IntermediovishingdeepfakeIACEO fraudsocial engineering

Vishing y Deepfake de Voz: Ataques Telefónicos Potenciados por IA

Vishing potenciado por IA: deepfake de voz en tiempo real, clonación vocal con 3 segundos de audio, CEO fraud por teléfono, campañas documentadas, detección de audio sintético y defensa organizacional.

MalwareIntel Research··15 min lectura
Serie: Phishing y Social Engineering — Parte 5

El teléfono como vector de ataque

El correo electrónico tiene filtros antispam, DMARC, sandbox de adjuntos. El navegador tiene safe browsing, certificados TLS, extensiones de seguridad. El teléfono no tiene casi nada. Una llamada entrante con caller ID spoofed, una voz que suena exactamente como tu jefe, y tres minutos de conversación convincente. Eso es todo lo que se necesita para autorizar una transferencia de seis cifras.

El vishing (voice phishing) ha existido durante décadas. Pero la irrupción de modelos de clonación de voz por IA ha transformado lo que era un ataque artesanal, dependiente de la habilidad actoral del atacante, en un ataque escalable y automatizable. Esta es la guía completa: cómo funcionaba el vishing clásico, qué cambia con la IA generativa, casos documentados y cómo defenderse.

Vishing clásico: ingeniería social por teléfono (pre-IA)

Antes de los deepfakes, el vishing dependía de tres elementos: pretexting (construir una historia creíble), urgencia (crear presión temporal) y autoridad (suplantar a alguien con poder de decisión).

Los escenarios más comunes:

  • Soporte técnico falso. "Soy del departamento de IT. Hemos detectado actividad sospechosa en tu cuenta. Necesito que instales esta herramienta de acceso remoto para verificar." El atacante guía a la víctima para instalar AnyDesk, TeamViewer o similar.
  • Banco o entidad financiera. "Hemos detectado un cargo sospechoso de 3.200 EUR en tu tarjeta. Para cancelarlo, necesito verificar tu identidad." La víctima proporciona datos de la tarjeta o códigos OTP.
  • CEO fraud telefónico. "Soy [nombre del CEO]. Estoy en una reunión y necesito que hagas una transferencia urgente. Te envío los datos por email, pero hazla ya." El atacante ha investigado previamente la estructura de la empresa y los nombres de los directivos.
  • Llamada de proveedor. "Hemos cambiado nuestra cuenta bancaria. Las próximas facturas deben pagarse a esta nueva cuenta." Combinado frecuentemente con un email de seguimiento que aparenta venir del proveedor real.

Estos ataques funcionaban (y siguen funcionando) porque explotan la psicología humana: deferencia ante la autoridad, miedo a las consecuencias, presión temporal y el hecho de que la voz humana genera más confianza que un email.

La limitación del vishing clásico era la escalabilidad. Cada llamada requería un operador humano con habilidades de improvisación, conocimiento del idioma y capacidad de adaptarse a las respuestas de la víctima. Por eso, históricamente, el vishing era un ataque dirigido (spear vishing) más que masivo.

IA generativa: el punto de inflexión

A partir de 2023, la clonación de voz por IA eliminó la principal barrera del vishing: la necesidad de un actor humano convincente. Lo que antes requería talento para la imitación ahora requiere 3 segundos de audio de referencia y una herramienta de síntesis.

Tres avances técnicos convergieron:

  1. Modelos de clonación zero-shot. Sistemas como VALL-E (Microsoft Research, enero 2023), Bark (Suno AI) y herramientas comerciales como ElevenLabs pueden clonar una voz a partir de un fragmento mínimo de audio. No necesitan horas de grabación como los sistemas anteriores.

  2. Latencia en tiempo real. Los primeros sistemas de TTS (text-to-speech) neuronal tenían latencias de varios segundos, lo que los hacía inviables para conversaciones telefónicas. Los modelos actuales operan con latencias de 200-500 ms, compatibles con una conversación natural (el retraso se percibe como un lag de red, no como algo artificial).

