El atraco invisible

Publicidad

Las estafas digitales se han convertido en la industria criminal más rentable del planeta. Esta es la radiografía de cómo operan —y el manual para no ser la próxima víctima

Son las 18:47 de un martes cualquiera. María, 34 años, recibe un SMS. Es de su banco, o eso parece: un cargo sospechoso, un enlace, la promesa de «bloquear la operación» si pulsa antes de que sea tarde. El mensaje llega justo cuando sale del trabajo, con el metro lleno y la cabeza en otra parte. Pulsa. Introduce sus claves. Y en los once minutos que tarda en llegar a casa, alguien al otro lado del mundo ha vaciado su cuenta y abierto una línea de crédito a su nombre.

María no es ingenua. No es mayor. No es «de las que pican». María es la víctima estadísticamente más probable del fraude digital en 2026: joven, hiperconectada y convencida de que a ella eso no le pasaría.

Lo que María no sabe —lo que casi nadie sabe— es que detrás de ese SMS no hay un estafador solitario en un sótano. Hay una industria. Una con centros de llamadas, departamentos de «atención al cliente», guiones probados, inteligencia artificial entrenada para imitar la voz de su jefe y un volumen de negocio que, sumado, compite con el PIB de países enteros.

Bienvenidos al atraco invisible.

La escena del crimen es el mundo entero

Para entender la magnitud, hay que mirar los números. Y los números, este año, son demoledores.

El 2026 Global Scam Intelligence Report de Bitdefender —uno de los análisis más amplios que existen sobre el fenómeno— encuestó a 7.000 consumidores en siete países (Estados Unidos, Reino Unido, Francia, Alemania, España, Italia y Australia). El resultado: 1 de cada 7 personas (el 14%) reconoció haber sido víctima de una estafa en el último año, con un 4% adicional que ni siquiera está seguro. Estados Unidos encabeza la lista con un 17%, seguido de Reino Unido y Australia con un 16% cada uno.

El dinero da vértigo. Bitdefender enmarca las estafas dentro de un modelo criminal de escala billonaria, con pérdidas de consumidores estimadas en cientos de miles de millones de dólares solo en 2025. No es ciberseguridad. Es economía criminal pura.

Pero la cifra que de verdad debería quitarnos el sueño no es cuánto se roba, sino a quién.

El giro de guion: los jóvenes son las nuevas víctimas

Durante dos décadas, la imagen del estafado fue la de un jubilado confundido ante una pantalla. Esa imagen ha muerto.

Los datos del informe apuntan en dirección contraria: los consumidores más jóvenes tienen hoy el doble de probabilidades de caer en una estafa que las generaciones mayores. La razón es tan simple como inquietante: los delincuentes siguieron a su público. Donde antes mandaban cartas y llamaban a fijos, ahora habitan las redes sociales, los entornos de videojuegos y las apps de mensajería: exactamente los lugares donde un veinteañero pasa el día.

La confianza es el arma. Un joven que ha hecho cien transacciones por Bizum, que compra por Vinted, que recibe códigos por SMS a diario, ha normalizado el clic rápido. Y esa normalización es precisamente la grieta por donde entra el fraude.

Aquí entra la perspectiva pericial. Desde ANTPJI, donde analizamos forensemente dispositivos de víctimas reales cada semana, vemos el patrón desde dentro: la mayoría de los afectados jóvenes no fueron «engañados» en el sentido clásico. Fueron interrumpidos. El fraude moderno no convence: aprovecha el segundo de distracción. Ataca la rutina, no la inteligencia.

Las cuatro puertas de entrada

Si el fraude es una industria, tiene canales de distribución. Estos son los cuatro principales, según los datos analizados.

El SMS, el caballo de Troya. El análisis de tráfico de mensajería reveló que el 5,2% de todos los SMS —aproximadamente 1 de cada 20— mostraba características asociadas a infraestructuras de estafa. Piénselo: una de cada veinte veces que su teléfono vibra con un mensaje, podría haber un anzuelo detrás. Y como el SMS es un canal en el que aún confiamos casi ciegamente, esa exposición es especialmente peligrosa.

