Adiós al email sospechoso: las llamadas de voz ganan terreno como la técnica favorita para atacar empresas
Suena el teléfono de la oficina. El departamento de soporte técnico se pone en contacto para hacer una actualización del software, por lo que pide al trabajador que descargue un parche de seguridad del correo que le acaba de enviar. La persona tiene un correo electrónico corporativo, conoce todos los detalles de la operativa interna y es capaz de guiar al empleado por la actualización. Una vez completada, se despide y cuelga. La empresa acaba de sufrir un ataque y ahora un grupo de ciberdelincuentes tiene pleno acceso a sus sistemas.
La era de los correos electrónicos genéricos como vector de infección está dando paso a una amenaza más sofisticada y difícil de detectar. Los ciberdelincuentes están descolgando el teléfono y llamando directamente a empleados de las compañías que quieren atacar. Un método especialmente exitoso porque utiliza “ingeniería social hiperpersonalizada”, con datos muy específicos de la organización, así como estrategias “orientadas a generar empatía” con la víctima, avisa la firma de ciberseguridad Mandiant, propiedad de Google.
Así lo advierte su informe M-Trends 2026, publicado este lunes tras analizar más de 500.000 horas de investigaciones de ciberincidentes a nivel global. Las suplantaciones de voz de empleados ya son el segundo método de ataque más común en todo el mundo, siendo el origen del 11% de las infecciones analizadas. Casi el doble que los emails, que han caído del 20% que ostentaban 2022 a solo un 6% en 2025.
En el caso de las empresas con infraestructuras en la nube, la cifra de suplantaciones de voz se dispara. En este ámbito, las llamadas engañosas son ya la amenaza número uno, responsables del 23% de las infecciones iniciales, según Mandiant. A nivel general, la principal vía de ataque siguen siendo los exploits, que se basan en explotar brechas de seguridad que los ciberdelincuentes detectan en el software de las empresas.
Los guiones perfeccionados con inteligencias artificiales como ChatGPT o Gemini son claves en la trampa, documenta el informe. No obstante, el éxito de estas llamadas radica precisamente en que, al otro lado de la línea, hay “una persona en vivo dirigiendo la conversación en tiempo real”, afirman los investigadores. Es este factor humano el que permite al atacante interactuar, adaptarse a las dudas de la víctima y convencerla de desvelar sus contraseñas o instalar programas maliciosos.
Empleado en apuros
El informe detalla cómo operan los grupos criminales más activos en este frente. A diferencia de las estafas dirigidas al resto de usuarios, los ataques contra organizaciones están diseñados para vulnerar su seguridad a partir de los datos sobre sus procesos de trabajo y roles de los empleados que se conocen públicamente.
El ejemplo recogido al comienzo de esta información fue, de hecho, el modus operandi de una banda cibercriminal nombrada con el código UNC6040. A principios de 2025, este grupo llevó a cabo una campaña telefónica a gran escala para persuadir a los empleados de que entregaran sus credenciales y autorizaran el acceso a versiones fraudulentas de aplicaciones informáticas corporativas. Una vez dentro, utilizaron herramientas automatizadas para la extracción masiva de datos, que más tarde utilizaban para extorsionar a las compañías afectadas.
Mientras que el phishing por correo electrónico a menudo se basa en el volumen y el envío oportunista, los métodos interactivos involucran a una persona en vivo dirigiendo la conversación en tiempo real
Otra célula, con código UNC3944, utilizó el método inverso. Sus miembros se hacían pasar por empleados con problemas que se ponían en contacto con el personal de soporte técnico de las empresas. Los atacantes llamaban haciéndose pasar por compañeros con dudas o problemas reales para convencer al equipo de soporte para que les abra la puerta de los sistemas de la organización; ya sea a través de restablecer sus contraseñas o aceptando un nuevo dispositivo controlado por los ciberdelincuentes como válido para realizar autentificaciones de seguridad.
“Mientras que el phishing por correo electrónico a menudo se basa en el volumen y el envío oportunista, los métodos interactivos involucran a una persona en vivo dirigiendo la conversación en tiempo real”, recoge el informe de Mandiant. “Esta distinción es crítica para los defensores: los ataques interactivos son significativamente más resistentes a los controles técnicos automatizados y requieren diferentes estrategias de detección”.
Por ello, la firma recomienda “pivotar” la formación de los empleados “más allá de la bandeja de entrada del correo electrónico”, para tener en cuenta este tipo de ataques “hiperpersonalizados” en los que los ciberdelincuentes intentan engañarles “en directo”.
El informe también destaca un cambio de tendencia en el perfil de las empresas atacadas. Durante 2025, el sector de la alta tecnología se convirtió en la industria más atacada a nivel mundial superando al sector financiero, que había liderado este fatídico ranking en los dos años anteriores. Los servicios empresariales (proveedores que a su vez son vectores de ataque contra otras compañías) y el sector sanitario completan los primeros puestos.
Otro de los hallazgos de la investigación es la nueva jugada de los ciberdelincuentes para evitar las medidas de seguridad de las empresas: conscientes de que la concienciación sobre la seguridad informática está aumentando, ahora las copias de seguridad se han convertido en uno de sus objetivos prioritarios durante los ataques. Su meta es que sus víctimas no puedan restaurar sus sistemas por sí mismas y se vean obligadas a pagar rescates.
Por último, Mandiant documenta una nueva evolución en la profesionalización de la industria del cibercrimen. La firma señala que el grado de especialización está creciendo tanto que cada vez son más los grupos que se dedican exclusivamente a conseguir acceso a las empresas y comprometer su seguridad, para luego venderle ese acceso a otra banda.
“En 2022, el tiempo medio entre el acceso inicial y el traspaso posterior era superior a 8 horas. Sin embargo, en 2025, el tiempo medio entre el acceso inicial y el momento en que un segundo grupo tenía acceso al entorno era de 22 segundos”, detalla la firma, que explica que esto indica un proceso cada vez más automatizado y bajo encargo de terceros “en lugar de anunciar el acceso en un foro clandestino”.