Ciberestafas: el timo de las mil caras

Por Marcelo Tello Helbling[i]

Que el “ciber” no te engañe: las estafas cibernéticas no son más que los engaños de toda la vida que han llegado hasta hoy. Los ladrones digitales de 2025 son los pícaros de siempre, con medios más sofisticados pero la misma filosofía: engañar a las personas es más fácil, barato y rentable que atracar bancos o hackear ordenadores.

Al final, siempre hay alguien que pica.

Imagina que estás descansando en tu sofá al final del día, disfrutando de tu serie favorita. De repente recibes un correo urgente de tu banco. Te piden que hagas clic en un enlace, y que confirmes tus claves bancarias para evitar el bloqueo de tu cuenta. Sin pensarlo dos veces, haces clic en el enlace y rellenas la información solicitada. Y así es como caes en la trampa digital del phishing o fraude por correo electrónico. Tal vez pienses que a ti no te la cuelan. A estas alturas, todos sabemos que tu banco nunca te pedirá claves de ningún tipo, pero… ¿y si te llamasen desde el mismo número del banco y lo supiesen todo de tu cuenta? ¿Cómo sabes si puedes fiarte de esa llamada?

Las ciberestafas son un fenómeno en auge que afecta a millones de personas en todo el mundo, todos los días, a todas horas y por todos los medios, no solo a través de dispositivos electrónicos. Los ciberdelincuentes utilizan técnicas muy sofisticadas para engañar a las personas y obtener acceso a información personal, financiera o confidencial. Con la digitalización de nuestras vidas y la creciente dependencia de la tecnología, es crucial estar informado y ser muy prudente para que no nos engañen.

Un poco de historia: de los cereales al deepfake.

La historia de las ciberestafas ha seguido de cerca el progreso de la tecnología, adaptándose a cada nuevo sistema, dispositivo o plataforma para explotarlos con fines ilícitos. Del engaño telefónico más simple hasta complejas campañas de ransomware, las técnicas de los malos han evolucionado de manera significativa. A continuación, exploraremos tres grandes etapas de esta evolución, destacando el ataque que lo cambió todo: en 2017, WannaCry marcó un punto de inflexión en la percepción global sobre la ciberseguridad.

¿Pero cómo empezó todo? ¿A quién se le ocurrió la primera ciberfechoría?

Años 70 y 80: Probando, probando… Captain Crunch y el fraude del salami

En las décadas de 1970 y 1980, los pioneros de la tecnología comenzaron a explorar las vulnerabilidades de los sistemas, motivados tanto por la curiosidad como por el deseo de demostrar sus habilidades técnicas. Aunque muchas de aquellas ciberfechorías no buscaban ganancias económicas directas, sentaron las bases para las estafas digitales que vendrían después.

Un ejemplo clásico es el de John Draper, conocido como “Captain Crunch. Draper descubrió que podía realizar llamadas telefónicas gratuitas utilizando un juguete incluido en una caja de cereales, silbato que emitía la frecuencia exacta necesaria para manipular los sistemas de telecomunicaciones de la época. Aunque técnicamente no era una ciberestafa, este ingenioso método, conocido como phreaking, demostró cómo se podían explotar las debilidades tecnológicas para obtener beneficios. El ingenio del método ya sentaba las bases de futuras ocurrencias con un objetivo implacable: aprovechar las vulnerabilidades tecnológicas con creatividad para obtener beneficios personales.

En aquellos primeros tiempos también surgió el “fraude del salami”, una técnica ya centrada en obtener beneficio económico. Esta estafa utiliza el “redondeo hacia abajo”, instruyendo a un sistema informático para que transfiera cantidades muy pequeñas de dinero descontadas por redondeo a una cuenta controlada por el estafador. Aunque las cantidades son mínimas e imperceptibles en cada transacción individual, acaban sumando un gran botín. Un esquema discreto pero muy rentable, que mostró cómo los sistemas informáticos podían ser aprovechados para cometer delitos financieros. La sutileza del fraude del salami, al operar en los márgenes de cada transacción, lo hacía difícil de detectar, algo que permitió replicar la técnica en años posteriores.

Aquellos primeros ciberataques, desde las manipulaciones telefónicas sencillas de Captain Crunch hasta los “pellizcos” financieros del fraude del salami, demostraron el potencial de los sistemas tecnológicos para ser explotados y evidenciaron la necesidad de medidas de seguridad más estrictas. El campo de batalla digital estaba abierto, y las vulnerabilidades tecnológicas podían ser muy lucrativas para los ciberdelincuentes.

