Cuando una pensionista letona respondió a una llamada aparentemente procedente de la Policía Estatal, no sospechó que al otro lado había un operador entrenado para manipular víctimas. La voz conocía su banco, su cuenta y el lenguaje exacto para generar miedo. No era casualidad: formaba parte de una red criminal que había perfeccionado este engaño tras ejecutarlo cientos de veces.
Las autoridades de Letonia y Ucrania han anunciado el desmantelamiento de esta organización, especializada en vishing —phishing por voz— que operaba en toda la Unión Europea. El caso revela con precisión quirúrgica cómo funcionan las campañas modernas de ingeniería social: sin malware, sin exploits, pero con una eficacia devastadora basada en la manipulación psicológica.
Un fraude sin código malicioso: el factor humano como vector de ataque
A diferencia de otros ciberataques, esta red no dependía de software sofisticado. El vector de entrada era exclusivamente humano. Los atacantes se hacían pasar por agentes de policía o empleados bancarios y contactaban telefónicamente con sus víctimas.
El objetivo: convencerlas de que su dinero estaba en riesgo.
El vishing explota un principio básico de la ciberseguridad: la confianza en la autoridad. Cuando una supuesta institución legítima alerta de una actividad fraudulenta, el usuario entra en un estado de urgencia que reduce su capacidad crítica.
En este caso, los delincuentes informaban a las víctimas de préstamos fraudulentos o movimientos sospechosos en sus cuentas. A continuación, introducían un giro clave en la narrativa: pedían colaboración para “atrapar a los culpables”. Esta técnica convierte a la víctima en un actor activo, lo que disminuye aún más sus sospechas.
El manual del engaño: acceso remoto y control total
El siguiente paso era crítico. Los operadores instruían a las víctimas para instalar AnyDesk, una herramienta legítima de acceso remoto ampliamente utilizada en entornos de soporte técnico.
Una vez instalada, los atacantes obtenían control total del dispositivo: podían ver la pantalla, interactuar con el sistema y, lo más importante, acceder a la banca online en tiempo real.
Desde el punto de vista técnico, este método elimina la necesidad de robar credenciales mediante phishing tradicional. Es la propia víctima quien inicia sesión mientras el atacante observa —o directamente ejecuta las operaciones.
Este tipo de ataque presenta varias ventajas para los ciberdelincuentes: evita sistemas de detección basados en comportamiento anómalo, permite eludir autenticación multifactor (el usuario introduce los códigos) y reduce la trazabilidad técnica del fraude
Infraestructura criminal: mulas, cuentas pantalla y criptomonedas
La investigación ha destapado una red compleja y jerarquizada. En el núcleo operativo se encontraban centros de llamadas en Ucrania, donde operadores ejecutaban los engaños siguiendo guiones precisos.
Pero el fraude no terminaba en la llamada. Para mover el dinero, la organización utilizaba una red de más de 170 “mulas” financieras en Letonia. Estas personas abrían cuentas bancarias o cedían el control de las suyas a cambio de pequeñas comisiones.
Estas cuentas —conocidas como drop accounts— servían para recibir los fondos robados y transferirlos rápidamente, dificultando su rastreo.
Posteriormente, el dinero era canalizado hacia intercambiadores ilícitos de criptomonedas en Riga, donde se convertía en activos digitales. Este paso añadía una capa adicional de anonimato y complicaba la recuperación de los fondos.
Uno de estos operadores de cambio ha sido condenado a más de seis años de prisión, mientras que otros miembros de la red han recibido penas de hasta tres años.
Impacto económico y dimensión internacional
Las cifras reflejan la magnitud del fraude. Solo en Letonia, la policía estima pérdidas de aproximadamente 2 millones de euros entre 2023 y 2024.
En la vertiente vinculada a Ucrania, más de 20 víctimas letonas sufrieron pérdidas superiores a 300.000 euros. En total, se han identificado 90 sospechosos entre las mulas financieras y 13 operadores de call center han sido detenidos.
El líder de la organización fue arrestado en Alemania en 2024, en una operación coordinada con Estonia, donde finalmente fue condenado. Otros miembros fueron detenidos en Ucrania el 12 de marzo de 2026 tras una operación conjunta con Eurojust.
Actualmente, las autoridades han bloqueado activos por valor de 829.650 euros.