La voz, el clásico que no muere. Bitdefender examinó cerca de 150 millones de llamadas entrantes. Más de 23 millones fueron clasificadas como no deseadas: 1 de cada 6 llamadas a dispositivos protegidos era fraudulenta o no solicitada. El sistema procesó más de 52 millones de números únicos, de los cuales más de medio millón fueron señalados como peligrosos. La llamada de voz, lejos de extinguirse, sigue siendo territorio fértil para el delito.

El dinero, siempre el dinero. Las estafas financieras —fraude de inversión, phishing bancario, esquemas con criptomonedas— aparecen de forma constante en SMS, anuncios de redes sociales, WhatsApp, llamadas y correo. El gancho cambia según la plataforma; el objetivo, jamás: empujar a la víctima a tomar una decisión financiera antes de que el escepticismo tenga tiempo de aparecer. La prisa es el verdadero estafador.

El correo corporativo, la puerta de las empresas. Y aquí el escenario cambia de las personas a los negocios, con datos que dibujan un mapa estacional del crimen.

Verano: la temporada de caza

Hay un detalle que los ciberdelincuentes conocen mejor que muchos directivos: las empresas bajan la guardia en agosto.

El Informe de Siniestros Cibernéticos 2025 de Stoïk, la primera insurtech europea especializada en riesgo cibernético, lo documenta con precisión. El 69% de los incidentes registrados entre junio y agosto estuvieron relacionados con el fraude por correo electrónico, consolidándolo como el principal vector de ataque a empresas en verano. Le siguen, muy de lejos, el compromiso de activos expuestos a internet (8%), el ransomware (6%) y el robo de datos (6%).

¿Por qué el verano? Porque las vacaciones debilitan los procesos de verificación. «Los meses de julio y agosto se posicionan como dos de los meses con mayor pico de siniestros del año, debido a las ausencias en periodos vacacionales», explica Ignacio Ramallo, Country Manager de Stoïk en España. Los atacantes, añade, aprovechan las caídas previsibles de supervisión y la fatiga para golpear a los departamentos administrativos y financieros, donde el daño es máximo.

El sector más castigado es el turístico, que concentra el 70% de los ciberataques estivales. Dentro de él, el alojamiento vacacional acapara más de la mitad de los incidentes (51%), seguido de agencias de viajes (21%) y hostelería (15%). Este último dato es una alarma roja: la hostelería duplicó su exposición en un solo año, pasando del 6% en 2024 al 15% en 2025.

Y el contexto general es aún más grave: según Stoïk, la frecuencia de siniestros cibernéticos declarados por sus asegurados en España se disparó hasta casi el 11% en 2025, frente al 4,34% del año anterior. Un aumento del 143%.

El nuevo protagonista: la inteligencia artificial al servicio del crimen

Si 2024 fue el año en que la IA generativa irrumpió, 2025 fue el año en que el crimen la industrializó. La misma tecnología que redacta correos y resume reuniones ahora produce fraude en cadena.

La técnica estrella es escalofriante: la clonación de voz. Los delincuentes replican el tono de un directivo o un proveedor y llaman a un empleado para exigir, con autoridad y urgencia fabricadas, una transferencia inmediata. El pánico hace el resto. Es la versión 5.0 del clásico «fraude del CEO», y su credibilidad es tal que ya no hace falta ser ingenuo para caer.

La IA también trabaja antes del golpe: analiza perfiles en redes para elegir víctimas, extrae patrones de facturación de buzones comprometidos y redacta secuencias conversacionales de varios pasos que imitan a la perfección a un interlocutor legítimo. El delincuente ya no improvisa. Ensaya.

Cómo no ser María: el manual de supervivencia

Hasta aquí, el diagnóstico. Ahora lo importante: qué puede hacer usted, ciudadano normal, esta misma tarde, para no engrosar las estadísticas. Desde la experiencia pericial de ANTPJI, estas son las reglas que de verdad funcionan.

