¿Qué deben hacer los empleados cuando reciben una llamada de voz sospechosa?

La guía universal es: colgar y devolver la llamada a un número que ya conoces, no al proporcionado por el llamante. Para escaladas internas o transferencias bancarias, requiere un canal de verificación secundario (mensaje directo de Slack al identificador conocido del solicitante, confirmación por correo electrónico o devolución de llamada del responsable). Nunca actúes solo por la presión de urgencia. Un CFO real no te despedirá por tomarte 60 segundos para verificar.

Entrenamiento en Concienciación sobre Estafas con Clonación de Voz

El entrenamiento en concienciación sobre estafas con IA de voz se está convirtiendo rápidamente en un componente obligatorio de los programas de seguridad empresarial. La razón es directa: los clones de voz generados por IA pueden replicar la voz de un ejecutivo de forma suficientemente convincente como para autorizar una transferencia bancaria, restablecer credenciales o eludir la autenticación de dos factores — y los atacantes lo están haciendo hoy. Esta guía cubre cómo los equipos de seguridad TI construyen programas efectivos de simulación de vishing, cómo ejecutar de forma segura escenarios de simulacro de deepfake del CEO, qué implica la divulgación ética y qué plataformas corporativas respaldan este trabajo.

Resumen

La clonación de voz con IA reduce la barrera técnica para los ataques de vishing a casi cero: cualquier audio público es material fuente suficiente.
Los simulacros de vishing son la herramienta individual más efectiva para desarrollar la resistencia de los empleados frente a la ingeniería social basada en voz.
Los escenarios de suplantación del CEO —voz sintética llamando a finanzas o RRHH para solicitar acción urgente— son el tipo de simulacro de mayor valor.
KnowBe4, Proofpoint y Cofense ofrecen módulos de simulación de ingeniería social basada en voz.
La divulgación ética y la autorización legal deben preceder a cualquier campaña de simulación.
El éxito se mide por la reducción de la tasa de susceptibilidad y la mejora del tiempo hasta el reporte a lo largo de los ciclos de simulación.

Por Qué el Entrenamiento en Phishing de Voz No Puede Esperar

La formación tradicional en concienciación de seguridad se centra en el correo electrónico. Los empleados aprenden a identificar enlaces sospechosos, verificar las direcciones de remitentes y reportar adjuntos. Esa formación sigue siendo necesaria, pero deja un vacío significativo: el teléfono.

El vishing —phishing de voz— tiene una superficie de ataque fundamentalmente diferente. No hay un enlace que inspeccionar, ningún dominio de remitente que verificar, ningún adjunto que escanear. El vector de ataque es la confianza humana, la urgencia y el atajo cognitivo de reconocer una voz. Cuando esa voz es la de tu CEO, la resistencia cae drásticamente.

Varios factores han convergido para hacer de la ingeniería social basada en voz una amenaza prioritaria en 2026:

Las fuentes de audio son ubicuas. Las voces de los ejecutivos aparecen en llamadas de resultados, conferencias magistrales, entrevistas en podcasts y vídeos de YouTube. Los atacantes disponen de abundante material de entrenamiento gratuito.
La calidad del clon es alta. Los sistemas modernos de IA para voz producen resultados que superan la verificación humana casual. La pregunta “¿suena como ella?” falla con más frecuencia de lo que debería.
Los ataques ya están documentados. Casos de alto perfil de fraude del CEO con audio de voz clonada han sido reportados por instituciones financieras y expedientes judiciales en múltiples continentes. Esta no es una amenaza teórica futura.
Las llamadas telefónicas evitan los filtros de correo electrónico. Todos los controles técnicos desplegados en la infraestructura de correo son irrelevantes cuando el atacante llama.

Cómo Funciona la Simulación de Vishing

Una simulación de vishing es un ejercicio controlado en el que el equipo de seguridad —o un proveedor de concienciación contratado— realiza llamadas telefónicas a empleados usando scripts y, opcionalmente, una voz sintetizada. El objetivo es comprobar si los empleados siguen procedimientos inseguros cuando se someten a presión social realista.