Los 90: El phishing, nuevo amo del juego

Con la masificación de Internet en los 90, las ciberestafas evolucionaron rápidamente. El correo electrónico se convirtió en el vehículo predilecto de los estafadores, dando lugar al phishing. Esta técnica consistía, y consiste, en enviar correos electrónicos de un supuesto remitente de confianza y que parecen legítimos pero que, en realidad, se buscan robar información personal o financiera. Este método se benefició de la inexperiencia de los usuarios frente a las amenazas cibernéticas y de la falta de sofisticación en las medidas de seguridad.

Los ataques de phishing fueron solo el comienzo de una era donde los correos electrónicos fraudulentos dominaban el panorama digital. A medida que las personas confiaban más en la tecnología, los ciberdelincuentes perfeccionaron sus técnicas para engañar a las víctimas. Al finalizar la década, surgieron variantes más avanzadas, como el pharming, donde los usuarios eran redirigidos a sitios web falsos sin darse cuenta, lo que marcó un nuevo nivel de sofisticación en las estafas en línea. Cualquier página web o tienda digital podía ser una trampa.

La década de los 2000: Ingeniería social, manipulación sin límites

El cambio de milenio trajo una diversificación aún mayor de las ciberestafas. Métodos como el vishing (phishing por voz) y el smishing (phishing por SMS) comenzaron a aparecer, demostrando que los delincuentes podían atacar por cualquier medio de comunicación digital. El uso de la ingeniería social, es decir, la manipulación psicológica para obtener información confidencial, se consolidó como una herramienta clave para explotar la confianza de los usuarios. Como decíamos al principio: los malos se han dado cuenta de que hackear personas con engaños es más fácil y rentable que hackear sistemas con virus.

La ingeniería social describe a un tipo de ataques que usan técnicas de manipulación de la naturaleza humana. El delincuente engaña a la víctima con pretextos para que realice una acción que le ayude a lograr su objetivo (información, dinero o acceso a un sistema). Su gran truco para manipularnos es conectar con nuestro lado emocional, en especial con cuatro comportamientos innatos: confiar en el otro, no saber decir NO, el gusto por los halagos y el deseo de ayudar.

No son delitos de tecnología, aunque se apoyen en ella. Son delitos de personas que engañan a otras personas. Su táctica favorita es la suplantación de identidad. Pueden ocurrir por cualquier vía, con o sin pantallas de por medio.

WannaCry: el ransomware que nos cambió

La verdadera transformación llegó con el ransomware. Se trata de un malware (software o programa maligno), que secuestra los archivos de una víctima y exige un pago a cambio de su liberación. Es un modelo de negocio altamente lucrativo para los cibercriminales. Aunque ya se habían visto algunos ataques menores de ransomware, el ataque de WannaCry en 2017 fue un evento sin precedentes que despertó la conciencia global sobre la ciberseguridad y marcó un antes y después.

 

WannaCry fue un ataque de ransomware que se propagó rápidamente en mayo de 2017, afectando a más de 200.000 sistemas en 150 países. WannaCry bloqueaba los archivos de las víctimas mediante cifrado y exigía un rescate en bitcoins para liberarlos. Lo que distinguió a este ataque fue la amplitud de su impacto: afectó a organizaciones de todos los sectores, incluidas infraestructuras críticas como hospitales en el Reino Unido, donde el ataque paralizó sistemas médicos vitales.

La escala del ataque y su rapidez para propagarse a través de redes interconectadas mostró al mundo lo vulnerable que era incluso el servicio más esencial. A raíz de WannaCry, muchas organizaciones, gobiernos y usuarios particulares tomaron conciencia de una poderosa máxima de la ciberseguridad: la cuestión no es si sufriremos un ciberataque, sino cuándo ocurrirá y si estaremos preparados. WannaCry mostró la importancia de mantener nuestros sistemas actualizados y protegidos, y marcó un punto de inflexión en la mentalidad colectiva frente a las amenazas cibernéticas. Faltaban cinco años para el siguiente giro de guion en el escenario de la ciberseguridad.

