Las personas mayores se han convertido en un objetivo frecuente de los ciberdelincuentes. Esto se debe a factores como el aislamiento social, determinados sesgos de confianza y una menor exposición a los entornos digitales. Un caldo de cultivo que favorece la proliferación de fraudes online y que es aprovechado mediante técnicas de ingeniería social cada vez más sofisticadas.
Crecimiento del elder fraud en mayores
El elder fraud es para las personas mayores lo que el grooming para los menores. Este tipo de fraude explota las vulnerabilidades de personas con más dificultad para detectar señales de engaño, que padecen soledad o aislamiento social y están menos familiarizadas con el entorno online.
Según el informe Protecting Older Consumers 2024-2025, elaborado por la Federal Trade Commission de Estados Unidos, las pérdidas agregadas reportadas por adultos mayores pasaron de unos 600 millones de dólares en 2020 a 2.400 millones en 2024, lo que supone un aumento del 300%. Además, según precisa el estudio, el número de reportes con pérdidas monetarias creció mucho menos, un 59%, lo que sugiere que se elevó la gravedad económica de muchos de ellos.
En España, el Ministerio del Interior en la última edición publicada de su Balance sobre la cibercriminalidad en España, indica que las Fuerzas y Cuerpos de Seguridad registraron en ese ejercicio 464.801 ciberdelitos, un 1,6% menos que en 2023. Pero también subraya que las estafas informáticas conocidas habían crecido un 490,1% respecto a 2016. Es decir, aunque 2024 rompe la tendencia ascendente del último año, la comparación larga sigue mostrando un aumento muy fuerte del fraude digital. Además, el Plan Mayor Seguridad 2024 aporta un matiz relevante e indica que el porcentaje de personas mayores de 65 años víctimas de delitos no difiere sustancialmente del de otros grupos de edad.
Cifras aparte, “el elder fraud no se explica tanto por la cantidad de víctimas como por la forma en la que se producen los engaños”. Asegura Hervé Lambert, Global Consumer Operation Manager de Panda Security. Quien señala que, “a diferencia de otros delitos digitales, estos fraudes no se apoyan en fallos técnicos, sino en la manipulación psicológica”.
Los atacantes construyen relaciones de confianza, simulan situaciones de urgencia o adoptan identidades creíbles para influir en la toma de decisiones de la víctima.
Anatomía del engaño
“El elder fraud rara vez es un ataque directo”, matiza Lambert. En la mayoría de los casos, se construye como un proceso progresivo en el que el atacante establece un primer contacto aparentemente inocuo. Y, a partir de ahí, va consolidando una relación con la víctima.
Fases del fraude y construcción de confianza
En una primera fase, el objetivo es generar credibilidad. “Puede tratarse de una llamada que simula proceder de una entidad bancaria, un mensaje de un supuesto familiar o el inicio de una conversación en redes sociales”. Explica el experto de Panda Security. El contenido no siempre es sospechoso en sí mismo; lo relevante es que encaje con las expectativas de la víctima.
“A partir de ahí”, dice Lambert, “el fraude evoluciona hacia la construcción de confianza”. El atacante adapta su discurso, mantiene el contacto en el tiempo y refuerza la sensación de cercanía o de autoridad, según el caso. En los escenarios más elaborados, esta fase puede prolongarse durante días o incluso semanas.
Es entonces cuando aparece la manipulación. Las peticiones suelen introducirse de forma gradual y apoyarse en elementos como la urgencia, el miedo o el vínculo emocional. Un problema inesperado, una cuenta comprometida o una situación personal delicada sirven como justificación para precipitar la decisión.
El proceso culmina con la explotación, generalmente en forma de transferencias de dinero, cesión de datos o entrega de códigos de verificación. En muchos casos, lejos de ser un hecho puntual, el engaño se prolonga en el tiempo mediante nuevas solicitudes.
“Aunque el proceso sea lento, el beneficio puede ser muy alto”, apunta Lambert. “Y, aunque lo parezca, muchas de sus fases están optimizadas, con ese primer contacto automatizado, uno de guiones preparados y perfiles falsos que se reutilizan”, explica.