  3. Calidad de audio telefónico. El codec de voz telefónica (G.711, 8 kHz) reduce considerablemente la calidad del audio. Paradójicamente, esto beneficia al atacante: los artefactos del audio sintético que serían detectables en una grabación de estudio quedan enmascarados por la compresión telefónica.

Cómo funciona la clonación de voz

El proceso técnico simplificado:

  1. Captura de referencia. El atacante obtiene audio del objetivo. Fuentes habituales: charlas en conferencias (YouTube, Vimeo), entrevistas en podcasts, videos corporativos en LinkedIn, llamadas de earnings públicas (para CEOs de empresas cotizadas), mensajes de voz de WhatsApp filtrados, o incluso una llamada previa al objetivo donde graba su voz.

  2. Extracción de embeddings vocales. El modelo analiza el audio de referencia y extrae un vector numérico (speaker embedding) que captura las características únicas de la voz: tono fundamental, formantes, prosodia, velocidad de habla, pausas, respiración.

  3. Síntesis condicionada. Cuando el atacante escribe o dicta texto, el modelo genera audio que preserva el contenido lingüístico del input pero aplica las características vocales del speaker embedding. El resultado suena como si la persona clonada estuviese hablando.

  4. Post-procesado. Filtros para simular el canal telefónico: reducción de bandwidth a 8 kHz, adición de ruido de fondo (oficina, calle, aeropuerto), compresión de rango dinámico.

Con 3 segundos de audio, la calidad es suficiente para engañar en una llamada corta con contexto favorable (la víctima espera esa llamada, el tema es urgente). Con 30 segundos o más, la clonación captura matices de prosodia y entonación que hacen el engaño prácticamente indistinguible para un oído humano a través del teléfono.

Deepfake de voz en tiempo real

El salto cualitativo más relevante para el vishing no es la clonación offline (generar un audio pregrabado), sino la conversión de voz en tiempo real (voice conversion). En este modo, el atacante habla con su propia voz y un modelo transforma el audio en tiempo real para que suene como la persona suplantada.

Ventajas sobre el TTS:

CaracterísticaTTS con voz clonadaVoice conversion en tiempo real
Naturalidad en la conversaciónBaja (el atacante escribe, el sistema lee)Alta (el atacante habla, el sistema convierte)
Capacidad de improvisarLimitada por velocidad de escrituraTotal, como una conversación normal
Latencia300-800 ms (generación + streaming)150-400 ms (procesado de audio en streaming)
Manejo de emocionesDifícil de simularSe preservan las emociones del hablante original
Interrupción/solapamientoImposible de gestionarNatural

La voice conversion en tiempo real permite al atacante mantener conversaciones de 10-20 minutos, responder a preguntas inesperadas, expresar urgencia o frustración, y gestionar interrupciones. Todo con la voz del CEO.

Las herramientas disponibles (tanto open-source como comerciales) reducen la barrera técnica. Un atacante con conocimientos básicos de Python puede configurar un pipeline de voice conversion en tiempo real usando RVC (Retrieval-based Voice Conversion), so-vits-svc, o alternativas similares, ejecutándose en una GPU consumer (RTX 3060 o superior).

Casos documentados

UK Energy Company, 2019: 220.000 EUR

El caso más citado en la literatura. El CEO de una filial energética británica recibió una llamada que sonaba exactamente como su jefe, el CEO de la matriz alemana. La voz clonada le pidió una transferencia urgente de 220.000 EUR a un proveedor húngaro. El empleado transfirió los fondos, que fueron redirigidos a México y dispersados en múltiples cuentas. La empresa aseguradora (Euler Hermes, del grupo Allianz) confirmó que la voz tenía "el acento alemán, la melodía, los tonos" del CEO real. El dinero nunca se recuperó.

Este caso, reportado por el Wall Street Journal en agosto de 2019, es notable porque ocurrió antes del boom de herramientas de clonación accesibles. Los atacantes usaron tecnología que en ese momento era cara y especializada.

Arup Hong Kong, 2024: 25 millones USD

En febrero de 2024, un empleado del departamento financiero de Arup (multinacional de ingeniería, responsable del Sydney Opera House entre otros) fue invitado a una videollamada con lo que creía ser el CFO de la compañía y otros directivos. Todos los participantes eran deepfakes generados en tiempo real. Durante la llamada, autorizó transferencias por un total de 200 millones HKD (25,6 millones USD) a cinco cuentas bancarias locales.