Noviembre de 2022: IA, una extraña entre nosotros

En noviembre de 2022, la empresa Open AI presentó al mundo ChatGPT, su herramienta de Inteligencia Artificial Generativa de uso público. La Inteligencia Artificial o IA, que tanto había imaginado la ciencia ficción en forma de robot o computadora maligna, ha resultado ser un buscador más rápido y listo que Google, que solo quiere charlar con nosotros y ayudarnos a hacer cosas que… sí, parecen ciencia-ficción.

ChatGPT es la más conocida de la actual generación de herramientas de IA, pero hay muchas más: el traductor DeepL, el creador de imágenes Midjourney, el corrector Grammarly, el conversor de formatos Smallpdf, Perplexity, Gemini de Google y Copilot de Microsoft son algunos ejemplos.

Las aplicaciones de IA son una gran ayuda, pero tienes dos problemas. Por una parte, no se les da muy bien guardar secretos: toda la información que enviamos, consultamos o subimos, se la guardan y queda fuera de nuestro control. Se la pueden mostrar a cualquiera que se la pida. El segundo problema es que los cibercriminales también utilizan la IA para perfeccionar sus estafas y conseguir que sean casi imposibles de detectar.

Las IA puede utilizarse para preparar ciberestafas de ingeniería social más personalizadas. Los ciberdelincuentes también pueden crear perfiles mucho más detallados de sus víctimas y adaptar mejor sus mensajes falsos, lo que aumenta su eficacia. Los correos electrónicos de phishing generados por inteligencia artificial tienen tasas de apertura más altas que los tradicionales.

Estas herramientas también pueden usarse para otros fines fraudulentos, como suplantar la identidad de cualquiera de nosotros (personal o profesional). Basta una foto, una grabación de la voz o un vídeo que publiquemos para generar contenidos falsos y suplantar nuestra identidad, por ejemplo, en servicios con autenticación por voz. De ahí ese sabio consejo de no responder nunca “SÍ” a una llamada telefónica, ya que pueden grabar tu voz y usarla para confirmar operaciones en tu nombre. Más adelante veremos hasta dónde puede llegar el cibercrimen con esta nueva aliada.

Ciberestafas de hoy: guía de ataques

Vivimos rodeados de ciberestafas más complejas y variadas que nunca. Los estafadores utilizan técnicas avanzadas de ingeniería social, inteligencia artificial y deepfakes para crear engaños extremadamente realistas. Las estafas de soporte técnico, donde los delincuentes se hacen pasar por técnicos para obtener acceso remoto a dispositivos, son un problema creciente. El uso de criptomonedas ha añadido una capa de anonimato a muchas transacciones fraudulentas, complicando aún más la identificación y captura de los perpetradores. Veamos, de una en una, las tácticas para estafarnos, del phishing clásico a las estafas creadas con Inteligencia Artificial.