Además, “debemos ser conscientes de que los atacantes no invierten tiempo en cualquiera”, recuerda el experto. “Y si alguien responde es porque ya ha pasado un primer filtro; y si sigue conversando, es más probable que sea vulnerable y se convierta en víctima”. En muchos casos, el atacante no es una sola persona. “Suelen operar en redes organizadas con un buen reparto de las tareas y con turnos para mantener conversaciones constantes y reducir el coste individual del tiempo invertido”.
Un fraude organizado y altamente rentable
Es un fraude de orfebrería que puede generar beneficios muy elevados con un número reducido de víctimas. A diferencia de otros ataques masivos, donde el volumen compensa el bajo rendimiento, en este caso el objetivo es construir relaciones lo suficientemente sólidas como para obtener transferencias de gran cuantía o acceso continuado a los recursos de la víctima.
En algunos casos, el fraude no se limita a un único pago. Una vez establecida la relación, los atacantes pueden prolongar el engaño durante semanas o incluso meses, introduciendo nuevas peticiones o justificando necesidades recurrentes. Esto permite multiplicar el impacto económico de cada víctima y convierte este tipo de estafa en especialmente lucrativa.
Señales de alarma
Detectar este tipo de fraude no siempre es sencillo, “pero existen patrones que se repiten con frecuencia”, apunta el directivo de Panda Security.
Formas habituales de engaño
Uno de los más habituales es la rapidez con la que se genera confianza. El contacto puede volverse intenso en poco tiempo, con mensajes frecuentes y una sensación de cercanía que no se corresponde con la relación real.
También es habitual que aparezcan situaciones de urgencia. Problemas médicos, bloqueos de cuentas o imprevistos personales se utilizan como argumento para precipitar decisiones y evitar que la víctima contraste la información con terceros.
Otra señal de alerta es la resistencia a verificar la identidad. Los atacantes evitan videollamadas, ponen excusas para no encontrarse en persona o rechazan cualquier intento de comprobación. A ello se suma, en muchos casos, la petición de mantener la conversación en secreto, reforzando la idea de una relación exclusiva o confidencial.
Las solicitudes de dinero o de datos sensibles suelen introducirse de forma progresiva. A menudo a través de métodos difíciles de rastrear, como transferencias inmediatas, tarjetas regalo o códigos de verificación.
Canales utilizados por los ciberdelincuentes
Además, “el primer contacto es, en la mayoría de los casos, el momento más invisible del fraude”, señala Lambert. Lejos de técnicas sofisticadas, los atacantes suelen utilizar canales cotidianos, lo que dificulta aún más que la víctima perciba el riesgo desde el principio. “El teléfono sigue siendo una de las vías más habituales”, recalca el experto. “Las llamadas que simulan proceder de entidades bancarias, servicios técnicos o incluso familiares permiten introducir el engaño de forma directa. Además de generar la sensación de urgencia difícil de cuestionar en tiempo real”, dice el experto. “Menos aún con las nuevas técnicas de clonación de voz gracias a la inteligencia artificial”.
Los mensajes SMS y las aplicaciones de mensajería instantánea, donde los atacantes se pueden hacer pasar por contactos conocidos, también son otro de los canales más comunes. Y, en los últimos años, han ganado peso las redes sociales y las plataformas digitales, donde es más fácil construir relaciones prolongadas. “Es el entorno habitual de las estafas románticas, por ejemplo, en las que el contacto inicial puede parecer completamente legítimo”. Asegura Lambert.
Cómo actuar ante un caso de elder fraud
Y es que, en el fondo, estos delincuentes se valen de la falta de compañía de estas personas y de su necesidad de interacción social para atacar. Es su punto débil. “Por eso, cuando se detecta el engaño, lo primero es romper el vínculo con el atacante”, dice el experto de Panda Security. Actuar con rapidez y, sobre todo, no intentar resolver la situación en solitario es fundamental para atajar el problema de raíz. “Los siguientes pasos son contactar con las entidades financieras de la víctima para intentar bloquear o revertir la operación. Además de reunir todas las pruebas posibles para denunciar los hechos ante las autoridades. Y, cambiar contraseñas y revisar accesos, especialmente si se han compartido datos personales o códigos de verificación”.
