Panda SecurityEn los últimos años, los expertos en ciberseguridad están detectando un aumento de ataques que afectan especialmente a las mujeres. Desde la sextorsión y las estafas románticas hasta el uso de inteligencia artificial para crear deepfakes o suplantar identidades. Conocer cómo funcionan estos ataques y qué buscan los ciberdelincuentes es clave para poder prevenirlos y navegar con mayor seguridad.
Ciberacoso y violencia digital hacia las mujeres
Los problemas de seguridad típicos que suceden al usar internet son relativamente comunes entre la población española, tanto en hombres como en mujeres. Según la Encuesta de Equipamiento y Uso de Tecnologías de la Información y Comunicación en los hogares elaborada por el Instituto Nacional de Estadística (INE), alrededor de un tercio de los hombres y una cuarta parte de las mujeres declara haber sufrido algún tipo de incidente de seguridad online en el último año. Siendo el phishing el problema más habitual.
La foto cambia cuando nos fijamos en otro tipo de ataques, en los que entra en juego un componente claro de daño reputacional, sexual y de control. Como son la sextorsión, el ciberacoso o los deepfake de carácter íntimo, que afectan de forma desproporcionada a mujeres. Para muestra, los datos: Según la Macroencuesta de Violencia contra la mujer 2024, elaborada por el Ministerio de Igualdad y publicada en 2025, el 12,2% de las mujeres ha sido objeto de acoso digital alguna vez, y el 0,8% declara que ha sufrido que alguien compartiera, difundiera o subiera a internet fotos o vídeos de contenido erótico o sexual reales o manipuladas sin su consentimiento.
Y cuando miramos datos comparables por sexo en encuestas oficiales internacionales, se observa una brecha clara. Por ejemplo, en Inglaterra y Gales el acoso es más frecuente en mujeres (13%) que en hombres (7%), especialmente el acoso sexual (8% frente a 3%).
El impulso de la IA hacia la violencia digital contra las mujeres
Además, la IA está amplificando estas violencias. Organismos como UN Women advierten de que la pornografía deepfake y otras formas de abuso generado con IA afectan de manera abrumadora a mujeres.
“Hoy día ya no hablamos sólo de ciberataques en el sentido clásico”, dice Hervé Lambert, Global Consumer Operation Manager de Panda Security. “Sino de una mezcla de fraude, acoso y manipulación que se apoya en redes sociales, mensajería y plataformas de citas. Y, que la inteligencia artificial está acelerando, haciéndola más creíble y barata”. Por eso, para entender qué está pasando y cómo protegerse, conviene bajar al terreno práctico e identificar los 10 ataques más frecuentes que sufren las mujeres.
Los 10 ciberataques más frecuentes que sufren las mujeres
1. Deepfakes íntimos o pornografía no consentida.
Uno de los fenómenos más preocupantes que ha surgido en los últimos años es el de los deepfakes íntimos. “Que no es otra cosa que imágenes o vídeos de contenido sexual creados o manipulados con inteligencia artificial para que parezcan reales. Y, que en la mayoría de los casos, forman parte de una campaña de acoso, chantaje o daño reputacional”. Explica el experto de Panda Security.
A diferencia de otros fraudes digitales, el del deepfake íntimo tiene como objetivo humillar, intimidar o controlar a la víctima. “Y explota estereotipos y dinámicas de violencia sexual que también existen fuera del entorno digital”, advierte Lambert.
Aunque es difícil evitar completamente este tipo de abuso, “sí hay algunas medidas que pueden reducir el riesgo o facilitar la respuesta si ocurre”. Asegura el experto. Quien, señala que lo primero que se debe hacer es “limitar al máximo la circulación de imágenes íntimas en servicios de mensajería, almacenamiento en la nube o redes sociales. Y, proteger el acceso a estas aplicaciones con PIN, huella o reconocimiento facial”. También es recomendable reforzar la seguridad de las cuentas con contraseñas únicas y autenticación en dos factores, para evitar que un atacante acceda a fotos privadas almacenadas en dispositivos o servicios online.
“Otra buena práctica es vigilar la huella digital”, apunta el directivo de Panda Security. Configurar alertas con nuestro nombre o realizar búsquedas periódicas de imágenes puede ayudar a detectar antes la aparición de contenido falso. “Si se identifica deepfake, es importante guardar capturas de pantalla, enlaces y cualquier evidencia antes de solicitar su retirada”, avisa Lambert.
