Las estafas de ingeniería social dominan el mundo digital hoy en día. Un impactante 98% de los ciberatacantes utilizan estas técnicas engañosas para explotar a las víctimas. Los números pintan un panorama sombrío: las actividades fraudulentas aumentaron un 57% en 2021. El Informe de Delitos en Internet 2021 del FBI revela que 323,972 personas fueron víctimas de ataques de ingeniería social, perdiendo casi $45 millones.
El rápido aumento de las estafas de vishing genera señales de alerta. Estas estafas han superado el compromiso de correo electrónico comercial para convertirse en la segunda amenaza de correo electrónico basada en respuestas más reportada. Las detecciones de ataques de vishing híbridos de múltiples etapas se dispararon en un 550% entre el primer trimestre de 2021 y el primer trimestre de 2022. Los ataques de compromiso de correo electrónico comercial han costado a las víctimas más de $43 mil millones desde 2016. El daño financiero es profundo: una de cada tres estafas de suplantación de identidad implica pagos superiores a $1,000 USD.
Este artículo se adentra en las tácticas ocultas detrás de la industria del fraude telefónico de $43 mil millones. Aprenderás cómo funciona el fraude de ingeniería social y obtendrás estrategias prácticas para prevenir estos ataques. Comprender estas técnicas engañosas ayuda a protegerte a ti y a tu organización de amenazas sofisticadas.
Entendiendo la industria del fraude telefónico de $43 mil millones
Las estafas telefónicas se han convertido en una empresa criminal sofisticada que causa pérdidas financieras devastadoras. Los estadounidenses perdieron la asombrosa cifra de $29.8 mil millones en estafas telefónicas en 2021. Esto fue un aumento del 49.7% con respecto al año anterior. Estos números muestran cómo los ataques basados en voz ahora apuntan a la psicología humana en lugar de a las debilidades técnicas.
¿Qué es una estafa de ingeniería social?
La ingeniería social cubre muchas técnicas de manipulación que apuntan a la psicología y el comportamiento humanos en lugar de fallas técnicas. Los estafadores utilizan los rasgos básicos de las personas (confianza, miedo, curiosidad y ayuda) para engañarlas y obligarlas a compartir información confidencial o tomar medidas que pongan en riesgo su seguridad.
Los hackers tradicionales van tras las debilidades del sistema. Los ingenieros sociales apuntan a los humanos, a menudo la parte más débil de los sistemas de seguridad. Crean escenarios que desencadenan respuestas emocionales. Esto hace que las víctimas actúen antes de que puedan pensar las cosas.
Estos ataques comparten un objetivo principal: obtener información valiosa o acceso directo para comprometer el objetivo. La mayor parte de esta manipulación ocurre a través de la comunicación directa. Las llamadas telefónicas se han convertido en uno de los métodos más exitosos. Un experto en ciberseguridad lo dijo simplemente: «Es mucho más fácil filtrar un correo electrónico que evitar que alguien conteste el teléfono».
Cómo las estafas de vishing se convirtieron en una amenaza principal
El phishing de voz, o «vishing», se ha convertido en un método de ataque increíblemente efectivo. Estas estafas se dispararon en un 442% en 2024, según un informe reciente de CrowdStrike. Las conversaciones telefónicas dan a los atacantes una gran ventaja porque las víctimas no tienen tiempo para pensar las cosas, a diferencia de los correos electrónicos.
El daño financiero es enorme. Las personas perdieron un promedio de $502 en estafas de vishing en 2021, un 43% más que el año anterior. Alrededor de 59.49 millones de estadounidenses (23% de la población) perdieron dinero en estafas de phishing de voz ese año.
Varias cosas impulsaron este aumento:
- Cambio en los métodos de ataque: La gente comenzó a desconfiar del phishing por correo electrónico, por lo que los delincuentes se trasladaron a las llamadas telefónicas donde la confianza surge de forma más natural.
- Vulnerabilidad móvil: Los teléfonos móviles ahora representan el 85% de las llamadas fraudulentas en 2021.
