Vishing IA es una llamada telefónica fraudulenta donde el estafador usa una voz clonada por inteligencia artificial para hacerse pasar por alguien que conoces: tu hijo, tu jefe, tu banco. Funciona porque tu cerebro confía en una voz familiar antes de que la lógica entre en escena. La voz clonada phishing ya no necesita horas de grabación. Con tres segundos de audio sacados de un Instagram Stories o un mensaje de voz de WhatsApp, hay herramientas que generan un clon convincente. El resultado: una llamada falsa IA que pide una transferencia urgente, un código de verificación o tus datos bancarios, con la voz exacta de quien menos sospecharías. Y sí, el catalán medio también pica. Vamos a desmontarlo.
Qué es el vishing y por qué la IA lo ha vuelto peligroso de verdad
El término vishing viene de "voice phishing": phishing por voz. La idea es vieja. Lo nuevo es la herramienta. Antes, el estafador te llamaba con su propia voz fingiendo ser de Microsoft o de Hacienda, con un acento que cantaba a kilómetros.
Ahora la síntesis de voz por IA elimina ese punto débil. Plataformas de clonación vocal —algunas legítimas, pensadas para doblaje o accesibilidad— se han convertido en munición. El deepfake de voz reproduce timbre, entonación y hasta muletillas. La barrera técnica que protegía a las víctimas durante años se ha desplomado.
El FBI ya alertó en 2024 sobre el aumento de fraudes con voz e imagen generadas por IA. En España, el INCIBE ha publicado avisos recurrentes sobre el llamado "fraude del CEO" y las estafas de suplantación familiar. No es ciencia ficción: es la cola de tu lista de llamadas perdidas.
Cómo monta una estafa de phishing telefónico IA paso a paso
Entender la mecánica te vacuna. El phishing telefónico IA sigue casi siempre el mismo guion en cuatro fases.
- Recolección de audio. El atacante saca tu voz de redes sociales, pódcast, notas de voz reenviadas o incluso de una llamada previa donde solo dijiste "diga". Tres segundos bastan en muchas herramientas.
- Clonación. Sube el audio a un generador de voz IA. En minutos tiene un modelo que dice lo que él teclee, con tu voz.
- Pretexto y urgencia. Construye una historia que bloquee tu pensamiento crítico: un accidente, una detención, una factura impagada, un pago que "tiene que salir hoy".
- La llamada. Te llama —a veces con el número real suplantado mediante spoofing— y la voz clonada ejecuta el guion. Si dudas, suben la presión emocional.
El ingrediente clave nunca es la tecnología. Es la urgencia. La voz clonada phishing solo abre la puerta; quien te empuja a actuar sin pensar es el miedo. Por eso conviene tratar cualquier petición urgente de dinero o datos con la misma desconfianza con la que tratarías un enlace raro. De hecho, los mismos reflejos sirven: aquí tienes una guía para verificar si un enlace es seguro antes de hacer clic, y el principio es idéntico —verifica por otro canal antes de actuar.
Señales de alerta de una llamada falsa IA
La voz puede ser perfecta, pero el contexto suele cojear. Estas son las banderas rojas que delatan una llamada falsa IA:
- Urgencia extrema. "Tiene que ser ahora, no cuelgues, no llames a nadie." La prisa es el arma.
- Petición de dinero o códigos. Transferencias inmediatas, Bizum, tarjetas regalo o el código que acabas de recibir por SMS.
- Secretismo. Te piden que no lo comentes con nadie de la familia o de la empresa.
- Respuestas evasivas a preguntas personales. El clon repite el guion, pero no sabe qué cenasteis el domingo.
- Micro-fallos de audio. Entonación plana en frases largas, respiraciones ausentes, cortes raros o un eco metálico sutil.
- Número que no cuadra. Aunque el spoofing puede falsear el identificador, a veces aparece un prefijo internacional o un número que no es el habitual.
Un truco que funciona: la palabra clave familiar. Acuerda con tu familia o tu equipo una palabra secreta. Si alguien llama pidiendo algo urgente con voz conocida, le pides la palabra. El clon no la tiene. La técnica recuerda a las estafas afectivas: las mismas alarmas que describimos en la estafa romántica online y el catfishing aplican aquí —manipulación emocional para saltarse tu juicio.