  • Phishing: el ataque de inteligencia artificial por excelencia y el más frecuente. Va cambiando de cara y ahora se apoya en la inteligencia artificial para ser más efectivo, personalizado y difícil de detectar. Busca “pescar” a sus víctimas sobre todo por correo electrónico, suplantando la identidad de una empresa o persona de confianza para obligarles a realizar alguna acción (clicar en un enlace, abrir un adjunto, instalar un programa…). El correo electrónico es la principal puerta de entrada de ataques de
  • Smishing: combinación de las palabras SMS y phishing, es una estafa con mensajes SMS. Son habituales los que suplantan a entidades bancarias, empresas de transporte, Correos, Agencia Tributaria y Seguridad Social, con pretextos relacionados con problemas en la cuenta bancaria, falsas entregas de paquetes y falsas ayudas, reembolsos de impuestos o subsidios.
  • Vishing: combinación de las palabras voz y phishing, este fraude actúa a través de llamadas telefónicas. El atacante suplanta a una organización o persona de confianza para que la víctima revele información. Un ejemplo clásico es la estafa del falso soporte técnico.
  • QRishing: estafa con códigos QR (Quick Response): los atacantes crean códigos QR falsos y los colocan en lugares públicos (pegados encima de QR auténticos en menús, por ejemplo) o los incrustan en correos electrónicos maliciosos. Al escanearlo, el código puede llevar a sitios web fraudulentos, conectarse a una red wifi no segura o dirigir a sitios web en los que se descarga malware.
  • Baiting: los malos colocan un anzuelo para que piques. Usan un cebo con software malicioso, como una memoria USB, para que sea la propia víctima quien la conecte a su dispositivo y lo infecte. Nunca conectes dispositivos extraíbles que encuentres por casualidad, aunque tengan el logotipo de la empresa o quieras devolverlos. Déjalos donde están.
  • Compromiso de correo corporativo (Business Email Compromise o ataques BEC): parece un correo de tu empresa, pero no lo es. Es una variante del phishing por correo electrónico donde el remitente suplanta a un superior o compañero de trabajo para conseguir su objetivo. Un ejemplo sería el fraude del CEO. El phishing es aún más peligroso cuando apunta a un objetivo específico, especialmente a un empleado con acceso a información o autorización para hacer operaciones financieras.
  • Fraude del CEO por correo electrónico, LinkedIn y WhatsApp: suplantación de un directivo o persona con autoridad a través de cualquiera de estos canales. Los directivos están conectados con sus equipos a través de LinkedIn y WhatsApp, no solo por correo electrónico, y los malos lo saben. Usando las redes evitan los filtros de seguridad de las empresas, pueden suplantar a jefes y superiores y enviar sus ataques.
  • Engaños en redes sociales: los atacantes crean perfiles falsos para contactar con posibles víctimas y estafarlas; hay que sospechar de mensajes inesperados o peticiones de amistad de desconocidos. La desinformación y el contenido falso, desde noticias a deepfakes de vídeo y audio, también buscan engañarnos. Otros cebos son los cupones descuento, sorteos, juegos, invitaciones a eventos… Se promete un beneficio a cambio de información o dinero. Si es demasiado bueno para ser cierto, seguramente es una trampa. Hay dos estafas especialmente peligrosas:
  • Estafa amorosa: el delincuente seduce a la víctima por redes sociales o aplicaciones de búsqueda de pareja, se gana su confianza y le hace creer que mantienen una relación sentimental. Consigue que le envíe dinero, información sensible, que le compre regalos o le ceda propiedades, etc. Tras el engaño se esfuman y dejan a su presa en una pésima situación psíquica y financiera.
  • Ofertas de empleo falsas: las plataformas de búsqueda de empleo como LinkedIn se usan para conseguir datos personales de los usuarios. Los atacantes suplantan a reclutadores de recursos humanos para conseguir acceso al dispositivo del candidato, o para hacerse con sus datos personales, profesionales o bancarios. Venden esa información en el mercado negro de internet o la usan para preparar otros ataques.
  • Timo del pariente en apuros: el delincuente contacta con la víctima por mensajería (WhatsApp), redes sociales o por teléfono. Se hace pasar por un amigo o pariente lejano que necesita dinero urgente: para pagar la aduana, por un problema médico, para la reserva de una vivienda, etc. Una variante más dramática es el falso secuestro o accidente de un familiar, en el que piden dinero para un rescate, un abogado o una fianza.
  • Shoulder surfing (espiar de reojo o por encima del hombro): en lugares públicos, en transportes, en hoteles o aeropuertos, en áreas no restringidas de tu empresa… siempre puede haber alguien mirando y escuchando. Esta técnica consiste en espiar disimuladamente, mirar por encima del hombro, observar lo que aparece en la pantalla de los dispositivos o captar lo que dice en una conversación personal o telefónica, para robar información.
  • Dumpster diving (hurgar en la basura): el viejo truco de los paparazzi, rebuscar en la basura de la víctima para obtener documentos con información personal o financiera, o indicios de sus hábitos. Con solo un nombre completo o una dirección pueden crear serios problemas.
  • “Pig butchering” o matanza del cerdo: consiste en “engordar” a una víctima mediante una serie de engaños, para ir robándole poco a poco todo el dinero mediante una falsa oportunidad de inversión. El delincuente envía un primer mensaje casual a la víctima por redes sociales, aplicaciones de búsqueda de pareja o fingiendo que lo envía por error, para despertar su interés. Luego va ganándose su confianza con varias tácticas de manipulación (llamadas, correos electrónicos, sitios web, apps de mensajería o control remoto de dispositivos, etc.). Convencen a las víctimas y las “invitan” a invertir su dinero en una oportunidad que parece atractiva, como las criptomonedas o los fraudes piramidales. Al principio todo parece normal, pero pronto empiezan a pedir más y más dinero, hasta que la víctima sospecha o hasta que la dejan sin nada, y desaparecen.