El empleado sospechó inicialmente (el mensaje inicial llegó por email y le pareció phishing), pero la videollamada con la imagen y voz de personas que conocía eliminó sus dudas. El fraude se descubrió días después al verificar con la sede central.

Scattered Spider: vishing como técnica principal

Scattered Spider (UNC3944/Muddled Libra) es el ejemplo más relevante de vishing como TTP central de un grupo de amenazas activo. Este grupo, compuesto mayoritariamente por jóvenes angloparlantes, usa llamadas telefónicas al helpdesk de las organizaciones objetivo como vector de acceso inicial principal.

Su método: llamar al helpdesk suplantando a un empleado legítimo, alegar un problema con MFA ("perdí mi teléfono", "no puedo acceder a Okta"), y convencer al técnico de soporte para realizar un reset de credenciales o registrar un nuevo dispositivo MFA. No necesitan deepfakes en la mayoría de casos, la habilidad de social engineering presencial es suficiente, pero el patrón demuestra que el teléfono sigue siendo el punto más débil de la cadena de autenticación.

Víctimas confirmadas incluyen MGM Resorts (septiembre 2023, 100M USD en pérdidas estimadas) y Caesars Entertainment (15M USD de rescate pagado).

Retool, agosto 2023

Un atacante llamó a un empleado de Retool haciéndose pasar por un miembro del equipo de IT. La llamada fue precedida por un SMS de phishing que daba contexto ("hemos migrado el sistema de autenticación, sigue este enlace"). Durante la llamada, el atacante convenció al empleado de proporcionar un código MFA adicional. Con esas credenciales, accedió a los sistemas internos y comprometió las cuentas de 27 clientes del sector crypto.

Vishing clásico vs AI-enhanced: comparativa

DimensiónVishing clásicoVishing con deepfake IA
Audio de referencia necesarioNinguno (el atacante improvisa)3-30 segundos del objetivo
Habilidad del atacanteAlta: actuación, idioma, improvisaciónBaja-media: operar herramientas de IA
EscalabilidadBaja: 1 operador por llamadaMedia-alta: 1 operador puede suplantar a múltiples personas
IdiomaLimitado al idioma nativo del atacanteCualquier idioma (TTS multilingüe)
Detección por la víctimaPosible si conoce la voz realMuy difícil en canal telefónico
Coste por operaciónBajo (solo tiempo humano)Medio (GPU + herramientas + OSINT previo)
Persistencia de la identidadEl atacante "es" la persona solo esa llamadaEl perfil de voz se reutiliza indefinidamente
Evidencia forenseVoz del atacante real en grabaciónVoz sintética, más difícil de atribuir

Cadena de ataque: del reconocimiento a la acción

Un ataque de vishing con deepfake sigue una cadena predecible:

Fase 1: Reconocimiento (días a semanas)

El atacante identifica al objetivo y recopila información:

  • Estructura organizativa (LinkedIn, página web corporativa, registros mercantiles).
  • Voz del ejecutivo a suplantar (YouTube, podcasts, webinars, earnings calls).
  • Procesos internos de aprobación de pagos (informes anuales, ofertas de empleo que describen el rol de finanzas).
  • Números de teléfono directos (data brokers, LinkedIn, llamadas previas a recepción).
  • Calendario del ejecutivo (para elegir un momento en que esté supuestamente "en reunión" o "de viaje").

Fase 2: Preparación técnica (horas)

  • Entrenamiento del modelo de clonación con el audio recopilado.
  • Configuración del pipeline de voice conversion en tiempo real.
  • Setup de caller ID spoofing (servicios VoIP que permiten configurar el número mostrado).
  • Preparación del pretexto y script de la llamada.
  • Ensayos con el audio sintético para verificar calidad.