- Ventaja psicológica: Las llamadas telefónicas fuerzan respuestas rápidas, dejando poco margen para verificar cosas.
El auge de los ataques telefónicos de múltiples etapas
El paso hacia ataques de múltiples etapas que combinan diferentes tácticas es particularmente preocupante. Los ataques híbridos de vishing aumentaron casi un 550% entre el primer trimestre de 2021 y el primer trimestre de 2022. Estas operaciones complejas utilizan las llamadas telefónicas como solo una pieza de un plan de engaño más grande.
Estos ataques siguen un patrón estratégico:
- El primer contacto genera credibilidad o crea urgencia
- Más contactos a través de diferentes canales fortalecen el engaño
- Múltiples puntos de contacto hacen que todo parezca más legítimo
Los ataques de múltiples etapas están diseñados para eludir la detección y hacer que las víctimas se sientan seguras. Por nombrar solo un ejemplo, los estafadores podrían llamar fingiendo ser soporte de TI sobre un problema de red, luego enviar un correo electrónico de apariencia legítima con enlaces maliciosos.
La IA ha hecho que estas amenazas sean aún más peligrosas. Los estafadores ahora pueden usar deepfakes generados por IA para crear copias de audio o video convincentes de ejecutivos o figuras de autoridad. Esta tecnología les permite lanzar ataques dirigidos que son difíciles de detectar como falsos.
Tácticas utilizadas en estafas telefónicas de ingeniería social
Las estafas telefónicas de ingeniería social utilizan tácticas psicológicas inteligentes para engañar a las víctimas y lograr que revelen información confidencial o tomen medidas dañinas. Estas estrategias engañosas apuntan a la psicología humana para superar las salvaguardas técnicas, lo que las hace realmente peligrosas en nuestro mundo conectado.
Suplantación de identidad de llamadas con VoIP
La suplantación de identidad de llamadas se destaca como una táctica básica en el conjunto de herramientas de ingeniería social. Los estafadores cambian la información que aparece en la pantalla de su identificador de llamadas para ocultar su identidad real. A menudo utilizan la «suplantación de vecindario» para que las llamadas parezcan provenir de números locales, por lo que es más probable que las personas respondan.
La tecnología VoIP hace que la suplantación sea mucho más fácil porque funciona con conexiones a Internet en lugar de líneas telefónicas normales. Los malos actores utilizan esta debilidad tecnológica para ocultar quiénes son y parecer legítimos.
La FCC prohíbe la información de identificación de llamadas engañosa utilizada para fraude bajo la Ley de Veracidad en el Identificador de Llamadas, con multas de hasta $10,000 por infracción. Sin embargo, atrapar a estos delincuentes sigue siendo difícil porque operan a nivel mundial.
Manipulación basada en la urgencia y el miedo
Los estafadores saben que el miedo funciona bien para manipular a las víctimas. Activan la respuesta de amenaza del cerebro para crear pánico que detiene el pensamiento racional. Un ejemplo clásico ocurre cuando las personas que llaman amenazan con arresto o acciones legales, lo que genera fuertes respuestas emocionales que hacen que las víctimas cumplan sin hacer preguntas.
Los plazos falsos y la presión del tiempo no dejan lugar para pensar las cosas. Esta prisa artificial impide que las víctimas detecten señales de advertencia o verifiquen si las solicitudes son reales. Un experto en ciberseguridad lo dice de esta manera: los estafadores «explotan nuestras vulnerabilidades humanas más profundas y evitan el pensamiento racional para aprovechar nuestras respuestas emocionales».
Estas llamadas llegan en momentos estratégicos, generalmente durante las horas de trabajo ocupadas o tarde en la noche cuando las personas están cansadas y son más propensas a cometer errores.
Suplantación de instituciones de confianza
La suplantación se encuentra en el corazón de muchos ataques de ingeniería social. Los estafadores fingen ser:
- Funcionarios gubernamentales (IRS, policía)
- Instituciones financieras
- Personal de soporte técnico
- Servicios de entrega o proveedores
- Ejecutivos de empresas
Estos ataques se aprovechan de nuestro respeto natural por las figuras de autoridad. Los mensajes que parecen provenir de personas «importantes» hacen que los destinatarios sean menos propensos a cuestionarlos.