Qué hacer si ya has picado
Pasa, y no eres tonto por ello: estás diseñado para confiar en la voz de tu gente. Si has dado datos o hecho un pago, actúa rápido y por orden.
| Situación | Acción inmediata |
|---|---|
| Has hecho una transferencia | Llama a tu banco YA y pide la retrocesión. Cuanto antes, más opciones. |
| Diste datos bancarios o de tarjeta | Bloquea la tarjeta desde la app y cambia credenciales de banca online. |
| Diste un código de verificación | Cambia la contraseña de esa cuenta y activa la verificación en dos pasos. |
| Sospechas suplantación de identidad | Denuncia ante Policía Nacional o Guardia Civil y conserva pruebas (número, hora, capturas). |
Después, comprueba si tus datos circulan filtrados. Have I Been Pwned te dice si tu correo aparece en brechas conocidas. Si vas a reforzar la seguridad de tu banca, sigue esta guía para proteger tus cuentas bancarias online. Y si reutilizas contraseñas —no lo niegues—, este es el momento de aprender a crear contraseñas seguras que puedas recordar.
En España puedes reportar incidentes a la línea gratuita 017 de INCIBE, que ofrece ayuda en ciberseguridad para ciudadanos y empresas. Guarda el número; vale más que cualquier antivirus de oferta.
Protección para empresas: el fraude del CEO con voz
El phishing telefónico IA golpea fuerte en el entorno corporativo. El esquema clásico: alguien con la voz del director financiero llama a contabilidad para autorizar un pago urgente a un proveedor "nuevo". Con clonación de voz, ese fraude gana un realismo que tumba los controles informales.
Medidas que reducen el riesgo de verdad:
- Doble verificación obligatoria para pagos por encima de un umbral, siempre por un canal distinto al de la petición.
- Procedimientos escritos que ningún "es urgente" pueda saltarse. La urgencia no es una excepción a la política; es la señal de alarma.
- Formación periódica del equipo financiero y de atención al cliente. La concienciación es la capa que ningún software cubre.
- Palabra de seguridad interna para autorizaciones sensibles, rotada con cierta frecuencia.
Si tu negocio está integrando IA en sus procesos —y a la vez quiere blindarse contra estos fraudes— conviene hacerlo con cabeza. En Piqture trabajamos precisamente eso desde el ángulo de la inteligencia artificial para empresas, donde la misma tecnología que clona voces sirve, bien usada, para detectar patrones de fraude.
Herramientas y hábitos que te ponen las cosas difíciles al estafador
No existe el botón mágico, pero la suma de hábitos sí marca diferencia frente al deepfake de voz:
- Reduce tu huella de audio pública. Cuanta menos voz tuya circule abierta en redes, menos material para clonar.
- Activa la verificación en dos pasos en banca, correo y redes. Si el atacante consigue tu voz pero no tu segundo factor, se queda a medias.
- Filtra antes de que suene el teléfono. Muchas campañas de vishing empiezan por un correo o SMS que prepara el terreno. Un buen filtro antispam corta esa primera ficha del dominó.
- Verifica remitentes y adjuntos sospechosos en VirusTotal antes de abrir nada relacionado con la supuesta "incidencia urgente".
- Educa a los mayores de la familia. Son el objetivo preferido del fraude de la voz del nieto. Una conversación de cinco minutos les ahorra un susto serio.
Para quien quiera ir más allá de la teoría, en Fácil para Todos encontrarás explicaciones de seguridad digital pensadas para todos los niveles, ideales para compartir con quien no es de la quinta de internet.
Preguntas frecuentes
¿Cuánto audio necesita la IA para clonar una voz?
Algunas herramientas de clonación generan un modelo aproximado con apenas tres a diez segundos de voz. Para un resultado muy convincente se usan grabaciones más largas, pero el umbral mínimo ya es alarmantemente bajo.
¿Cómo distingo una voz real de una clonada por IA en una llamada?
Fíjate en respiraciones ausentes, entonación plana en frases largas y respuestas evasivas a preguntas personales concretas. La prueba definitiva es colgar y devolver la llamada al número que tienes guardado, no al que te ha llamado.
¿Es legal clonar una voz con IA?
Clonar la voz de una persona sin su consentimiento para suplantarla y defraudar es delito en España (estafa y suplantación de identidad). El RGPD también protege la voz como dato biométrico personal. Otra cosa es el uso consentido para doblaje o accesibilidad.
¿Qué hago si recibo una llamada sospechosa pidiendo dinero urgente?
No actúes durante la llamada. Cuelga, respira y verifica por otro canal: llama tú a la persona o entidad usando un número de confianza. Si confirma que no era ella, denuncia y avisa a tu banco.
¿Un filtro de correo puede frenar el vishing si el ataque es por teléfono?
De forma indirecta, sí. Muchas campañas de vishing se apoyan en un correo o SMS previo que da credibilidad a la llamada. Bloquear ese primer mensaje rompe la cadena antes de que suene el teléfono.
El siguiente paso
Acuerda hoy mismo una palabra de seguridad con tu familia y con tu equipo de trabajo. Una palabra que solo conozcáis vosotros y que pedirás siempre que una voz conocida te llame con prisas para que hagas un pago o sueltes un dato. Tarda dos minutos y deja sin guion al mejor clon de voz del mundo.