1. La regla de los diez segundos. Casi todas las estafas comparten un ingrediente: la urgencia. «Su cuenta será bloqueada», «tiene un paquete retenido», «actúe ahora». Cuando algo le exija decidir ya, deténgase exactamente diez segundos. Ese silencio es el antídoto más potente que existe. Los estafadores diseñan sus mensajes para que usted no piense; piense.
2. Nunca pulse el enlace; vaya usted. Si recibe un aviso de su banco, su empresa de mensajería o Hacienda, no toque el enlace del mensaje. Cierre el SMS o el correo, abra usted mismo la app oficial o teclee la dirección a mano. Si el aviso es real, lo verá allí. Si no aparece, era falso.
3. Verifique por un segundo canal. ¿Su jefe le pide por correo una transferencia urgente? ¿Un proveedor cambia de repente su número de cuenta? Llámele. A su número de siempre, no al que figura en el mensaje. La clonación de voz se derrumba ante una sola pregunta inesperada hecha por un canal distinto.
4. Desconfíe de lo perfecto y de lo gratis. La inversión que rinde el doble que el mercado, el premio que no recuerda haber jugado, el amor que aparece de la nada y pronto necesita dinero: si es demasiado bueno, es mentira. Sin excepciones.
5. Blinde lo básico. Active la verificación en dos pasos en banca, correo y redes. Use contraseñas distintas y largas (un gestor de contraseñas le quita el problema de memoria). Mantenga el móvil y el ordenador actualizados. No es glamuroso, pero estas cuatro acciones detienen la mayoría de los ataques automatizados.
6. Para empresas: institucionalice la sospecha. Establezca un protocolo de doble validación para cualquier pago o cambio de datos bancarios, sin excepciones por jerarquía ni por prisa. Refuerce la vigilancia en verano y forme al personal administrativo, que es el objetivo real. La seguridad no es un departamento: es una costumbre.

Si ya ha caído: cómo actuar en las primeras horas

El tiempo es todo. Si sospecha que ha sido víctima, actúe en este orden y sin demora:

1. Contacte de inmediato con su banco y solicite el bloqueo de tarjetas y cuentas y la retrocesión de cualquier transferencia. Las primeras horas son decisivas para recuperar el dinero.
2. Cambie sus contraseñas desde un dispositivo distinto y seguro, empezando por correo y banca.
3. Conserve todas las pruebas. No borre los mensajes, correos ni el historial de llamadas. Haga capturas. Anote fechas, horas y números. Ese material es la base de cualquier investigación posterior.
4. Denuncie ante la Policía Nacional o la Guardia Civil (en España, el Grupo de Delitos Telemáticos). La denuncia es imprescindible para reclamar y para que el caso engrose la estadística que permite perseguir a las redes.
5. Considere un análisis pericial. Cuando hay un dispositivo comprometido, una suplantación de identidad o un fraude de cierta cuantía, un perito informático judicial puede preservar las evidencias con validez legal, reconstruir lo ocurrido y elaborar el informe que sostendrá su reclamación ante un juzgado. La diferencia entre «me estafaron» y «puedo probarlo» suele estar ahí.

El verdadero antídoto

Volvamos a María. Su error no fue de inteligencia: fue de velocidad. Pulsó antes de pensar porque alguien diseñó cuidadosamente ese mensaje para que lo hiciera.

La buena noticia es que el atraco invisible se vuelve visible en cuanto uno aprende a mirar. El fraude digital es sofisticado, está industrializado y cuenta con la IA de su lado, pero sigue dependiendo de un único factor que está enteramente en nuestras manos: nuestra prisa, nuestra confianza automática, ese clic que damos sin mirar.

En ANTPJI llevamos años abriendo dispositivos de víctimas y reconstruyendo la escena del crimen byte a byte. Y la conclusión, tras cada caso, es siempre la misma: el delincuente apuesta a que usted no se detenga.

Demuéstrele que se equivoca. Deténgase. Diez segundos. Esa es, hoy, la frontera entre ser un usuario y ser una estadística.