Los atacantes también usan lenguaje manipulador con palabras como «pago», «solicitud» o «urgente» para hacer que las víctimas actúen rápido antes de detectar la estafa. Apuntan a personas cuyos trabajos les dan acceso a información o sistemas valiosos.
Pretexting y explotación de la familiaridad
El pretexting crea escenarios falsos para ganar confianza y convencer a las víctimas de compartir información sensible. Esta táctica construye historias falsas pero creíbles que no parecen amenazantes.
Los estafadores comienzan con pequeñas solicitudes inofensivas para establecer confianza antes de pasar a demandas más grandes. Las largas conversaciones les ayudan a construir un compromiso psicológico mientras desgastan mentalmente a las víctimas, lo que las hace más fáciles de influir.
La confianza hace vulnerables a las personas. Los atacantes que fingen ser alguien que la víctima conoce, como un colega, gerente o proveedor de servicios, usan las relaciones existentes para bajar las defensas. Esto funciona bien porque las personas naturalmente quieren ayudar a quienes parecen amigables.
Estas tácticas funcionan porque explotan la psicología humana básica. La confianza, el miedo, la urgencia y la amabilidad se convierten en puertas de entrada para estafas de ingeniería social exitosas.
Ejemplos del mundo real de vishing y fraude telefónico
Los casos de fraude telefónico y vishing han demostrado sus efectos devastadores a través de casos reales que llevaron a pérdidas financieras masivas. Estos ejemplos muestran cómo las estafas de ingeniería social utilizan la psicología humana para superar las medidas de seguridad.
Soporte de TI falso solicitando inicio de sesión VPN
Una reciente estafa de mesa de ayuda de TI tuvo como objetivo a organizaciones del sector público de Nueva Jersey, donde los atacantes se hicieron pasar por soporte de TI interno para engañar a los objetivos y hacer que revelaran sus credenciales de cuenta. La estafa comenzó con correos electrónicos de phishing que parecían provenir de «INFORMATION_SERVICES» y contenían archivos adjuntos PDF con mensajes urgentes sobre la expiración de contraseñas. A las víctimas que los abrían se les pedía que actualizaran sus contraseñas copiando enlaces a páginas falsas de WordPress.
Los estafadores no se detuvieron ahí. Llamaron a las víctimas y afirmaron que necesitaban «verificar su identidad» para eludir la autenticación multifactor (MFA). Tan pronto como las víctimas compartieron códigos de verificación o aprobaron notificaciones MFA, los atacantes obtuvieron acceso completo a sus cuentas. Este enfoque de múltiples etapas superó los protocolos de seguridad estándar combinando técnicas de correo electrónico y voz.
Suplantación de banco exigiendo acción urgente
Las estafas por mensajes de texto que suplantan a los bancos se han convertido en el fraude más reportado, con cifras que han crecido casi veinte veces desde 2019. Estas operaciones de vishing generalmente comienzan con mensajes de texto que parecen alertas de seguridad bancaria sobre transacciones sospechosas, lo que crea preocupación inmediata.
Las víctimas luego reciben llamadas de personas que dicen ser del departamento de fraudes del banco. Gordon, cliente de HSBC, aprendió esto de la manera difícil cuando los estafadores afirmaron ser del equipo de fraude interno de HSBC. Los estafadores le dieron un número de devolución de llamada falso que lo conectó con otros estafadores que «confirmaron» que la llamada era real. A través de varias conversaciones, lograron que realizara múltiples compras y compartiera códigos de acceso de un solo uso. Los estafadores robaron más de £90,000 ($115,000) en solo una semana.
