Europol ha anunciado el arresto de 54 personas en relación con una estafa de phishing de voz (vishing), combinada con tácticas de ingeniería social y amenazas físicas dirigidas a ciudadanos españoles de edad avanzada.
Los delincuentes se hicieron pasar por empleados bancarios, primero llamaron a sus objetivos y les extorsionaron para obtener información personal. Luego, sus socios criminales atacaron físicamente a las víctimas en sus hogares, donde exigieron pagos, tarjetas de crédito, artículos personales y joyas.
“Como parte de la etapa final de este proceso penal, los perpetradores utilizaron las tarjetas robadas para realizar retiros en cajeros automáticos o compras costosas, mientras que los datos bancarios fueron utilizados indebidamente para robos de cuentas”, indicó el fiscal en un comunicado. Se toma nota del informe de Europol.
La agencia dijo que la actividad criminal resultó en pérdidas de 2,7 millones de dólares.
«Lo notable de este ataque vishing es el enfoque único utilizado», dice Abu Qureshi, jefe de inteligencia de amenazas de BforeAI. “Los atacantes van físicamente a la dirección de la víctima y la engañan para que transmita datos físicos. »
Explicó que, tradicionalmente, las estafas se limitaban a activos digitales, como el robo de contraseñas o información de tarjetas de crédito en línea.
«Este elemento físico añade un nivel adicional de complejidad y peligro, lo que demuestra hasta dónde están dispuestos a llegar los ciberdelincuentes para explotar a sus víctimas», explica. “La combinación de tácticas digitales y físicas hace que esta operación sea particularmente preocupante. »
Las tácticas de ingeniería social cara a cara mejoran la efectividad de los ataques de vishing al agregar una capa de interacción personal que genera confianza y reduce el escepticismo hacia el objetivo en la interacción.
«Cuando los atacantes utilizan técnicas de ingeniería social, como hacerse pasar por representantes legítimos o crear una sensación de urgencia, pueden manipular a sus objetivos de forma aún más eficaz», afirma Qureshi.
Impresionante por su escala y sofisticación.
Stephen Kowski, director técnico de campo (CTO) de SlashNext Email Security, destaca la escala y la sofisticación de la operación de vishing y su posterior derribo, con docenas de arrestos en múltiples países y millones de dólares en pérdidas.
«El uso de centros de llamadas y la suplantación del personal bancario muestran cómo las tácticas de vishing han evolucionado para volverse más convincentes y específicas», explica. “La inteligencia artificial de voz avanzada y una serie de tecnologías de suplantación de identidad han hecho que estos ataques sean cada vez más difíciles de detectar para las víctimas. »
Explicó que era «de la vieja escuela». Los métodos vishing están regresando porque explotan la psicología humana y la confianza de una manera que Las defensas técnicas luchan por impedir.
«A medida que la seguridad del correo electrónico ha mejorado, los atacantes han recurrido a canales de voz donde las víctimas pueden bajar la guardia», afirma Kowski.
Añadió que el cambio al trabajo remoto también ha creado nuevas oportunidades para estafas de phishing de voz dirigidas a los empleados.
Las pérdidas financieras, las filtraciones de datos y la información comprometida de los clientes son algunas de las mayores preocupaciones y posibles consecuencias. Los incidentes también pueden dañar la reputación de una empresa y erosionar la confianza del cliente.
«Además, las empresas pueden enfrentarse a multas regulatorias y repercusiones legales si son víctimas de un ataque de ingeniería social de esta naturaleza», afirma Qureshi.
Las propias agencias de seguridad también han sido blanco de ataques en los últimos meses, incluso a través de una estafa de phishing de voz en la que Los ciberatacantes se hicieron pasar por funcionarios de la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA).
Kowski recomienda que las organizaciones implementen periódicamente capacitaciones sobre concientización sobre seguridad que incluyan simulaciones realistas de phishing por voz.
«La implementación de tecnologías avanzadas de detección de amenazas de voz y filtrado automatizado de llamadas también puede ayudar a proteger a los usuarios vulnerables de llamadas maliciosas», explica. “Es fundamental crear una cultura en la que los empleados se sientan cómodos informando llamadas sospechosas sin temor a repercusiones. »