El ciclo de vida de la simulación tiene cinco fases:

1. Autorización y Alcance

Antes de realizar cualquier llamada, la autorización escrita debe provenir del liderazgo ejecutivo —típicamente el CISO, CIO o CEO. El documento de alcance define: qué grupos de empleados están en el ámbito, qué escenarios se ejecutarán, si las llamadas usarán voz sintética o un llamante humano, la revisión legal (especialmente para llamadas grabadas) y el calendario.

2. Diseño del Escenario

Los escenarios de vishing más efectivos replican los manuales reales de los atacantes:

Solicitud de transferencia bancaria del CFO: Un llamante que se hace pasar por el CFO contacta al equipo de cuentas por pagar, hace referencia a un acuerdo pendiente real y solicita una transferencia urgente a una “nueva cuenta de proveedor”.

Bypass de MFA del servicio de TI: Un llamante que se hace pasar por soporte de TI contacta a un empleado y afirma que su cuenta muestra una alerta de seguridad, solicitando el código MFA del empleado.

Emergencia de datos bancarios de RRHH: Un llamante que se hace pasar por RRHH contacta a un empleado y solicita datos bancarios para un “depósito directo corregido”.

3. Entrega — con o sin Voz IA

Una simulación puede ejecutarse con un llamante humano leyendo un script o con audio sintetizado por IA reproducido durante la llamada. Ambas modalidades tienen valor formativo. El componente de voz IA añade una capa específica: demuestra a los empleados, a posteriori, que la voz en la que confiaron no era humana.

Para los equipos de seguridad internos que usan VoxBooster como herramienta de simulación, el flujo de trabajo es: recopilar audio público limpio del ejecutivo objetivo, entrenar un modelo de voz en VoxBooster, y usar la conversión de voz en tiempo real a través del micrófono virtual de VoxBooster durante la llamada simulada.

Para comprender el lado de la detección de la voz IA, consulta nuestra guía sobre detección de deepfakes de voz por clonación.

4. Retroalimentación Inmediata

En el momento en que un empleado completa la interacción simulada —haya cumplido o rechazado correctamente la solicitud— debe recibir retroalimentación inmediata y no punitiva: qué acaba de pasar, por qué funcionó y el procedimiento de verificación que debería haber seguido.

5. Medición y Re-simulación

Los datos de susceptibilidad de cada campaña alimentan el siguiente ciclo de planificación. Las métricas clave son: tasa de cumplimiento en el primer intento, tiempo desde la llamada sospechosa hasta el reporte a TI, y tasa de re-simulación después de la formación.

Escenarios de Simulacro de Deepfake del CEO: Un Manual Práctico

El fraude del CEO mediante deepfake de voz es el escenario de mayor riesgo en la ingeniería social corporativa. Aquí hay una estructura práctica para ejecutar un simulacro realista:

Configuración Previa a la Llamada

Obtener autorización ejecutiva escrita que nombre explícitamente la voz del CEO como objetivo de simulación.
Identificar de 3 a 5 minutos de audio públicamente disponible de llamadas de resultados, presentaciones para inversores o grabaciones de conferencias.
Preparar el modelo de voz usando tu herramienta de simulación.
Redactar un script que haga referencia a un contexto empresarial realista: una adquisición pendiente, una fecha límite regulatoria, una reunión con inversores.

Los Tres Elementos de un Script Eficaz

Ancla de credibilidad: Hacer referencia a algo real y verificable que solo alguien con acceso conocería.
Marco de urgencia: Crear un plazo que elimine el tiempo para verificar.
Solicitud directa: Una petición específica y accionable, no una consulta vaga.

Sesión de Análisis Post-Simulación

Después de la llamada, el equipo de formación revela la simulación y repasa tres puntos: las técnicas de manipulación específicas utilizadas, el procedimiento de verificación que debería haberse seguido y cómo reconocer los artefactos de voz generada por IA.

Para entornos de práctica donde los empleados aprenden a reconocer voces sintéticas antes de las simulaciones de alto riesgo, consulta nuestras guías sobre simulación de voz para despachadores de emergencias y entrenamiento de negociadores con clonación de voz.