Estafa de voz deepfake de CEO para transferencia bancaria
Lo que me encanta es cómo los deepfakes de voz generados por IA ahora se utilizan para suplantar a ejecutivos. En 2019, los delincuentes utilizaron tecnología de voz de IA para copiar la voz de un director ejecutivo alemán (incluido su sutil acento y la «melodía» del habla) y convencieron a un director ejecutivo de una empresa de energía del Reino Unido para que enviara €220,000 ($243,000) a una cuenta falsa. La víctima pensó que reconocía la voz de su jefe, incluidos patrones de habla únicos.
Un trabajador financiero de una empresa multinacional fue víctima de una estafa similar y pagó $25 millones después de unirse a una videoconferencia con lo que parecían ser varios colegas, que eran todos recreaciones deepfake. Al principio sospechó de un correo electrónico de phishing que mencionaba una «transacción secreta», pero la videollamada realista hizo desaparecer sus dudas.
Estos casos muestran cómo las estafas de ingeniería social se vuelven cada vez más sofisticadas, creando escenarios que incluso los profesionales cuidadosos encuentran difíciles de detectar.
Cómo detectar una llamada de estafa de ingeniería social
Puedes evitar convertirte en otra víctima en la industria del fraude de $43 mil millones detectando las señales de advertencia de las estafas de ingeniería social. Tu primera defensa contra estos ataques sofisticados es saber cómo detectar llamadas engañosas antes de dar información confidencial.
Señales de alerta en llamadas no solicitadas
Las llamadas inesperadas que necesitan una acción inmediata deberían generar señales de alerta. Los estafadores crean urgencia falsa para evitar que pienses con claridad y empujarte a tomar decisiones rápidas. Las señales clásicas de fraude de ingeniería social aparecen cuando las personas que llaman usan tácticas de alta presión o te amenazan con el cierre de la cuenta o acciones legales. Las organizaciones reales generalmente envían avisos por escrito antes de llamar sobre asuntos delicados, especialmente sobre pagos.
Deberías preocuparte cuando las personas que llaman dan respuestas evasivas o vagas a tus preguntas. Los representantes reales te dirán con gusto quiénes son y por qué llaman, mientras que los estafadores esquivan preguntas directas o cambian su historia cuando los presionas.
Llamadas automáticas con mensajes de emergencia
Ten mucho cuidado con las llamadas automatizadas que afirman que hay emergencias con tus cuentas o información personal. Las llamadas automáticas reales existen para emergencias reales como alertas meteorológicas o cierres de escuelas, pero los estafadores usan este formato para crear falso pánico. Las llamadas de emergencia reales deben decirte qué organización llama y darte detalles de contacto que puedas verificar.
Solicitudes de información sensible
La mayor señal de alerta de una estafa de ingeniería social es pedir datos sensibles. Las empresas reales nunca hacen llamadas sorpresa pidiendo:
- Números de Seguro Social
- Contraseñas de cuentas o PINs
- Códigos de verificación de un solo uso
- Acceso remoto a tus dispositivos
Las personas que llaman pueden tener algunos de tus datos personales, como números de tarjeta parciales o direcciones de correo electrónico, pero esto no confirma que sean legítimos. Los estafadores a menudo obtienen esta información de filtraciones de datos anteriores.
Números de contacto inválidos o suplantados
Tu identificador de llamadas no es confiable porque los estafadores usan regularmente la «suplantación» para falsificar la información mostrada. Este truco hace que las llamadas parezcan provenir de agencias gubernamentales, bancos o números locales para que más personas respondan. Si no estás seguro de quién llama, cuelga y llama a la organización directamente usando el número oficial de su sitio web o tu estado de cuenta.
Ten en cuenta que la Ley de Veracidad en el Identificador de Llamadas prohíbe la suplantación, con multas de hasta $10,000 por cada violación, pero los delincuentes aún la usan como una herramienta principal para ataques de ingeniería social.
Cómo prevenir ataques de ingeniería social
Necesitas medidas proactivas y una buena dosis de escepticismo para protegerte de los ataques de ingeniería social basados en teléfonos. Estas estrategias defensivas te ayudarán a reducir mucho tu vulnerabilidad a las tácticas engañosas.