Fase 3: Ejecución (minutos)

  • Llamada a la víctima con caller ID del ejecutivo suplantado.
  • Establecimiento de urgencia y autoridad: "Estoy en el aeropuerto, tengo 5 minutos antes de embarcar."
  • Solicitud de acción: transferencia, credenciales, instalación de software, aprobación de acceso.
  • Manejo de objeciones: "Ya lo he hablado con [nombre de otro directivo], está aprobado."
  • Cierre con instrucción de confidencialidad: "No comentes esto con nadie hasta que yo confirme."

Fase 4: Explotación post-llamada

  • Si el objetivo era una transferencia: los fondos se mueven a través de múltiples cuentas (mule accounts) en minutos.
  • Si el objetivo era acceso: el atacante utiliza las credenciales obtenidas para movimiento lateral, exfiltración de datos o despliegue de ransomware.
  • Si el objetivo era instalación de RAT: el atacante tiene acceso remoto persistente al endpoint de la víctima.

Detección de audio sintético

Detectar deepfakes de voz es un campo activo de investigación. Las técnicas actuales se dividen en tres categorías:

Artefactos acústicos

El audio generado por IA presenta diferencias medibles respecto al audio humano, aunque a menudo son imperceptibles para el oído:

  • Microsilencios anómalos. Los modelos TTS insertan pausas de duración irregular entre segmentos generados. En voz humana, las pausas correlacionan con la respiración y la estructura sintáctica.
  • Ausencia de respiración natural. Los hablantes humanos respiran cada 4-6 segundos. Muchos modelos TTS no generan respiración o la insertan de forma periódica artificial.
  • Prosodia plana en oraciones largas. La entonación humana tiene variaciones impredecibles. Los modelos tienden a patrones de entonación más regulares en oraciones complejas.
  • Artefactos de concatenación. En modelos que generan audio por fragmentos, los puntos de unión pueden presentar discontinuidades espectrales.

Análisis espectral

Herramientas de análisis forense de audio pueden detectar diferencias en el espectrograma:

  • Distribución de formantes. La voz humana tiene transiciones de formantes (F1-F4) que varían con la articulación. Los modelos pueden presentar transiciones más suaves o predecibles.
  • Jitter y shimmer. Variaciones micro-temporales en la frecuencia fundamental (jitter) y amplitud (shimmer) que son características de cuerdas vocales físicas. El audio sintético tiende a tener valores más bajos y regulares.
  • Respuesta en alta frecuencia. Los modelos entrenados con audio de baja resolución pueden presentar caídas abruptas en el espectro por encima de 8-10 kHz.

Herramientas y proyectos

  • Resemblyzer. Librería Python para análisis de speaker embeddings. Permite comparar el embedding de una grabación sospechosa con muestras conocidas del hablante.
  • ASVspoof. Challenge y dataset de referencia para detección de audio sintético. Las ediciones 2019, 2021 y 2024 han impulsado avances en detección.
  • Pindrop. Solución comercial de análisis de llamadas que incluye detección de deepfakes de voz para call centers.
  • Microsoft VALL-E detector. Proyecto de investigación para detectar audio generado por modelos de clonación zero-shot.

Limitación clave: la mayoría de estas técnicas requieren acceso a la grabación de la llamada para análisis post-hoc. La detección en tiempo real durante la llamada sigue siendo un problema abierto.

Defensa organizacional

La defensa contra vishing con deepfake requiere controles en tres capas: humanos, procedimentales y técnicos.

Controles humanos

  • Training específico de vishing. No basta con formación genérica de phishing por email. Los empleados de finanzas, helpdesk y asistentes ejecutivos necesitan simulacros de llamadas telefónicas.
  • Cultura de verificación. Eliminar la cultura de "el jefe dice, yo hago" para operaciones sensibles. Cualquier empleado debe poder (y debe) verificar una instrucción telefónica sin represalias.
  • Escenarios de red flag. Entrenar en señales de alarma: urgencia extrema, instrucciones de confidencialidad ("no se lo digas a nadie"), cambios de cuenta bancaria por teléfono, solicitudes fuera de proceso.