ANTPJI — Asociación Nacional de Tasadores y Peritos Judiciales Informáticos. Análisis pericial sobre datos del 2026 Global Scam Intelligence Report (Bitdefender) y del Informe de Siniestros Cibernéticos 2025 (Stoïk).

Las estafas y fraudes online continúan creciendo a un ritmo alarmante. Las pérdidas ocasionadas por este tipo de delitos alcanzaron casi 900 millones de euros, confirmando la magnitud del problema: 1 de cada 8 encuestados asegura haber sido víctima de una estafa informática durante el último año. Este dato pone de manifiesto que las estafas ya no son únicamente una cuestión de ciberseguridad, sino una amenaza directa para la seguridad financiera y la identidad digital de los usuarios.

Este informe se basa en datos obtenidos en tiempo real a partir del análisis de URL, mensajes, ecosistemas publicitarios digitales, sistemas señuelo para detectar llamadas fraudulentas y aportaciones directas de los usuarios. Esta información permite identificar campañas activas, seguir su evolución a través de distintas plataformas y comprender mejor el comportamiento de los ciberdelincuentes. El resultado es una visión completa y basada en datos sobre el funcionamiento de las estafas a gran escala.

Principales conclusiones del informe

Los consumidores más jóvenes son los más vulnerables a las estafas

Los consumidores más jóvenes tienen actualmente el doble de probabilidades de ser víctimas de una estafa que las generaciones de mayor edad. La tasa de victimización alcanza el 20%, frente al 9,7% registrado entre las personas de 55 años o más. Los estafadores han seguido a su audiencia hacia las plataformas sociales, entornos de videojuegos y aplicaciones de mensajería donde los usuarios jóvenes pasan la mayor parte de su tiempo.

1 de cada 20 mensajes de texto muestra señales de posible fraude

Un análisis exhaustivo del tráfico SMS reveló que el 5,2% de todos los mensajes analizados (aproximadamente 1 de cada 20) mostraba características asociadas a infraestructuras de estafa o actividades coordinadas de fraude. Dado el elevado nivel de confianza que los usuarios depositan en este canal de comunicación, esta tasa de exposición resulta especialmente preocupante.

Las llamadas de voz siguen siendo uno de los canales preferidos por los ciberdelincuentes

Durante el periodo analizado, Bitdefender examinó cerca de 150 millones de llamadas entrantes. Más de 23 millones fueron clasificadas como no deseadas, lo que significa que aproximadamente 1 de cada 6 llamadas recibidas en dispositivos protegidos fue considerada fraudulenta o no solicitada. Además, el sistema procesó más de 52 millones de números de teléfono únicos, de los cuales más de medio millón fueron identificados como no deseados.

Las estafas financieras lideran el panorama del fraude digital

Los fraudes relacionados con inversiones, las campañas de phishing bancario y las estafas vinculadas a criptomonedas aparecen de forma constante en SMS, anuncios en redes sociales, WhatsApp, llamadas de voz y correo electrónico. Aunque el gancho utilizado varía según la plataforma, el objetivo es siempre el mismo: empujar rápidamente a la víctima a tomar una decisión financiera antes de que tenga tiempo de cuestionar la legitimidad de la propuesta.

«El rápido crecimiento y la creciente sofisticación de las estafas online hacen que sea cada vez más difícil para los consumidores proteger su actividad digital», afirma Ciprian Istrate, vicepresidente sénior de Operaciones del Consumer Solutions Group de Bitdefender. «Aunque el término ‘estafa’ pueda sonar inofensivo, sus consecuencias distan mucho de serlo, ya que a menudo derivan en robo de identidad, pérdidas económicas y exposición de datos. Este informe refleja nuestro compromiso continuo por comprender las amenazas a escala global y garantizar que nuestros clientes dispongan de la inteligencia y las herramientas necesarias para mantenerse protegidos a medida que evoluciona el panorama de amenazas».

