Cómo formar a los empleados frente al vishing sin llamarles

¿No sería más fácil detectar el vishing si la persona que llama pidiera directamente los «códigos de la caja fuerte»? En realidad, las llamadas fraudulentas suelen ser más corrientes: confirme este inicio de sesión, ayúdeme a restablecer el acceso, que esto quede entre nosotros por un momento. La mayoría de la gente intenta ayudar porque el trabajo depende de la cooperación, y los atacantes saben cómo aprovecharse de ello.

El informe El estado de la ingeniería social 2025 reveló que el 38 % de los responsables encuestados detectó vishing en su organización el último año, mientras que los intentos de clonación de voz casi se duplicaron, pasando del 16 % en 2024 al 30 % en 2025.

Además, un informe del Servicio de Estudios del Parlamento Europeo concluyó que el 70 % de los adultos no está seguro de poder distinguir una voz clonada de una real.

La suplantación de voz es también cada vez más fácil de escalar. Los atacantes ya no necesitan una imitación perfecta ni realizar configuraciones manuales complejas para cada objetivo. Eso cambia el riesgo para los equipos de seguridad, ya que el vishing está pasando de ser llamadas esporádicas y muy selectivas a algo más recurrente.

Saber qué es el vishing no siempre prepara a una persona para la llamada en sí. La política de la empresa puede indicar a los empleados que nunca compartan credenciales por teléfono. Aun así, necesitan reconocer cuándo una solicitud aparentemente normal está pidiendo demasiado.

El correo electrónico ofrece a las personas y a las herramientas de seguridad más elementos que analizar: datos del remitente, enlaces, archivos adjuntos, redacción o tiempo para releer. Una llamada telefónica elimina la mayoría de estas señale, ya que el empleado escucha y responde en tiempo real.

Las simulaciones tradicionales de vishing también pueden ser difíciles de implementar. Muchas organizaciones no disponen de los números de teléfono de todos los empleados. El uso de dispositivos privados plantea cuestiones de privacidad y aprobación. Además, las pruebas basadas en devolución de llamada pueden perder valor formativo si la persona cuelga o no asocia la experiencia con la formación.

Entonces, ¿cómo formar a los empleados para este tipo de llamadas sin llamarles por teléfono? A continuación, le explicamos cómo crear un simulacro de vishing sin convertirla en un proyecto que requiera números de teléfono.

Paso 1: Formar a los equipos donde la voz ya es un canal de confianza

La formación en vishing funciona mejor cuando se empieza por los equipos que ya utilizan las llamadas para sacar adelante el trabajo.

Los equipos de soporte técnico en línea gestionan restablecimientos de contraseñas, incidencias de autenticación multifactor, acceso a VPN y consultas sobre cuentas. Los equipos de finanzas se ocupan de la comprobación de pagos. Los equipos de RR. HH. trabajan con datos personales. Los equipos de campo, los responsables del sector minorista, el personal de logística y los equipos de hostelería a menudo dependen del teléfono porque no siempre trabajan desde un escritorio.

Para estos equipos, la llamada telefónica ya forma parte de su flujo de trabajo.

Una llamada de ese tipo funciona porque el empleado siente que está ayudando con una tarea habitual. La formación en vishing debe ayudarles a detectar cuándo esa tarea empieza a requerir un nivel de confianza, acceso o información que el interlocutor no debería necesitar.

La lección interactiva sobre vishing de SoSafe incorpora esto en el flujo de la lección. Los usuarios primero entienden cómo funciona el vishing y luego participan en una llamada de voz simulada en el navegador. Ensayan la situación de forma segura, sin recibir ninguna llamada en el teléfono de la empresa.

Paso 2: Ofrecer a los empleados una vía de escape en la llamada

La formación en vishing debe ofrecer a los empleados algo más que señales de advertencia. Debe ayudarles a practicar cómo actuar cuando un interlocutor solicita información sensible.

Los empleados necesitan una alternativa clara de actuación. Si un interlocutor pide credenciales, acceso, códigos, datos personales o un cambio de proceso, deben saber cómo detenerse y verificar. Eso podría significar comprobar la solicitud a través de un canal de confianza, seguir el procedimiento interno establecido o finalizar la llamada.

La función de llamada de SoSafe integrada en el navegador permite a los usuarios practicar esto mientras aún tienen fresca la lección. La persona que llama puede sonar como si fuera del departamento de TI, un proveedor o alguien que pide ayuda urgente. Los usuarios practican cómo tomarse su tiempo y elegir una respuesta más segura antes de enfrentarse a la situación real.

