Panda SecurityEste año nos ha dejado episodios dignos de series de ciencia ficción, desde el apagón del pasado mes de abril que llevó a negro a toda España, hasta ciberataques que nos hicieron pensar que estábamos en medio del fuego cruzado de una supuesta ciberguerra digital. Pero, mientras mirábamos hacia esos escenarios, seguíamos cayendo en ataques menos sofisticados y más torpes a simple vista. Este es el ranking de los engaños más cutres de este 2025 que acaba de terminar.
El diccionario de la Real Academia Española (RAE) define la palabra ‘cutre’ como algo tacaño, miserable, pobre, descuidado, sucio o de mala calidad. Pero no hay ninguna acepción que indique que algo cutre es inofensivo. Todos los días nos encontramos con ejemplos que nos recuerdan que hacer las cosas mal trae consecuencias, como cuando nos tropezamos con una acera en mal estado que nos provoca una rotura en la muñeca, cuando nos hacen una reparación chapucera en casa que luego nos cuesta dinero y tiempo, o cuando ahorramos en material sanitario que reduce la protección y aumenta los riesgos.
En el ámbito de la ciberseguridad lo cutre también se paga caro. Para entender la dimensión del problema, basta mirar los datos oficiales de Estados Unidos. El último informe del FBI sobre delitos en Internet cifra en miles de millones de dólares anuales las pérdidas asociadas a fraudes que no destacan precisamente por su sofisticación técnica, sino por su simplicidad. Se trata de engaños vía phishing, suplantaciones de identidad o estafas de “soporte técnico”, que no se circunscriben en exclusiva al otro lado del charco.
En España, los indicadores oficiales también apuntan en la misma dirección. Según los datos del Instituto Nacional de Ciberseguridad (INCIBE), en 2024 se gestionaron en nuestro país más de 97.000 incidentes de ciberseguridad, y fue el fraude online, es decir, phishing, smishing y vishing, el tipo de engaño que concentró decenas de miles de casos.
Pero aquí no estamos hablando de engaños sencillos que utilizan la estrategia de la pesca de arrastre, sino de estafas torpes y mal ejecutadas que, sin embargo, se han cobrado más de una víctima. “La paradoja, cuanto menos, es palpable, porque muchos de los ataques que hemos visto en 2025 han sido tan deslucidos que, incluso, han pasado por ciertos y han generado confianza”, reflexiona Hervé Lambert, Global Consumer Operation Manager de Panda Security, antes de lanzar un ranking diferente de los principales (y más cutres) ciberataques del año:
1. La del Bertín Osborne fake que charla con el arzobispo sanador
“Es uno de los últimos cibertimos que hemos detectado en este 2025, pero es de los más tronchantes”, asegura Lambert, “por eso mismo”, continua, “lo hemos destacado en primera posición, porque aparenta ser una especie de chiste que esconde intenciones turbias”. Se trata de una suerte de anuncio publicado en medios “serios” que patrocina un supuesto tratamiento contra el dolor de rodillas y caderas.
Una especie de publicidad nativa diseñada para no levantar sospechas en la que, si pinchas, te lleva a un vídeo en el que aparece un Bertín Osborne creado con inteligencia artificial que charla con un arzobispo, también animado con IA, que habla como sanador sobre la fórmula para rejuvenecer el cuerpo. “Una escena que combina dos figuras de autoridad, la del famoso cercano y reconocible, y la de un ministro de la iglesia al que se le presume moralidad y espiritualidad, con el objetivo de generar confianza emocional para poder desactivar el escepticismo propio desde el primer minuto”. explica el experto de Panda Security.
El vídeo, además, es deliberadamente largo. Y no por casualidad. “La duración no es un error, sino una parte esencial del timo”, cuenta Lambert, “y cumple varias funciones a la vez, pues expulsa rápidamente a aquellos que dudan o sospechan, y deja sólo a quienes tienen tiempo, sufren un problema real y quieren creer que existe una solución milagrosa”. Además, “crea un efecto de compromiso, porque cuanto más tiempo se invierte en verlo más difícil resulta aceptar luego que todo es falso, y se reserva la promesa imposible para el final, cuando el espectador ya está emocionalmente alineado y con la guardia baja”.
