Phishing is an established and frequent scam in the digital world. However, vishing, which applies some of the same tactics of phishing to voice calls, is increasingly taking up space in both targeted attacks and mass fraud occurring worldwide.

These attacks represent a considerable risk for various businesses, whether due to risks to corporate networks or financial data and credit cards used in online purchases. In parallel, vishing is also used as a tool in medium and long-term frauds to manipulate investors.

Let's take a closer look at how each of these attacks has been occurring.

Targeted Attacks

The potential of vishing became very evident throughout 2025 in attacks carried out by Scattered Spider and related threat actors (such as "Scattered Lapsus$ Hunters").

In several incidents, such as those that hit retailers in the United Kingdom, reports indicate that hackers maintained voice call contact with support analysts to request credential changes on behalf of employees of the attacked companies.

This contact with support analysts can serve various purposes. In some situations, hackers may have already obtained the account password, but were blocked by multi-factor authentication (MFA), and in that case, they only need to convince the analyst to remove the MFA from the account or add some factor that is under the hacker's control.

However, depending on the company's policies, it is also possible for attackers to

El phishing es una estafa establecida y frecuente en el mundo digital. Sin embargo, el vishing, que aplica algunas de las mismas tácticas del phishing a las llamadas de voz, ocupa cada vez más espacio tanto en los ataques dirigidos como en los fraudes masivos que ocurren a nivel mundial.

Estos ataques representan un riesgo considerable para diversas empresas, ya sea por los riesgos para las redes corporativas o para los datos financieros y las tarjetas de crédito utilizadas en compras en línea. Paralelamente, el vishing también se utiliza como herramienta en fraudes a medio y largo plazo para manipular a los inversores.

Veamos con más detalle cómo se ha producido cada uno de estos ataques.

Ataques dirigidos

El potencial de vishing se hizo muy evidente a lo largo de 2025 en los ataques llevados a cabo por Scattered Spider y actores de amenazas relacionados (como "Scattered Lapsus$ Hunters ").

En varios incidentes, como los que afectaron a minoristas en el Reino Unido, los informes indican que los piratas informáticos mantuvieron contacto mediante llamadas de voz con analistas de soporte para solicitar cambios de credenciales en nombre de los empleados de las empresas atacadas.

Este contacto con los analistas de soporte puede tener diversos propósitos. En algunas situaciones, los hackers podrían haber obtenido la contraseña de la cuenta, pero haber sido bloqueados por la autenticación multifactor (MFA). En ese caso, solo necesitan convencer al analista para que elimine la MFA de la cuenta o añada algún factor que esté bajo su control.

Sin embargo, dependiendo de las políticas de la empresa, también es posible que los atacantes convenzan al equipo de soporte técnico para que restablezca la contraseña, socavando por completo la gestión de identidad en la empresa.

En otra campaña dirigida a los datos almacenados en las instancias de Salesforce de las empresas, los hackers contactaron a empleados haciéndose pasar por el departamento de TI. Con este pretexto, lograron convencer a las víctimas de realizar cambios en las instancias de Salesforce para permitirles el acceso.

Al observar estos escenarios, podemos ver que el departamento de TI puede ser el objetivo de ataques de vishing o ser utilizado en ataques contra empleados.

Plump Spider también utilizó esta misma narrativa, según lo documentado por el equipo de investigación de Axur. Los atacantes contactan a los empleados de la empresa alegando que es necesario realizar una actualización o un ajuste del software instalado en el ordenador.

Tras un contacto telefónico inicial, los atacantes pueden continuar la comunicación mediante mensajes de texto, lo que facilita el envío de instrucciones más complejas. Si el contacto tiene éxito, los atacantes pueden ejecutar código malicioso que recopila datos sobre la red corporativa, incluyendo información sobre las contraseñas de la red wifi y las direcciones IP de los controladores de dominio.

Este conjunto de ejemplos destaca la versatilidad del vishing en ataques dirigidos. Es decir:

• Restablecer credenciales a través de la mesa de ayuda de TI
• Debilitar la seguridad de la cuenta mediante cambios en el uso de MFA
• Modificar configuraciones en plataformas corporativas para otorgar acceso a integraciones controladas por atacantes
• Guiar a los empleados para instalar software en las estaciones de trabajo
• Iniciar un contacto que pueda continuarse a través de otros canales de comunicación más adecuados al tipo de fraude que los atacantes buscan llevar a cabo

Es importante que las empresas conozcan el alcance del fraude y sus implicaciones. La inteligencia sobre ciberamenazas es uno de los principales aliados para este propósito y puede utilizarse para impulsar cambios en las políticas corporativas y la capacitación interna.

Ataques masivos

Además de utilizarse en ataques dirigidos, el vishing es un componente relevante de varios fraudes llevados a cabo en masa contra la población general.

Veamos algunos ejemplos:

Fraude de soporte técnico: Este tipo de fraude es más común en países angloparlantes. Los estafadores contactan a la víctima para ofrecerle asistencia técnica con su computadora, pero normalmente terminan exigiéndole que pague la reparación o que se suscriba a algún servicio. Para que la víctima caiga en la estafa, es bastante común que el estafador sugiera un diagnóstico falso.

