El fraude digital dejó de ser cosa de aficionados: hoy es una industria global de cientos de miles de millones, automatizada con inteligencia artificial. El Observatorio Global ANTPJI traza el mapa de una amenaza que ya nos ha tocado a casi todos
Un martes de agosto, a media mañana, suena el teléfono en el departamento financiero de una empresa mediana. Es el director general. Su voz —su timbre, sus muletillas, esa forma suya de carraspear antes de pedir algo— ordena una transferencia urgente para cerrar una operación confidencial antes de que termine el día. El empleado que descuelga conoce esa voz desde hace años. Ejecuta la orden. Lo que no sabe es que su jefe está de vacaciones, a setecientos kilómetros, y que la voz que acaba de obedecer no existía hace seis meses: la generó una inteligencia artificial entrenada con tres vídeos de LinkedIn.
No es un guion de ciencia ficción. Es la técnica que, según el sector asegurador, define el fraude corporativo de 2025. Y es solo la punta de un iceberg que el Observatorio Global ANTPJI ha intentado medir reuniendo los principales indicadores mundiales sobre estafas digitales. La conclusión, leída desde la práctica pericial, es incómoda: el fraude online ya no es un problema de incautos. Es una industria.
Una industria del tamaño de una economía nacional
Las cifras agregadas de 2025 cuesta encajarlas en la cabeza. Según el Global State of Scams Report de la Global Anti-Scam Alliance (GASA) y Feedzai —elaborado sobre una encuesta a 46.000 adultos en 42 mercados—, el 57 % de los adultos del mundo se topó con una estafa en los últimos doce meses y el 23 % perdió dinero. Uno de cada ocho declara cruzarse con una estafa al menos una vez al día.
El daño económico global se estima en 442.000 millones de dólares en 2025. Para hacerse una idea, esa cifra rivaliza con el producto interior bruto de países enteros. No es delincuencia menor: es una de las economías criminales más rentables del planeta, con centros de operaciones, guiones probados, «atención al cliente» para las víctimas y cadenas de suministro de datos robados.
El informe de Bitdefender llega a un diagnóstico convergente desde otra muestra: uno de cada siete consumidores (el 14 %) reconoció haber sido víctima de una estafa el último año. Y desmonta de paso uno de los mitos más persistentes. Preguntados por su capacidad de detección, el 73 % de los adultos asegura que sabría reconocer una estafa. Casi una cuarta parte perdió dinero igualmente. Esa brecha entre la confianza y la realidad es, probablemente, el dato más revelador del año: nos creemos a salvo justo cuando somos más vulnerables.
El mapa no es plano
Si algo aporta mirar el fenómeno desde una red presente en trece países —de España a Chile, de Alemania a México—, es que el riesgo no se reparte por igual. GASA sitúa a Sudamérica como la región del mundo con mayor contacto con estafas: un 72 % de sus residentes se ha cruzado con una. La explicación es estructural más que cultural: economías en plena digitalización financiera, explosión de pagos móviles y billeteras digitales, y marcos de protección al consumidor todavía en construcción. La tormenta perfecta.
En el otro extremo, algunos mercados europeos combinan alta exposición con pérdidas relativas menores, fruto de años de campañas de concienciación. Dentro de la muestra de Bitdefender, Estados Unidos encabeza la victimización con un 17 %, mientras que Francia registra la tasa más baja, un 11 %. La conclusión que extrae el Observatorio ANTPJI es operativa: la prevención funciona, pero hay que sostenerla en el tiempo y adaptarla a cada mercado. No existe una receta única para trece realidades distintas.
Cuatro puertas, un mismo empujón
El fraude entra por canales muy concretos, y el análisis de Bitdefender permite radiografiarlos. El SMS, ese mensaje en el que aún confiamos casi a ciegas, es un coladero: el 5,2 % de los textos analizados —uno de cada veinte— mostraba rasgos asociados a infraestructuras de estafa. La voz resiste como vector clásico: sobre casi 150 millones de llamadas examinadas, una de cada seis recibidas en dispositivos protegidos fue catalogada como no deseada o fraudulenta. Y el correo electrónico es la gran autopista del fraude empresarial.