Durante ese recorrido se lanzan consejos tan disparatados como peligrosos, se mezclan medias verdades con pseudociencia y se simula un discurso profundo y riguroso que no aporta ninguna evidencia verificable. La extensión del vídeo refuerza esa falsa sensación de seriedad y prepara el terreno para el desenlace: el momento del pago o de la cesión de datos personales. El clic final no llega al principio, sino al final del proceso, cuando el pensamiento crítico está agotado y la confianza ya ha sido cuidadosamente manipulada.
“El resultado es un cibertimo que cumple punto por punto con el manual clásico del fraude digital, suplantación de identidades, abuso de la autoridad, promesas milagro y un embudo diseñado para seleccionar, convencer y explotar a la víctima”, advierte el directivo de Panda Security. Que todo ello se presente de forma burda o incluso ridícula no lo hace menos peligroso; al contrario, es precisamente esa apariencia de cutrez la que permite que el engaño siga funcionando.
2. La de la multa falsa en el parabrisas con un QR para pagar
La medalla de plata se la lleva un timo que podría ser parte de un guión de humor absurdo, pero que, contra todo pronóstico, ha funcionado, y se ha detectado durante este año en varias ciudades españolas generando, incluso, varios avisos públicos.
El engaño es tan simple como desconcertante y consiste en dejar en el parabrisas del coche una supuesta notificación de sanción que invita a escanear un código QR para ver la infracción o pagar con descuento. Un timo en toda regla, porque la supuesta multa no viene acompañada de ningún sobre oficial, ni identificación clara de ningún agente.
“Desde el punto de vista técnico, el timo es de lo más cutre”, se lamenta Lambert, “ya que se trata de un tipo de phishing bastante rudimentario en el que se intenta imitar una web oficial con textos con errores y escasa información”. Pero eso es precisamente lo que lo hace tan eficaz. “El fraude no se apoya en la sofisticación, sino en el contexto”, apunta el experto. “Encontrarse la multa en el coche activa de inmediato una lectura distinta a la de un correo o un SMS, porque la víctima piensa que si está ahí, físicamente, es que debe ser real”, explica, “y el miedo a una sanción mayor, la culpa preventiva y la tentación de cerrar cuanto antes el problema reducen la fricción al mínimo y la persona deja de pensar para actuar”.
Además, la propia cutrez actúa como filtro. “Quien decide escanear un QR pegado a un papel anónimo suele hacerlo con prisa, preocupación o desconocimiento”, dice el experto. Para el estafador, sin embargo, el coste es ridículo y la recompensa enorme, “porque basta con que una pequeña muestra de todas las posibles víctimas caiga en el timo para que éste sea rentable”.
3. La del paquete que no llega porque falta el número de casa
La hemos elevado al podio de los cibertimos burdos, porque en estas fechas es bastante popular. “Aquí no hay IA, ni suplantaciones elaboradas, ni grandes artificios, sólo un SMS escueto que suele decir algo parecido a su paquete no ha podido entregarse porque falta el número de casa”, explica Lambert.
El engaño de la paquetería fantasma es uno de los más habituales y reciclados porque es eficaz. “Desde el punto de vista formal, el engaño es pobre”, dice el experto. “El texto suele estar mal redactado, el enlace no es reconocible y la web de destino imita de manera bastante torpe a las páginas de seguimiento de envíos”, explica Lambert, quien, sin embargo también admite que “funciona, a pesar de que no resistiría una comprobación de seguridad mínima”. La principal razón es que encaja con una expectativa cotidiana. Y es que en un contexto de compras online cada vez mayor, casi todo el mundo está esperando un paquete en algún momento “y un mensaje de este tipo no tiene porqué ser preciso, sólo plausible, ya que el cerebro suele completar los huecos que faltan por sí solo”, indica el directivo de Panda Security.
A esto se le suma el miedo a la pérdida. “El mensaje no asusta ni amenaza, simplemente sugiere que, si no se hace nada, el paquete no llegará, lo que activa en nosotros una reacción automática que nos empuja a actuar para evitar perder algo que ya damos por hecho”, aclara Lambert.
La ambigüedad es otro de los grandes aciertos de este timo, porque no menciona claramente la empresa de reparto “para que la estafa se pueda adaptar a la víctima sin saber nada de ella”. Y juega con una experiencia previa muy común: a mucha gente se le olvida indicar algún dato clave de la dirección de entrega. “Una cotidianidad que desactiva la alerta y difumina la frontera entre lo legítimo y lo fraudulento”, señala Lambert.