Si un usuario toma una decisión poco segura durante la simulación, la lección puede corregirla inmediatamente y explicarle qué debería haber hecho diferente. El error se queda dentro de la formación, donde realmente puede resultar útil.

Paso 3: Evitar trabas logísticas con los números de teléfono

Las simulaciones tradicionales de vishing pueden resultar difíciles de llevar a cabo incluso antes de que empiece la formación. A menudo dependen de los números de teléfono de los empleados, la infraestructura de llamadas, la planificación, las autorizaciones y la gestión de los destinatarios. Para los equipos de seguridad que ya gestionan múltiples frentes, eso puede ser suficiente para ralentizar todo el proceso.

Una simulación en el navegador simplifica la implementación. Los usuarios no necesitan recibir ninguna llamada en un dispositivo personal o de la empresa. La interacción de voz se produce dentro de la lección, por lo que los equipos pueden entrenar este comportamiento sin tener que recopilar números de teléfono para una campaña.

Esto es especialmente útil para los empleados que trabajan con dispositivos móviles y de cara al público. Puede que dependan de las llamadas a lo largo del día, pero a menudo son los grupos más difíciles de incluir en las pruebas telefónicas. La práctica en el navegador les ofrece un ensayo realista sin añadir otra capa operativa para el equipo que la gestiona.

Paso 4: Adaptar la llamada al contexto del usuario

La formación genérica en vishing es fácil de descartar. Los usuarios escuchan el caso y piensan: «Aquí no lo haríamos así».

Los atacantes reales adaptan el pretexto a la persona a la que se dirigen. Una llamada no suena igual para alguien que gestiona pagos que para quien administra accesos a cuentas o trabaja fuera de una oficina. Una buena formación debe tener en cuenta esas diferencias.

Antes de que comience la simulación de SoSafe, los usuarios añaden algunos datos básicos para que la llamada se ajuste mejor a su contexto de trabajo. El proceso es sencillo, pero proporciona la información necesaria a la simulación para que la conversación resulte más relevante.

Cuanto más se parezca el escenario al trabajo del usuario, más difícil será restarle importancia.

Para los equipos internacionales, el realismo también implica el idioma y el acento. Una llamada de vishing pierde su efecto si suena claramente ajena al contexto del empleado. Cuanto más cercana sea la voz al entorno en el que trabaja realmente la persona, más útil será el ensayo.

Paso 5: Crear una experiencia segura para aprender

La formación sobre vishingnunca debe parecer una trampa. Si los empleados se sienten avergonzados o vigilados, el programa pierde credibilidad.

La mejor opción es que la experiencia tenga un enfoque claramente formativo. En la lección de SoSafe, los usuarios pueden omitir la simulación de vishing y continuar igualmente con el cuestionario. Además, se informa claramente del uso de la IA antes de que comience la llamada.

De este modo, la experiencia se mantiene en el lugar que le corresponde: más cerca de la práctica que del castigo.

También resuelve un problema habitual de las pruebas de vishing independientes. En una simulación interactiva con devolución de llamada, es posible que el empleado cuelgue antes de darse cuenta de lo que ha sucedido. En ese caso, se pierde la oportunidad de aprendizaje. Cuando la llamada forma parte de la lección, el usuario llega al punto de reflexión mientras la experiencia aún está reciente.

Paso 6: Convertir la llamada en una reflexión

La parte más útil de una simulación de vishing llega después de la llamada, cuando el usuario relaciona lo que acaba de ocurrir con lo que debería hacer la próxima vez.

La reflexión debe ser sencilla. ¿Qué pidió la persona que llamaba? ¿Intentó generar una sensación de urgencia? ¿Solicitó credenciales, acceso, datos personales o un proceso que debería haberse gestionado a través de otro canal? ¿Actuaría el usuario de otra manera la próxima vez?

SoSafe integra la llamada en la lección y el cuestionario para que la experiencia no se limite a una interacción puntual. De este modo, el usuario puede analizar la llamada mientras aún está reciente y relacionarla con el comportamiento más seguro.

Esta reflexión también debe dejar claro cuál es el siguiente paso a nivel interno. Si se produce una llamada sospechosa en una situación real, los empleados deben saber a quién informar, qué datos registrar y cuándo poner fin a la conversación. Así, la lección pasa de ser una simple toma de conciencia para convertirse en un hábito de aviso.

Para los responsables de seguridad, ahí reside el verdadero valor. Se trata de ayudar a los empleados a desarrollar una respuesta ante situaciones que los controles técnicos no siempre pueden cubrir.