticación multifactor. Habilitar la verificación en dos pasos en todas las cuentas bancarias y plataformas financieras agrega una capa de protección que complica la vida a quien intente operar con datos robados.
Cultura del "verifico antes de actuar". En entornos empresariales, normalizar la práctica de verificar antes de ejecutar —incluso cuando la solicitud parece venir de alguien de confianza— es una de las medidas más efectivas y de menor costo.
Reportar intentos. Aunque no haya sido víctima, reportar llamadas sospechosas a la Policía Cibernética o al portal de Fraudes Financieros de la CONDUSEF contribuye a documentar patrones y alertar a otros.
Si cometiste el error de proporcionar datos o realizaste una transferencia, el tiempo es crítico.
Primero, llama inmediatamente a tu banco para bloquear la tarjeta, congelar movimientos y reportar el fraude. Cuanto antes lo hagas, mayores son las probabilidades de revertir daños. Luego, cambia las contraseñas de todas tus cuentas digitales, especialmente si usas la misma en varios servicios. Presenta una denuncia ante la CONDUSEF (condusef.gob.mx) y, si el fraude involucra una cantidad significativa, también ante la Fiscalía o la Policía Cibernética. Guarda evidencia: capturas del número que llamó, mensajes relacionados, registros de movimientos.
El vishing funciona principalmente porque sus víctimas no esperaban ser víctimas. Nadie piensa que le va a pasar hasta que pasa. Y cuando pasa, la velocidad del engaño hace que sea difícil reaccionar a tiempo.
La buena noticia es que el conocimiento cambia eso. Una persona que sabe cómo opera este tipo de estafa, que reconoce las señales de alerta y que tiene un protocolo claro de verificación es una persona —o una empresa— significativamente más difícil de engañar.
En Kapital entendemos que proteger el dinero de tu negocio no termina en la plataforma digital. Empieza por saber qué amenazas existen y cómo enfrentarlas. Porque un negocio bien informado es un negocio más seguro.
¡Conoce cómo financiarte con Kapital!
Recibe la llamada de un asesor