2. Sextorsión “clásica” y sextorsión con IA
La sextorsión es otra de las amenazas digitales que más han crecido en los últimos años. “Se trata de un tipo de chantaje en el que un atacante amenaza con publicar imágenes o vídeos íntimos de la víctima si ésta no accede a determinadas exigencias”. Explica el experto de Panda Security. Quien recuerda que “lo más habitual es que se pida dinero, más contenido íntimo o algún tipo de favor”.
En su forma más tradicional, este material se obtiene mediante engaño. “Por ejemplo, tras una conversación en redes sociales o en una aplicación de citas”, acota Lambert. O a través de acceso no autorizado a cuentas personales. Sin embargo, la llegada de la inteligencia artificial está añadiendo una nueva dimensión a este tipo de fraude. “Ahora, los ciberdelincuentes también pueden fabricar imágenes o vídeos falsos con apariencia realista usando fotografías públicas de la víctima”, advierte el experto. Lo que permite que incluso personas que nunca han compartido contenido íntimo puedan verse envueltas en este tipo de extorsión.
Los atacantes se apoyan en la manipulación emocional y la presión psicológica, es decir, intentan generar miedo y urgencia, para que la víctima actúe sin pensar y acceda a sus exigencias. “Para reducir el riesgo de caer en esta situación, es importante cuidar la configuración de privacidad en redes sociales, limitar quién puede ver nuestras publicaciones, enviarnos mensajes, etiquetarnos o acceder a nuestras historias. Y también conviene desconfiar de perfiles que intentan llevar rápidamente la conversación al terreno íntimo o que proponen videollamadas de carácter sexual sin apenas conocerse”. Aconseja Lambert.
Y, si ya se ha caído en la trampa, lo más importante es no ceder al chantaje. “Pagar o enviar más material rara vez soluciona el problema y, en muchos casos, sólo prolonga la extorsión”, dice el experto. “Mi recomendación es cortar el contacto inmediatamente, conservar todas las pruebas posibles y denunciar el caso tanto en la plataforma donde se ha producido como ante las autoridades”.
3. Romance scam
Las estafas románticas, conocidas como romance scams, “llevan años circulando por internet, pero ahora se han vuelto más sofisticadas gracias al uso de las nuevas tecnologías”. Apunta el experto de Panda Security. En este tipo de fraude, el atacante crea un perfil falso en redes sociales o en aplicaciones de citas y comienza a construir una relación con la víctima. Durante semanas o incluso meses mantiene conversaciones frecuentes, muestra interés personal y genera un vínculo emocional que parece auténtico. “Una vez que la confianza está establecida, llega el verdadero objetivo, pedir dinero, favores económicos o información personal”.
Aunque ahora, gracias a la IA, este fraude está más dirigido y adaptado a la personalidad de cada víctima, “el éxito del engaño no depende tanto de la tecnología como de la manipulación emocional”. Subraya el directivo de Panda Security. Los atacantes dedican tiempo a crear una historia personal que despierte empatía, y poco a poco, introducen pequeñas peticiones económicas que suelen justificarse con una urgencia inesperada. “En muchos casos, las mujeres son objetivo de este tipo de fraude porque el ataque se desarrolla en entornos de citas o redes sociales donde la interacción personal es más directa. Además, los delincuentes pueden explotar con mayor facilidad la confianza y la cercanía emocional”, explica Lambert.
Para reducir el riesgo de caer en una estafa romántica, “conviene verificar siempre la identidad de la persona con la que se interactúa online. Especialmente si la relación avanza rápido o si aparecen peticiones de dinero. Se peude pedir alguna videollamada espontánea o una conversación en directo. Y, así comprobar si ese perfil tiene presencia real en internet revisando redes sociales antiguas y buscando su nombre en buscadores”. Y, si una persona conocida sólo por internet pide dinero, “lo más prudente es cortar la conversación”. Los estafadores suelen solicitar transferencias difíciles de rastrear, como criptomonedas, tarjetas regalo o envíos a través de plataformas poco habituales. “Otra señal de alerta es la insistencia en mantener la relación en secreto”.