 

  • Estafas de inversión: los timadores engañan a la víctima con la promesa de obtener ganancias económicas mediante la entrega de un capital inicial. Hay estafas de varios tipos, pero causan estragos las relacionadas con inversión en criptomonedas. Los estafadores pueden suplantar a brokers, agentes inmobiliarios e incluso celebridades. Al principio se pueden obtener pequeñas ganancias que animan a continuar, hasta consumar el fraude y llegar a sustraer cantidades millonarias.
  • Estafas creadas con Inteligencia Artificial: los delincuentes usan las aplicaciones de IA, como ChatGPT, para preparar ataques mucho más personalizados y difíciles de detectar, en especial correos maliciosos, y para crear contenido ultrafalso, los llamados deepfakes, que pueden ser de voz, de vídeo, de imagen y de documentos. Gracias a la IA se puede recrear a la perfección la apariencia física de alguien en una videollamada, y también su voz. Por tanto, hay que fijarse mucho en las llamadas y videollamadas. Hay que desconfiar hasta de lo que vemos con nuestros propios ojos, porque la IA va un paso más allá: de hackear personas a hackear la realidad.
  • Timos en persona: los ciberestafadores también visitan a domicilio, en forma de esos supuestos comerciales del gas, la luz o el agua que prometen mejorarte la tarifa, o agentes inmobiliarios que buscan colarse con cualquier pretexto para conseguir nuestros datos personales o bancarios. Incluso si nos llaman por el nombre, hay que sospechar. Hoy en día, que lo sepan todo de ti no es motivo para confiar, sino todo lo contrario.

La mejor defensa: desconfiar, esperar, verificar

Desconfiar por norma, esperar y recapacitar antes de actuar, y mantener la prudencia y el sentido común siempre activados son las claves para detectar estos engaños. Así puedes protegerte:

  • Revisa con detalle cada correo, SMS, llamada o mensaje que recibas, y cada conexión, descarga o escaneo que realices (códigos QR).
  • Espera 9 segundos: la campaña de concienciación “Take 9 seconds for a safer world” (Tómate 9 segundos para un mundo más seguro) nos aconseja esperar 9 segundos y pensar antes de hacer clic, descargar, compartir o revelar información. Tómate tu tiempo antes de reaccionar ante mensajes, llamadas o peticiones de cualquier tipo. Una breve pausa puede librarte de una gran estafa.
  • Desconfía de correos electrónicos y peticiones inesperados, de desconocidos, fuera de lo común o que inciten a saltarse normas de seguridad. Si sospechas, ni caso ni clic.
  • Ante llamadas sospechosas, cuelga o calla. No reveles información.
  • Verifica todo, a ser posible en persona: la identidad de quien te contacte, las informaciones que leas, y los vídeos y audios que recibas. Ver y oír ya no basta para creer. Si inicias una relación íntima con alguien a través de las redes, conócele en persona lo antes posible. Si no accede, sospecha.
  • Nunca copies y pegues contenido profesional ni personal (texto, vídeo, imágenes) en aplicaciones de IA. No sabes cómo usarán esa información.
  • Sé prudente con la información que compartes en internet. Si dudas, no publiques.
  • No te conectes a redes wifi públicas.
  • Desactiva la descarga automática de archivos.
  • Usa contraseñas robustas y activa el doble factor de autenticación.
  • Ten todo actualizado y el antivirus activado en todos tus dispositivos (móvil incluido).
  • Cuidado con tus conversaciones y dispositivos en lugares públicos. No hables más de la cuenta y protege tus pantallas de miradas curiosas.
  • Cuidado con la actualidad: usan los temas de moda como pretexto (Rebajas, Black Friday, vacaciones, catástrofes climáticas, etc.)
  • Si algo es demasiado bueno, bonito o barato para ser verdad, seguro que es una trampa, en especial propuestas de inversión no solicitadas.

Cada día debemos decidir en quien confiar, y no siempre es fácil. La ingeniería social tiene mil caras. Ten siempre activada tu atención y tus ciberinstintos. Nunca bajes la guardia y no te dejes manipular. Tú también eres objetivo del cibercrimen.

 

[i] Marcelo Tello Helbling es Ingeniero Informático de Gestión, Master de Dirección y Gestión de tecnología de la información y Máster de Seguridad de las Tecnologías de la información y de las Comunicaciones, Seguridad informática y de gestiones por la UOC (Universitat Oberta de Catalunya).

Dejá un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

1 comentario en “Ciberestafas: el timo de las mil caras”

Scroll al inicio