Siete de cada diez ciberataques a empresas en verano ocurren por medio del correo electrónico 

• El sector turístico concentra el 70% de los ciberataques durante el verano, donde la hostelería duplica su exposición a ciberataques en solo un año, pasando del 6% de incidentes en 2024 al 15% en 2025, mientras que el alojamiento vacacional concentra más de la mitad de todos los casos, tal y como apunta el Informe de Siniestros Cibernéticos 2025 elaborado por Stoïk
• Las ausencias vacacionales y el debilitamiento de los procesos internos de verificación convierten julio y agosto en los meses con mayor pico de siniestros del año
• La industrialización de la IA en el último año marca el camino del cibercrimen mediante la clonación de voz de directivos y proveedores para presionar a empleados en estafas cada vez más creíbles

– El verano siempre se ha considerado la época del año perfecta para tomarse unas vacaciones y descansar de la actividad laboral. Sin embargo, para los ciberdelincuentes la temporada estival se convierte en una oportunidad excelente para atacar a las compañías, siendo un momento crítico para estas, especialmente en sectores como el turismo, la hostelería o el ocio, industrias que viven su mayor pico de actividad durante los meses de verano.

De esta forma, el 69% de los incidentes en ciberseguridad que se registraron de junio a agosto en 2025 estuvieron relacionados con el fraude por correo electrónico, convirtiéndose en el principal vector de ataque a las compañías, tal y como apunta el Informe de Siniestros Cibernéticos 2025 de Stoïk, primera insurtech de Europa especializada en riesgos cibernéticos para empresas con ingresos de hasta 1.000M de euros. A este, le siguen el compromiso de activos expuestos a Internet (8%), los casos de ransomware (6%) y el robo de datos (6%).

En cuanto a sectores, el turismo concentra el 70% de los ciberataques durante el verano, donde las compañías dedicadas al alojamiento vacacional concentran más de la mitad de los incidentes de ciberseguridad con un 51%, seguido de las agencias de viajes y servicios de reservas (21%) y la hostelería (15%), sector en el que ha crecido de manera notoria estos incidentes, duplicándose la tasa con respecto al año 2024 donde solo representaba un 6% de los incidentes. A esto se añade el transporte terrestre con un 6% y el ocio y entretenimiento con otro 6%.

“Los meses de julio y agosto se posicionan como dos de los meses con mayor pico de siniestros del año, debido a las ausencias en periodos vacacionales y un debilitamiento de los procesos internos de verificación. Los atacantes se aprovechan de las caídas previsibles de supervisión de las compañías, la sobrecarga en los procesos y los periodos de fatiga, para atacar a los departamentos administrativos y financieros, maximizando su impacto”, apunta Ignacio Ramallo, Country Manager de Stoïk en España.

Sofisticación del fraude y clonación de voz por medio de IA generativa

La inteligencia artificial no solo se ha posicionado como herramienta para aumentar la productividad y sofisticar ciertos procesos en las empresas, sino que también se ha convertido en una herramienta de valor, también para los ciberdelincuentes. 

“Mientras que en 2024 estuvo marcado por la irrupción de la IA generativa, el 2025 se convirtió en el año de industrialización de estas herramientas, lo que permitió a los actores maliciosos producir en masa operaciones de fraude y BEC, siendo capaces de imitar entornos legítimos a la perfección y convencer a los usuarios para que se descarguen herramientas maliciosas”, afirma Ramallo.

Entre las técnicas observadas por los ciberdelincuentes destacan la clonación de voz a directivos o proveedores, presionando a los empleados para que les dejen entrar. De esta forma, quieren crear urgencia y desatar el pánico por medio de una autoridad para exigir transferencias inmediatas, resultando ser una estafa muy creíble. Estas técnicas son un sello distintivo de 2025 y se prevé que su empleo siga creciendo en los próximos años, teniendo como objetivo principal entornos con equipos bajo presión, procesos fragmentados y validaciones débiles de pagos o accesos.

Además, la inteligencia artificial está siendo utilizada por los ciberdelincuentes durante la fase de preparación. De esta forma, pueden analizar perfiles en redes sociales para escoger a sus víctimas, extraer patrones de facturación desde buzones de email comprometidos o redactar secuencias conversacionales en varios pasos, entre otras cuestiones.