Controles procedimentales

  • Callback verification. Para cualquier operación sensible solicitada por teléfono, colgar y devolver la llamada al número registrado internamente (no al número que aparece en el caller ID, que puede estar spoofed).
  • Code words / safe words. Establecer una palabra clave compartida entre directivos y personal de finanzas que debe mencionarse en cualquier solicitud de transferencia urgente. La palabra se rota periódicamente.
  • Dual authorization. Ninguna transferencia superior a un umbral (por ejemplo, 10.000 EUR) puede ejecutarse con una sola autorización verbal. Requiere confirmación por un segundo canal (email firmado, aprobación en ERP, mensaje en canal interno verificado).
  • Proceso de cambio de cuenta. Los cambios de datos bancarios de proveedores requieren verificación directa con el proveedor por un canal independiente, nunca por el mismo canal que recibió la solicitud.

Controles técnicos

  • Anti-spoofing telefónico. Implementar STIR/SHAKEN (estándar de autenticación de caller ID) cuando lo soporte el operador telefónico. En Europa, la adopción es aún limitada pero creciente.
  • Grabación y análisis. Grabar llamadas en líneas de finanzas y helpdesk (con consentimiento legal) para análisis forense post-incidente.
  • Detección de deepfake en call center. Soluciones como Pindrop o Nuance para análisis en tiempo real del audio entrante (actualmente más viable para bancos y grandes corporaciones).
  • MFA resistente a vishing. Para resets de credenciales en helpdesk, implementar verificación que no pueda proporcionarse por teléfono: aprobación en app móvil del empleado, verificación presencial, o token hardware.

El factor humano sigue siendo decisivo

La tecnología de deepfake de voz seguirá mejorando. Los modelos serán más rápidos, más baratos y más convincentes. La latencia bajará de 200 ms a imperceptible. La calidad hará imposible la detección por oído humano, incluso fuera del canal telefónico.

Pero la defensa más efectiva no es tecnológica: es procedimental. Un proceso que requiere callback verification, dual authorization y code words neutraliza el ataque independientemente de lo perfecto que sea el deepfake. El atacante puede clonar la voz, pero no puede interceptar la llamada de verificación al número real, no conoce la safe word, y no puede aprobar en el ERP corporativo.

La combinación de awareness ("las voces ya no son prueba de identidad") y controles procedimentales robustos es lo que separa a las organizaciones que caerán víctimas del vishing con IA de las que no.

Recursos y referencias

  • MITRE ATT&CK: T1566 (Phishing), T1598 (Phishing for Information), T1656 (Impersonation). Scattered Spider: G1015.
  • NIST SP 800-61r3: Computer Security Incident Handling Guide (sección de social engineering).
  • FBI IC3 Public Service Announcement (2024): "Criminals Use Generative AI to Facilitate Financial Fraud."
  • Wall Street Journal (2019): "Fraudsters Used AI to Mimic CEO's Voice in Unusual Cybercrime Case."
  • ASVspoof Challenge: asvspoof.org (benchmark de detección de audio sintético).
  • NoMoreRansom Project / Europol: Recursos sobre fraude CEO y vishing empresarial.
  • Scattered Spider advisory: CISA/FBI Joint Advisory AA23-320A (noviembre 2023).
  • Arup case: South China Morning Post, mayo 2024. "Hong Kong company loses HK$200 million in deepfake video conference scam."

Preguntas frecuentes

Artículos relacionados

Phishing y Social EngineeringPrincipiante

¿Qué es Phishing? Taxonomía Completa: Email, Spear, Whaling, Vishing, Smishing y Quishing

Phishing y Social EngineeringIntermedio

BEC: Fraude CEO, Cadena de Pagos y Respuesta SOC

APTs y Threat ActorsIntermedio

Scattered Spider: Social Engineering, SIM Swapping y Ransomware-as-a-Service

APTs y Threat ActorsAvanzado

El Futuro de las APTs: Tendencias, IA Ofensiva y Convergencia Criminal-Estatal

Este contenido tiene fines exclusivamente educativos y de investigación en ciberseguridad defensiva. No se proporcionan binarios maliciosos ni payloads ejecutables. El uso indebido de esta información es responsabilidad exclusiva del usuario. Leer disclaimer completo.