Nunca compartas datos personales por teléfono
Nunca debes dar información confidencial como números de Seguro Social, contraseñas, números de cuenta u otros detalles de identificación durante llamadas inesperadas. Las organizaciones legítimas nunca pedirán estos datos por teléfono. Ten en cuenta que los estafadores a menudo ya conocen algunos de tus datos personales, lo que hace que sus solicitudes parezcan más creíbles.
Verifica la identidad de la persona que llama a través de canales oficiales
Cuando alguien diga que representa a una empresa o agencia gubernamental, cuelga de inmediato y devuelve la llamada usando el número oficial. Puedes encontrar este número en tu estado de cuenta, el sitio web de la organización o en la guía telefónica. Este simple paso te ayuda a evitar intentos de suplantación y confirma si la persona que llama es legítima.
Retrasa la acción y evalúa la situación
Mantente alerta si alguien te presiona para actuar de inmediato. Los estafadores crean urgencia falsa para evitar que pienses con claridad. Tómate tu tiempo para obtener una imagen completa. Las organizaciones reales entenderán cuando necesites verificar quiénes son.
Usa herramientas de bloqueo de llamadas y MFA
Utiliza los servicios de bloqueo de llamadas de las compañías telefónicas para detener llamadas no deseadas. Estas herramientas pueden bloquear miles de millones de llamadas no deseadas cada año. También ayuda habilitar la autenticación multifactor (MFA) en todas tus cuentas para mayor seguridad.
Denuncia llamadas sospechosas a las autoridades
La Comisión Federal de Comercio necesita saber sobre llamadas de estafa en ReportFraud.ftc.gov. Tu informe ayuda a las autoridades a detectar patrones y emprender acciones legales contra los estafadores.
Conclusión
Los estadounidenses perdieron casi $30 mil millones en estafas telefónicas el año pasado. Estas estafas de ingeniería social se han convertido en una de las amenazas cibernéticas más peligrosas de la actualidad. Los delincuentes ahora prefieren los ataques basados en voz. El fraude telefónico ha evolucionado más allá de simples trucos hacia operaciones sofisticadas que utilizan deepfakes generados por IA y manipulación psicológica.
Aprender sobre estas tácticas nos brinda la mejor defensa contra convertirnos en víctimas. La mayoría de los ataques exitosos siguen patrones similares. Los estafadores crean urgencia falsa y explotan nuestra confianza en organizaciones familiares. Nos empujan a tomar decisiones rápidas. Estas estafas se vuelven cada vez más complejas, pero las señales de alerta siguen siendo las mismas. Ten cuidado con las llamadas inesperadas que exigen acción rápida, piden detalles personales o utilizan tácticas de presión.
¿Por qué estos ataques funcionan tan bien? Sin duda, los delincuentes apuntan al comportamiento humano en lugar de a las debilidades técnicas. Construimos sistemas de ciberseguridad resistentes, pero las personas a menudo siguen siendo el eslabón más débil en las cadenas de seguridad.
La vigilancia sigue siendo nuestro escudo más fuerte contra estas amenazas. Siempre verifica las identidades de las personas que llaman a través de canales oficiales. Nunca compartas detalles confidenciales durante llamadas sorpresa. Tómate el tiempo para evaluar las situaciones cuidadosamente. Además, las herramientas de bloqueo de llamadas agregan otra barrera protectora contra estos ataques sofisticados.
Luchar contra la ingeniería social requiere conciencia y una buena dosis de escepticismo. El conocimiento de estas tácticas engañosas ayuda a protegernos a nosotros y a nuestras organizaciones de esta industria masiva de fraude. La próxima vez que suene tu teléfono con un mensaje urgente sobre tus cuentas, estas señales de advertencia podrían salvarte de convertirte en otra víctima.
![Infracciones de la TCPA: Señales de advertencia de que estás siendo estafado [Guía 2024]](/wp-content/uploads/2026/01/80803b4e-bb3f-433e-b8c2-e5c2f41c858a-1024x576.webp)