Pero por debajo de los canales late siempre el mismo mecanismo. Cambia el gancho —una multa, un paquete retenido, una inversión irrepetible, un amor súbito—, nunca el objetivo: empujar a la víctima a una decisión financiera antes de que el escepticismo tenga tiempo de despertar. La urgencia es el verdadero estafador. Todo lo demás es decorado.
El punto de inflexión se llama IA
Aquí es donde el relato se vuelve, para un medio tecnológico, especialmente relevante. Si 2024 fue el año en que la inteligencia artificial generativa irrumpió, 2025 ha sido el de su industrialización al servicio del delito. La misma tecnología que redacta correos corporativos y resume reuniones ahora fabrica fraude en serie y a medida.
La clonación de voz, con la que abríamos este reportaje, es la técnica estrella. El sector asegurador especializado la identifica como sello distintivo del año: replicar el tono de un directivo o un proveedor para presionar a un empleado y exigir una transferencia inmediata bajo una autoridad y una urgencia fabricadas. Su credibilidad es tal que ya no hace falta ser ingenuo para caer; basta con descolgar el teléfono en el momento equivocado.
La IA, además, trabaja antes del golpe. Analiza perfiles en redes sociales para seleccionar a las víctimas idóneas, extrae patrones de facturación de buzones de correo comprometidos y redacta secuencias conversacionales de varios pasos que imitan a la perfección a un interlocutor legítimo. El defraudador del pasado improvisaba; el de 2025 ensaya. No sorprende, entonces, que el 37 % de los consumidores sitúe los fraudes potenciados por IA —incluidos los deepfakes de voz y vídeo— como su mayor preocupación tecnológica.
El fraude tiene calendario
Otra de las lecturas más útiles del Observatorio es que el delito no golpea al azar: tiene estacionalidad. El sector asegurador identifica julio y agosto como dos de los meses con más siniestros del año. La razón es casi prosaica: las vacaciones vacían las oficinas, debilitan los procesos de verificación y dejan a los departamentos administrativos con menos manos y más prisa. Los atacantes lo saben y explotan esa caída previsible de supervisión.
El sector turístico concentra el 70 % de los ataques estivales, con el alojamiento vacacional (51 %), las agencias de viajes (21 %) y la hostelería (15 %) como blancos preferentes. Este último dato enciende una alarma: la hostelería duplicó su exposición en un solo año. Y el correo electrónico es, con diferencia, el vector dominante: siete de cada diez incidentes empresariales de verano llegan por email.
En el plano del ciudadano, el calendario se repite con variaciones locales. En España, los picos se concentran en torno al Black Friday y la Navidad, al alquiler vacacional de verano, a la campaña de la Renta en primavera y a la vuelta al cole en septiembre. Conocer ese ritmo permite reforzar la guardia justo cuando el riesgo se dispara.
España, en cifras
El mercado mejor documentado del Observatorio es el español, y el retrato es elocuente. El INCIBE gestionó 122.223 incidentes de ciberseguridad en 2025, un 26 % más que el año anterior. El fraude online alcanzó los 45.445 casos —cuatro de cada diez incidentes— y creció un 19 %; el phishing, con 25.133 casos, concentra más de la mitad de todo ese fraude. La línea de ayuda gratuita 017 atendió 142.767 consultas, casi un 45 % más que el año previo, señal de una ciudadanía a la vez más golpeada y más consciente.
El tejido empresarial confirma la tendencia: la frecuencia de siniestros cibernéticos declarados por las empresas aseguradas se disparó un 143 % en un año. Detrás de cada número, recuerda el Observatorio, hay una pyme paralizada, un autónomo sin acceso a su cuenta o una familia que ha visto evaporarse sus ahorros. La estadística es el mapa; el daño es personal.