En el fondo, este es un timo que intenta aprovechar el piloto automático con el que muchas veces vivimos.
4. La de la petición de dinero desde la app del banco
Este engaño es tan simplón que sorprende su eficacia. No requiere hackeos, virus ni ingeniería técnica avanzada. “No hace falta que nadie se cuele en tu dispositivo”, explica Lambert. La estafa se basa en algo mucho más básico, confundir una solicitud de dinero con un pago recibido. Y, aunque parezca increíble, con eso basta.
El timo suele arrancar casi siempre en entornos de compraventa de segunda mano, aplicaciones y marketplaces donde el intercambio de dinero entre particulares es rápido, frecuente y aparentemente seguro. El estafador se interesa por un producto, muestra prisa por cerrar la operación y propone pagar de inmediato con una frase del tipo: “Te hago ahora mismo un Bizum”.
La trampa aparece en el siguiente paso. En lugar de enviar dinero, el timador manda una solicitud de cobro y, acto seguido, escribe algo como: “Ya te lo he enviado, te tiene que salir para aceptar” o “Te llega una notificación, confirma y listo”. Es una frase cuidadosamente diseñada para sonar lógica y encajar con la idea de que estas plataformas funcionan mediante confirmaciones. En realidad, lo que la víctima está aceptando no es un ingreso, sino un pago.
“El timo es burdo porque, en el fondo, no rompe nada”, resume Lambert. “No entra en el banco de la víctima, no vulnera la plataforma de pagos ni instala malware; solo empuja a cometer un error de interpretación”. Es casi un truco de magia verbal, apoyado en la ambigüedad del lenguaje y en una interfaz pensada para la rapidez, no para la reflexión.
Y ahí reside buena parte de su eficacia. Las aplicaciones de pago instantáneo están diseñadas para resolver en segundos lo que antes requería transferencias, IBAN y esperas. Ese diseño fomenta un comportamiento automático: notificación, botón, confirmación. Además, el contexto de compraventa coloca a la víctima en modo transacción, donde pagar es lo normal y cuestionar cada paso no lo es.
A eso se suma un factor decisivo: la responsabilidad percibida. Como el dinero sale tras una acción autorizada por la propia víctima, muchos afectados sienten que “ha sido culpa suya”, dudan a la hora de denunciar o retrasan la reacción. Esa mezcla de confusión y vergüenza juega a favor del estafador y explica por qué un engaño tan cutre, tan poco sofisticado, sigue funcionando.
5. La de renovar la tarjeta sanitaria
Cerramos este ranking tan especial con un timo que no destaca tampoco por su sofisticación técnica. Se trata del engaño que informa, a través de un SMS, de la necesidad urgente de renovar la tarjeta sanitaria para no perder el acceso al sistema de salud. Una estafa que en 2025 se ha detectado en varias campañas y ha obligado a emitir avisos por parte de las autoridades.
“Desde el punto de vista formal, el engaño parte de una premisa extraña (la idea de que la tarjeta sanitaria caduca y debe renovarse de forma urgente) y se apoya en páginas web mal construidas, con diseños poco cuidados y formularios desproporcionados que piden más datos de los razonables”, explica Lambert. Pero, funciona, “porque apela a una de las preocupaciones más básicas, la sanidad”. Además, el timo se camufla muy bien en la niebla burocrática, “porque a veces la Administración sí envía notificaciones, sí solicita trámites y sí obliga a gestionar documentos en determinados plazos”, aclara el experto, “aunque este tipo de exigencias administrativas no suelen solicitarse a través de mensajes de texto, sino por otros canales de carácter más oficial”.
Este tipo de fraude es especialmente eficaz con personas mayores o con menor alfabetización digital, que pueden no distinguir con claridad entre un dominio oficial y una página clonada, o que asumen que cualquier comunicación con logos institucionales es legítima. El diseño pobre, lejos de levantar sospechas, puede incluso reforzar la sensación de estar ante una web “oficial pero poco cuidada”, algo que muchos asocian erróneamente con la administración.
Por último, conviene subrayar que el objetivo no siempre es el dinero inmediato. En muchos casos, este timo busca capturar una identidad completa. Los datos recopilados tienen un valor enorme en el mercado del fraude y pueden reutilizarse para otros engaños posteriores, más elaborados o más rentables.
