El mundo de las estafas está evolucionando día a día. Hace unos años el phishing era correo masivo, mal redactado y fácil de ignorar pero hoy nos enfrentamos a ataques prácticamente indetectables. Desde Panda Security hemos observado una evolución notable: las ciberestafas se han convertido en una auténtica obra de ingeniería.
Los criminales ya no lanzan ataques al azar, ahora utilizan inteligencia artificial para redactar mensajes perfectos, suplantar dominios y utilizar certificados de seguridad para que sus webs parezcan oficiales.
Pero, ¿cómo han evolucionado exactamente y cuáles son los fraudes más habituales a los que nos enfrentamos?
¿Cómo han evolucionado el Phishing y el Vishing?
La ciberdelincuencia ha dejado de ser un fraude genérico para convertirse en un ataque de precisión. El objetivo sigue siendo el mismo, robarnos nuestros datos o dinero, pero las herramientas son ahora mucho más sofisticadas y difíciles de detectar.
Phishing 2.0
El phishing ha evolucionado de correos masivos con errores gramaticales a una réplica exacta de los comunicados oficiales que recibimos de nuestro banco, de administraciones públicas o de las marcas que consumimos a diario.
Hoy en día, los criminales utilizan la inteligencia artificial para redactar mensajes con un tono y una ortografía perfecta. Pero la evolución no se queda ahí: ahora suplantan dominios de forma casi impecable y utilizan certificados de seguridad HTTPS para que sus webs parezcan oficiales.
Además, el ataque por SMS o smishing ha ganado una fuerza masiva, enviando alertas falsas sobre paquetes retenidos o cuentas bloqueadas que nos empujan a pinchar en enlaces fraudulentos bajo una falsa sensación de seguridad.
Vishing y Deepfakes
El engaño ha pasado de la pantalla a la voz gracias al vishing. Las estafas a través de llamadas telefónicas se han convertido en una gran amenaza, donde nuestra propia confianza es el objetivo. Los estafadores ya no solo se limitan a fingir ser un operador técnico o un empleado de banca, ahora emplean tecnología de deepfakes.
Mediante el uso de IA, son capaces de clonar voces reales de familiares, amigos o incluso jefes. Esta suplantación de identidad logra un nivel de realismo que nuestro oído ya no puede distinguir de una conversación real, facilitando que bajemos la guardia y entreguemos información sensible o autoricemos pagos sin sospechar.
Los fraudes más comunes en la actualidad: Psicología al servicio del crimen
El motor de los fraudes más comunes es la manipulación. Los atacantes aprovechan nuestras emociones y la urgencia para que tomemos decisiones impulsivas antes de que nuestra lógica pueda intervenir.
El “fraude del hijo en apuros”
Este engaño se ha convertido en una de las estafas más cotidianas a través de WhatsApp. El delincuente contacta con la víctima simulando ser un hijo que ha perdido su teléfono o tiene una emergencia grave. Al jugar con nuestro instinto de protección, la urgencia y el miedo, consiguen que realicemos transferencias inmediatas bajo una presión emocional que nos impide verificar si realmente estamos hablando con nuestro familiar.
El “fraude del CEO”
En el entorno profesional, este ataque sigue siendo crítico y rentable. Los atacantes manipulan psicológicamente a empleados de departamentos de administración o contabilidad, suplantando la identidad de un alto directivo. Bajo una falsa presión de confidencialidad y urgencia máxima, los empleados son coaccionados para autorizar transferencias bancarias importantes, creyendo que están cumpliendo una orden directa de la dirección.
El paso a paso de una estafa: ¿Cómo ocurre y qué debo hacer si caigo?
Todo empieza con un impacto de urgencia: un SMS de una cuenta bloqueada o el desesperado “mamá, necesito dinero”. El objetivo es que el miedo nos haga actuar de forma impulsiva.
Al hacer clic en el enlace fraudulento, entramos en la fase de captura: una web falsa que es una réplica exacta de la original . Es aquí donde, sin sospechar nada, entregamos nuestras claves de acceso a los criminales. El momento definitivo llega cuando el estafador nos solicita el código de verificación que recibimos por SMS.
En ese instante se produce el engaño final: mientras creemos que estamos realizando un paso de seguridad para proteger nuestra cuenta, lo que estamos haciendo realmente es aceptar la transferencia que los atacantes ya han preparado en segundo plano. Es el último movimiento necesario para que el dinero vuele de nuestra cuenta antes de que podamos reaccionar.
Protocolo de actuación y herramientas de protección
Una vez te hayas dado cuenta de que has caído en la trampa, la rapidez es tu mejor defensa. Lo primero es contactar con tu entidad bancaria para bloquear tarjetas y anular cualquier transferencia en curso. El siguiente paso es guardar todas las pruebas posibles: correos electrónicos, enlaces fraudulentos o imágenes. Con esta documentación, debes presentar una denuncia ante la Policía Nacional o la Guardia Civil y, si lo necesitas, solicitar ayuda a organismos expertos como el INCIBE.
Pero hay algo igual de importante: romper el secreto y la vergüenza. Muchas víctimas no denuncian por miedo y ese silencio es el que permite a los criminales seguir operando. Debemos entender que estos delincuentes son profesionales de la manipulación y contarlo no solo nos ayuda a nosotros, sino que alerta a los demás.
Desde Panda Security, recordamos que la concienciación es vital, pero no podemos fiarlo todo a no cometer un error. Nuestro antivirus de nueva generación bloquea automáticamente el acceso a webs falsas. Además, contamos con un gestor de contraseñas gratuito para impedir que el estafador entre en tu vida digital. Y, con una VPN que cifra tu conexión y protege tus datos.
¿Es posible recuperar mi dinero? Seguros y vías de reclamación
Es fundamental que la víctima sepa que la ley nos respalda. En España, gracias a la normativa europea PSD2, el banco tiene la obligación de investigar cualquier operación no autorizada. Si la entidad no puede demostrar que nosotros validamos el pago, tienen la obligación de devolvernos el dinero. De hecho, contamos con un plazo de hasta 13 meses para reclamar si detectamos un cargo extraño en nuestra tarjeta.
Desde Panda Security siempre recomendamos activar mecanismos de recuperación específicos según el tipo de fraude:
- Chargeback: Si la estafa ha ocurrido durante una compra online, puedes solicitar el retroceso del cargo para recuperar los fondos.
- Procedimiento de recuperación: Si el dinero ha salido mediante transferencia, hay que pedir al banco inmediatamente que bloquee la cuenta antes de que los estafadores retiren el dinero.
La situación se vuelve más compleja en estafas de ingeniería social, como el caso del “hijo en apuros”, ya que técnicamente es el usuario quien autoriza el envío bajo engaño. En estos escenarios, aunque los bancos suelen resistirse inicialmente, no estamos desprotegidos. Podemos reclamar si consideramos que los sistemas de seguridad no saltaron ante una transacción que era claramente sospechosa.