Plataformas Corporativas de Concienciación en Seguridad

KnowBe4

KnowBe4 es la plataforma de formación en concienciación de seguridad con mayor cuota de mercado. Su módulo de simulación de vishing permite a los equipos de seguridad programar campañas telefónicas automatizadas, asignar scripts, rastrear las respuestas de los empleados y entregar contenido de remediación inmediato. La plataforma se integra con Active Directory y proporciona informes de susceptibilidad por departamento.

Proofpoint

La plataforma de Formación en Concienciación de Seguridad de Proofpoint incluye simulación de amenazas telefónicas junto con sus módulos de correo electrónico, SMS y USB. Ofrece un modelo de puntuación de riesgo unificado —el Índice de Vulnerabilidad de Proofpoint— que combina la susceptibilidad por correo electrónico y voz en un único perfil de riesgo del empleado.

Cofense

Cofense se centra principalmente en la simulación de phishing por correo electrónico y se asocia con proveedores de simulación de telefonía para escenarios específicos de voz. Destaca en su ecosistema de defensa contra phishing, particularmente en su botón de reporte de phishing y la integración de inteligencia de amenazas en el buzón.

Comparativa de las Plataformas

Característica	KnowBe4	Proofpoint	Cofense
Simulación nativa de vishing	Sí	Sí	Integración de socios
Entrega de llamadas automatizada	Sí	Sí	Limitada
Capacidad de voz IA	Depende de la plataforma	Depende de la plataforma	No nativa
LMS integrado	Sí	Sí	Sí
Mejor uso	Amplitud empresarial	Puntuación de riesgo integrada	Programas centrados en email

Divulgación Ética y Límites del Programa

Ejecutar formación de simulación de voz de forma responsable requiere límites explícitos:

La autorización debe documentarse antes de la ejecución.
Los empleados son informados después de la simulación, no antes.
Ningún daño real puede producirse: la simulación debe diseñarse para que incluso un empleado totalmente conforme no transfiera dinero ni filtre credenciales reales.
Las grabaciones requieren consentimiento específico según la jurisdicción.
Los datos recopilados son solo datos de formación, tratados como datos confidenciales de RRHH.
Los terceros externos están fuera del alcance.

Construir Hábitos de Verificación de Voz

La simulación sola es insuficiente sin formación paralela de hábitos:

La regla de colgar y devolver la llamada: Cualquier solicitud que involucre dinero, credenciales o acceso sensible debe desencadenar una devolución de llamada a un número ya conocido, no al proporcionado por el llamante.

Verificación por canal secundario: Para solicitudes internas, un mensaje directo de Slack en 60 segundos al identificador conocido del solicitante verifica la autenticidad antes de actuar.

La urgencia como señal de alerta: La presión extrema de tiempo de un llamante de voz es en sí misma una señal de manipulación, no una razón para eludir el procedimiento.

Conciencia de la calidad del audio: Los clones de voz de IA tienen artefactos sutiles: audio inusualmente limpio sin ruido de fondo, ausencia de ritmos de respiración naturales, prosodia ligeramente mecánica.

Para los equipos que crean capacidades de IA de voz para propósitos de producción legítimos, consulta clonación de voz para locución y cambiador de voz para creadores de contenido.

Medir la Efectividad del Programa

Métrica	Qué Mide	Trayectoria Objetivo
Tasa de susceptibilidad en primer intento	% que cumple en la primera llamada simulada	Descendente, ciclo a ciclo
Tiempo hasta el reporte	Con qué rapidez los empleados escalan a TI	Más rápido, acercándose al tiempo real
Tasa de re-simulación post-formación	Susceptibilidad tras completar la formación	Reducción del 40-60% respecto a pre-formación
Precisión del canal de reporte	¿Usaron los empleados el camino de escalada correcto?	Alta conformidad con el procedimiento definido

La línea base del sector: las organizaciones sin simulación de vishing previa suelen ver una susceptibilidad en el primer intento del 25 al 45 por ciento en la primera campaña. Las que han realizado dos o más ciclos de simulación ven típicamente del 8 al 18 por ciento.