La lectura pericial: no es un problema de inteligencia
Aquí ANTPJI introduce el matiz que cambia el enfoque de la prevención. Tras abrir cientos de dispositivos de víctimas reales, los peritos llegan a una conclusión consistente: la mayoría de los afectados no fueron engañados por falta de luces. Fueron interrumpidos. El fraude moderno no vence a la inteligencia; aprovecha el segundo de distracción, la rutina del clic rápido, la normalización del pago instantáneo.
Eso tiene una implicación práctica enorme: la defensa más eficaz no es tecnológica, es conductual. Y se resume en una regla que el Observatorio convierte en consejo central.
La regla de los diez segundos. Cuando un mensaje, una llamada o un correo te exija decidir ya, detente exactamente diez segundos. Esa pausa es el antídoto más barato y más potente que existe. Los fraudes están diseñados para que no pienses; piensa.
A esa regla, ANTPJI añade cuatro hábitos que detienen la mayoría de los ataques: nunca pulsar el enlace recibido —entrar siempre por la app oficial o tecleando la dirección a mano—; verificar por un segundo canal cualquier petición de dinero o cambio de cuenta, llamando al número de siempre; desconfiar por sistema de lo «demasiado bueno»; y blindar lo básico con verificación en dos pasos, contraseñas largas y distintas y dispositivos actualizados. En el ámbito empresarial, la receta se traduce en doble validación obligatoria de pagos —sin excepciones por jerarquía ni por prisa—, refuerzo de la supervisión en verano y una palabra clave de verificación para órdenes urgentes que ninguna voz clonada podrá conocer.
Y si ya has caído
El Observatorio insiste en un punto que suele pasarse por alto: las primeras horas lo deciden casi todo. Si sospechas que te han estafado, el orden importa. Primero, contactar de inmediato con el banco para bloquear tarjetas y cuentas y solicitar la retrocesión de transferencias. Después, cambiar las contraseñas desde un dispositivo distinto y seguro. Tercero —y crucial—, conservar todas las pruebas: no borrar mensajes ni correos, hacer capturas, anotar fechas, horas y números. Cuarto, denunciar ante la Policía Nacional o la Guardia Civil. Y, cuando hay un dispositivo comprometido o un fraude de cuantía relevante, considerar un análisis pericial que preserve las evidencias con validez legal.
Porque, como resume el propio informe, la diferencia entre «me estafaron» y «puedo probarlo» reside casi siempre en la preservación forense temprana de la evidencia. Sin prueba, no hay reclamación que sostener.
El verdadero campo de batalla
Volvamos a aquel martes de agosto y a la voz que no era de nadie. El error del empleado no fue de inteligencia: fue de velocidad. Alguien diseñó cuidadosamente esa llamada para que actuara antes de pensar. Y ahí está, en el fondo, la única buena noticia de todo este panorama: el atraco se vuelve visible en cuanto aprendemos a mirar.
La IA ha subido el listón de credibilidad del fraude hasta extremos inquietantes, y lo seguirá subiendo. Pero el factor decisivo continúa estando de nuestro lado de la pantalla: nuestra prisa, nuestra confianza automática, ese clic que damos sin mirar. El Observatorio Global ANTPJI no promete un mundo sin estafas. Propone algo más modesto y más útil: que, la próxima vez que algo te exija decidir ya mismo, te concedas diez segundos. Hoy, esa pausa es la frontera entre ser un usuario y ser una estadística.
Reportaje elaborado por TecFuturo a partir del Observatorio Global ANTPJI de Estafas Informáticas 2026, que integra y analiza datos de GASA/Feedzai (Global State of Scams 2025), Bitdefender (2026 Global Scam Intelligence Report), Stoïk (Informe de Siniestros Cibernéticos 2025), INCIBE (Balance 2025) y FBI/IC3.