Matanza de Cerdos: En esta estafa, el estafador se gana la confianza de la víctima gradualmente, solicitando dinero o favores que le interesan. El contacto telefónico puede contribuir a este proceso, haciéndole creer a la víctima. La matanza de cerdos combina elementos de otros fraudes para lograr su objetivo.

Estafa romántica: Muy similar a la matanza de cerdos, la estafa romántica puede durar semanas o meses. El delincuente asume un falso interés romántico en la víctima para convencerla de que envíe dinero. Las llamadas de voz ayudan a aumentar el nivel de participación, pero algunos estafadores también conocen a sus víctimas en persona.

Estafas de inversión y criptomonedas: Existen diversas estafas que utilizan las inversiones como cebo. La oportunidad de inversión que ofrecen los delincuentes suele formar parte de otro tipo de esquema, como el "pump-and-dump" (en el que las acciones se inflan mediante información falsa y posteriormente se venden), el "ramp-and-dump" (una variante en la que los propios estafadores realizan las transacciones que inflan el precio del activo) y el "rug pull" (un método de fraude común en el sector de las criptomonedas en el que los estafadores promocionan un proyecto o criptoactivo y lo abandonan tras obtener el dinero de los inversores).

Hay informes de que algunas personas que trabajan en "centros de contacto" y realizan estos fraudes son víctimas de trata de personas. Siguen las directrices y un guion desarrollado por los mentores del esquema.

En julio de 2025, más de cien personas fueron arrestadas en Pakistán y otras dos en la India tras acciones policiales en estos centros penales. En agosto, nueve personas más fueron arrestadas en la República Dominicana. Acciones similares se han producido en varios países durante la última década.

En Brasil, la situación es algo diferente. Anteriormente, eran recurrentes algunos fraudes rudimentarios de llamadas de voz. Uno de los principales ejemplos es el falso secuestro, en el que el estafador llama a la víctima alegando que un familiar ha sido secuestrado para intentar cobrar un rescate.

Sin embargo, una serie de fraudes automatizados cambió por completo este panorama. Estas estafas utilizan un sistema de respuesta de voz interactiva (IVR) que imita un proceso legítimo de atención al cliente.

Generalmente, la estafa la inicia el propio delincuente, con llamadas masivas a las víctimas. Sin embargo, también se han observado casos en los que el delincuente distribuye un número de teléfono por SMS.

Una de las narrativas más comunes en este tipo de estafa es que la víctima necesita confirmar o desmentir una compra sospechosa con su tarjeta de crédito. La compra en cuestión nunca se realizó, pero si la víctima se asusta por la cantidad relativamente alta reportada al inicio de la llamada, podría caer en la estafa y proporcionar los datos de su tarjeta a los delincuentes.

El fraude presenta un alto grado de automatización. El script de estafa está programado como un flujo de llamadas, y todo se puede monitorear y configurar en un panel del sistema.

Panel de control para monitorizar un IVR fraudulento.

Flujo de llamadas IVR programado y diseñado para realizar fraudes de forma autónoma.

Para realizar llamadas o enviar mensajes SMS, los delincuentes pueden utilizar equipos como los grabadores de chips, en los que se pueden instalar decenas de tarjetas SIM para improvisar una infraestructura de telecomunicaciones.

Fraude en la guerra entre Rusia y Ucrania

Según las autoridades rusas, existe un volumen considerable de fraude que se origina en centros de llamadas ubicados en Ucrania.

Estos fraudes ya estaban ocurriendo antes de que el conflicto se intensificara en 2022. Sin embargo, Rusia ahora afirma que estas llamadas telefónicas también se han utilizado para convencer a un segmento más vulnerable de la población (principalmente los ancianos) a cometer delitos incendiarios en el país, especialmente en centros de reclutamiento militar.

Tras estos incidentes en 2023, Rusia empezó a considerar estos centros de llamadas como objetivos militares .

La amenaza del vishing para las empresas

Al ser una categoría amplia de fraude, el vishing conlleva diversos riesgos. Si bien los ataques dirigidos representan una amenaza directa para las redes corporativas, los fraudes masivos suponen un desafío para las instituciones financieras y los comercios minoristas, ya que los datos robados mediante estos fraudes casi siempre se utilizan en compras de comercio electrónico.

Threat Hunting de Axur permite a las empresas identificar tarjetas y datos robados, lo que posibilita la prevención del fraude incluso antes de que se complete un pedido con el envío de la mercancía.

Dado que los ataques de vishing pueden debilitar la protección ofrecida por la autenticación multifactor (MFA), monitorear las credenciales filtradas ayuda a prevenir la escalada de incidentes que comienzan con nombres de usuario y contraseñas filtrados o tokens de autenticación robados por ladrones.

Para las instituciones financieras, monitorear las menciones de marcas asociadas al negocio en foros donde se comunican los delincuentes es una de las formas de mantenerse a la vanguardia de este fraude, especialmente para las instituciones financieras.

Contacta con uno de nuestros especialistas para conocer todas las funcionalidades de la Plataforma Axur y cómo pueden mitigar diversas amenazas.