Preguntas Frecuentes

¿Qué es el vishing y cómo lo agrava la clonación de voz con IA?

El vishing (phishing de voz) es un ataque de ingeniería social en el que un llamante se hace pasar por una persona de confianza para extraer credenciales, autorizaciones de transferencia bancaria o datos sensibles. La clonación de voz con IA reduce drásticamente la barrera técnica: un atacante necesita tan solo 30 segundos de audio público para generar una réplica de voz convincente. Cualquier ejecutivo con apariciones en podcasts o llamadas de resultados es un objetivo accesible.

¿Qué es un simulacro de fraude por voz deepfake del CEO?

Un simulacro de fraude del CEO es un ejercicio interno controlado en el que el equipo de seguridad utiliza una voz sintética —generalmente simulando al CEO o CFO— para llamar a un empleado y solicitar una transferencia bancaria urgente o un restablecimiento de credenciales. El objetivo no es engañar permanentemente a los empleados, sino medir la susceptibilidad inicial y luego ofrecer formación inmediata.

¿Qué plataformas corporativas de concienciación en seguridad ofrecen simulación de voz?

KnowBe4 ofrece simulación de vishing como parte de su plataforma de concienciación, incluyendo pruebas de ingeniería social telefónica. El módulo de Simulación de Amenazas de Proofpoint cubre escenarios de ataques basados en voz. Cofense se centra principalmente en la simulación de phishing por correo electrónico, pero se integra con ejercicios complementarios de voz.

¿Es legal realizar una simulación de vishing en tus propios empleados?

En la mayoría de las jurisdicciones, sí, con la autorización adecuada. La simulación debe estar autorizada por la dirección ejecutiva y documentada antes de su ejecución. Consulta asesoría legal antes de realizar simulaciones que impliquen recopilación o grabación de datos personales. Nunca simules ataques contra terceros externos a tu organización.

¿Cuántos minutos de audio necesita un clon de voz con IA?

Los sistemas de alta calidad pueden producir resultados reconocibles a partir de tan solo 30 a 60 segundos de audio limpio. La calidad mejora significativamente con 3 a 5 minutos de habla variada. Para simulaciones dirigidas a ejecutivos con apariciones en llamadas de resultados o podcasts públicos, el audio suficiente casi siempre ya está disponible públicamente.

¿Qué deben hacer los empleados cuando reciben una llamada sospechosa?

La guía universal es: colgar y devolver la llamada a un número que ya conoces. Para escaladas internas o transferencias bancarias, requiere un canal de verificación secundario. Nunca actúes solo por la presión de urgencia. Un CFO real no te despedirá por tomarte 60 segundos para verificar.

¿Cómo miden el éxito los programas de formación sobre estafas con clonación de voz?

Las métricas principales son la tasa de susceptibilidad en el primer intento, el tiempo hasta el reporte y la tasa de susceptibilidad repetida tras la formación. Un programa bien ejecutado espera una reducción del 40 al 60 por ciento en la susceptibilidad inicial dentro de dos ciclos completos de simulación.

Conclusión

El entrenamiento en concienciación sobre estafas basado en IA de voz no es un programa de seguridad de nicho: es una respuesta a una amenaza activa que elude todos los controles técnicos de correo electrónico que tu organización ha desplegado. La clonación de voz con IA es accesible, el audio fuente es público y el manual de ingeniería social está documentado en informes de ataques. La única defensa duradera es una plantilla que haya vivido una simulación realista, comprenda las técnicas de manipulación y tenga un hábito de verificación practicado.

Las plataformas corporativas —KnowBe4, Proofpoint, Cofense— proporcionan infraestructura de escala empresarial para organizaciones con programas de concienciación continuos. Para los equipos de seguridad que quieren prototipar simulaciones de vishing antes de comprometerse con las licencias de plataforma, o para demostraciones dirigidas a nivel ejecutivo, la clonación de voz en tiempo real de VoxBooster proporciona la misma capacidad de simulación en Windows.

Descarga VoxBooster — prueba gratuita de 3 días. Construye tu primer escenario de simulación de vishing en menos de una hora.