Suena el teléfono y la voz dice que es del soporte técnico. Habla con calma, usa tu nombre y parece saber cómo funciona tu empresa. ¿Le darías tus claves porque “suena” convincente?
El informe anual de Mandiant, la consultora de ciberseguridad de Google Cloud, se apoya en más de 500.000 horas de investigación de incidentes y muestra un giro claro en 2025. El phishing de voz, el engaño por llamada para que entregues usuario y contraseña, subió al 11% de las intrusiones investigadas, mientras el phishing por correo bajó al 6%. Jurgen Kutscher, vicepresidente de Mandiant Consulting en Google Cloud, lo resume con una idea sencilla, los atacantes apuestan por la persuasión en directo más que por el mensaje masivo.
La llamada que se cuela donde el filtro no llega
El phishing clásico por email juega a volumen. Envía miles de mensajes y espera que alguien pinche, aunque el texto sea malo y el enlace huela raro.
El phishing de voz funciona como una conversación y es un caso típico de ingeniería social, el arte de convencerte para que hagas algo que no deberías. Hay una persona al mando, corrige el guion según lo que respondes y se apoya en la prisa del momento. El Google Threat Intelligence Group (GTIG) lo resume así, “la proporción de incidentes derivados de la ingeniería social a través del phishing de voz y las aplicaciones de mensajería aumentó notablemente en 2025”.
Un guion que empieza en soporte técnico
Mandiant describe un caso en el que una llamada buscaba que empleados entregaran sus credenciales y aprobaran el acceso a una versión de una app legítima controlada por los atacantes. El truco no era complejo en lo técnico, pero sí en lo social, porque todo ocurría en tiempo real y con apariencia de urgencia.
Después llegó la segunda parte. Con las cuentas dentro, los atacantes pudieron acceder a datos internos y la conversación se convirtió en extorsión, con notas que exigían un pago a cambio de no publicar la información robada.
Mandiant y el Google Threat Intelligence Group (GTIG) llevan tiempo siguiendo campañas centradas en los departamentos de soporte, justo donde se resetean contraseñas y se “desbloquean” cuentas. En una investigación sobre vishing y robo de datos en entornos SaaS, aplicaciones en la nube como el correo corporativo, los analistas muestran cómo algunas bandas usan llamadas creíbles para saltarse la verificación en dos pasos y abrir la puerta a cuentas críticas.
Las credenciales robadas siguen abriendo puertas
Aunque el vishing crece, no todo depende de una llamada. En el 9% de las investigaciones de 2025, la puerta de entrada fueron credenciales robadas, una cifra menor que el 16% del año anterior, según el recuento de Mandiant.
¿De dónde salen esas claves? A veces se extraen con programas que roban información del ordenador o del móvil, otras aparecen en bases de datos filtradas, y también pueden salir de repositorios de código que quedaron expuestos sin querer. Luego circulan por foros de la web oscura y se revenden como si fueran llaves de segunda mano.
En el informe M-Trends 2025, centrado en incidentes de 2024, Mandiant ya explicaba cómo las credenciales robadas adelantaron al phishing por correo como vía de entrada, y citaba el papel de los “infostealers”, programas que copian contraseñas y datos de sesión. En la práctica, eso significa que el atacante no siempre “rompe” una puerta, a veces entra con una clave que alguien ya perdió.
Cuando la brecha la detecta otro
Hay un dato que pone los pies en la tierra. En 2025, el 52% de las organizaciones detectó indicios de actividad maliciosa por sus propios medios. El resto, muchas veces, se enteró porque alguien externo avisó.
Las fuerzas del orden, los equipos CERT y las empresas de ciberseguridad notificaron una posible violación en el 34% de los casos. Los CERT son equipos de respuesta a emergencias digitales. Y en otro 14% fueron los propios atacantes quienes anunciaron la intrusión, normalmente con una nota de rescate.
En paralelo, Mandiant encontró indicios de robo de datos en alrededor del 40% de las investigaciones de 2025. Por eso el patrón de extorsión encaja con el resto del informe, primero acceso, luego presión, y finalmente el chantaje como palanca.
La IA también entra en el ciclo del ataque
Los grupos de amenazas también están usando IA como herramienta de trabajo. En el último trimestre de 2025, el GTIG observó que varios actores integraban IA para ganar productividad en tareas como el reconocimiento, la ingeniería social y el desarrollo de malware, programas maliciosos.
En la práctica, esa “productividad” puede significar llamadas mejor preparadas, mensajes más personalizados y guiones que suenan naturales en distintos idiomas. También ayuda a ajustar el tono para parecer un proveedor, un compañero o un técnico con prisa, justo el tipo de detalle que hace bajar la guardia.
Aun así, los propios analistas de Mandiant introducen un matiz importante. Por lo general, las intrusiones exitosas siguen naciendo de fallos humanos y de proceso, como permisos demasiado amplios o revisiones pobres, más que de un salto mágico de la IA. La tecnología cambia, pero el eslabón débil casi siempre es el mismo.
El informe principal se ha publicado en M-Trends 2026 de Mandiant.
