Vishing a domicilio: el «empleado del banco» ya está en su puerta

Recientemente, Europol detuvo a 54 personas relacionadas con fraudes de phishing de voz (vishing), que iban acompañados de tácticas de ingeniería social y amenazas físicas.

Los estafadores se hacían pasar por empleados de bancos, llamaban a ciudadanos españoles de edad avanzada y obtenían su información personal. Luego, sus cómplices visitaban personalmente a las víctimas, exigiendo dinero en efectivo, tarjetas de crédito y joyas. Como resultado de las actividades de los delincuentes, se causaron daños totales por valor de 2,7 millones de dólares.

Abu Qureshi, jefe del departamento de análisis de amenazas de BforeAI, señaló que la singularidad de esta actividad fraudulenta radica en la combinación de métodos digitales y físicos. Normalmente, el fraude se limita al robo de activos digitales, como contraseñas o datos de tarjetas de crédito. En este caso, sin embargo, los delincuentes pasaron a un nuevo nivel, visitando personalmente a las víctimas y engañándolas para obtener lo que querían.

Los métodos físicos de ingeniería social aumentan la eficacia de los ataques de vishing, añadiendo un elemento de interacción personal que aumenta la confianza y reduce el escepticismo de las víctimas. Los delincuentes crean una sensación de urgencia y aprovechan la confianza en los representantes oficiales, lo que les permite manipular más eficazmente a sus objetivos.

Steven Kowski, director de tecnología de seguridad del correo electrónico en SlashNext, subrayó la escala y complejidad de la operación, que dio lugar a numerosas detenciones en diferentes países y a importantes pérdidas económicas. El uso de centros de llamadas y la suplantación de empleados bancarios demuestra cómo han evolucionado las tácticas de vishing, volviéndose cada vez más convincentes y específicas.

Kowski añadió que los viejos métodos de vishing están volviendo a ganar popularidad, ya que explotan la psicología humana y la confianza, lo que es difícil de prevenir con medios técnicos. A medida que mejora la seguridad del correo electrónico, los delincuentes recurren cada vez más a los canales de voz, donde las víctimas pueden estar menos alerta.

El paso masivo de la gente al trabajo a distancia también ha creado nuevas oportunidades para los estafadores del vishing. Las pérdidas financieras, las fugas de datos y la puesta en peligro de la información de los clientes son las principales amenazas, que también pueden dañar la reputación de la empresa y socavar la confianza de los clientes. Las empresas pueden enfrentarse a multas regulatorias y consecuencias legales por ser objeto de un ataque de ingeniería social.

Kowski recomienda a las organizaciones que realicen regularmente formaciones de concienciación sobre seguridad, incluidas simulaciones realistas de vishing. Además, la implantación de tecnologías avanzadas para detectar amenazas de voz y filtrar automáticamente las llamadas también puede ayudar a proteger a los usuarios vulnerables. También es muy importante crear una cultura en la que los empleados puedan informar sin miedo a la dirección de las llamadas sospechosas, sin temor a ser responsabilizados por posibles acciones incorrectas por su parte.