4. Voice cloning
La suplantación de identidad es un fraude en el que alguien se hace pasar por otra persona para engañar a terceros. Tradicionalmente se realizaba mediante perfiles falsos o cuentas robadas. “Pero la aparición de la IA ha elevado mucho el nivel de realismos”, avisa Lambert. Quien apunta que “hoy existen herramientas capaces de imitar la voz de una persona a partir de unos pocos segundos de audio. O incluso generar vídeos en los que parece que alguien está hablando o enviando un mensaje que en realidad nunca grabó”.
Este tipo de ataques suelen utilizarse para pedir dinero con carácter urgente, obtener información sensible o acceder a cuentas personales o profesionales. “Como la credibilidad aumenta cuanto más material de audio y video tenga el delincuente, las personas con mayor visibilidad pública son las más vulnerables”, advierte Lambert.
Para reducir el riesgo, “se puede establecer una palabra clave o frase de verificación con familiares o personas cercanas, que permita confirmar la identidad en situaciones urgentes”. Recomienda el directivo de Panda Security. También conviene limitar, en la medida de lo posible, la publicación de audios largos o vídeos en los que aparezca claramente nuestra voz. Y revisar los permisos que concedemos a determinadas aplicaciones que pueden acceder al micrófono o a archivos personales.
Y, si en algún momento se detecta una suplantación, “es importante actuar con rapidez avisando a contactos y personas cercanas para evitar que caigan en el engaño. Además de reportar el contenido o la cuenta fraudulenta en la plataforma que corresponda, iniciar los procesos de recuperación de cuentas si se han visto comprometidas. Y, documentar todas las pruebas posibles para una eventual denuncia”.
5. Brigading
El ciberacoso coordinado, también conocido como brigading, ocurre cuando muchas cuentas atacan de forma organizada a una persona en internet. “Y lo sufren más las mujeres porque suele estar alineado con misoginia y estereotipos de género”, explica el experto de Panda Security. Además, el ciberacoso contra mujeres suele incorporar elementos de violencia sexual o amenazas de carácter personal, lo que aumenta su impacto psicológico y reputacional. El objetivo no siempre es solo criticar o discutir, sino intimidar, desacreditar o silenciar a la víctima. Diversos estudios y organismos internacionales han señalado que este tipo de violencia digital busca, en muchos casos, expulsar a las mujeres de espacios públicos de debate o participación online.
Puede manifestarse en forma de oleadas de insultos, amenazas, difusión de datos personales (doxing) o denuncias masivas para intentar que una cuenta sea bloqueada. “En los últimos años este tipo de ataques se ha vuelto más frecuente y más fácil de amplificar. Esto se debe a que algunos grupos utilizan bots o herramientas de IA para generar mensajes y multiplicar su alcance”, avisa Lambert.
Para reducir el riesgo, una de las primeras medidas es “reforzar la configuración de privacidad en redes sociales”, indica el experto. También aconseja “separar la identidad personal de la pública, usando correos electrónicos o números de teléfono distintos en cada ámbito”. Y, si se produce, “es importante guardar todas las pruebas posibles para acudir a las autoridades”.
6. Doxing y OSINT “de andar por casa”
El doxing consiste en recopilar y publicar datos personales de una persona en internet, como su dirección, teléfono, lugar de trabajo o información familiar, con la intención de intimidarla o acosarla. “Muchas veces, esta información no se obtiene hackeando sistemas, sino rastreando a la víctima en fuentes públicas, como redes sociales, fotografías, perfiles profesionales o comentarios en foros”, asegura Lambert. A esta práctica de búsqueda se le conoce como OSINT (Open Source Intelligence). Y, “hoy en día resulta mucho más fácil gracias a herramientas de IA capaces de cruzar información, reconocer imágenes o detectar patrones en pocos segundos”.
Este tipo de ataques se suelen usar como forma de presión o intimidación dentro de campañas de acoso digital. “Y su objetivo es generar miedo o hacer que la víctima se sienta vulnerable fuera del entorno online”.
Para reducir el riesgo, “conviene invitar compartir rutinas o ubicaciones en tiempo real, y revisar si las fotografías que publicamos incluyen datos o geolocalización”. Advierte el experto de Panda Security. Quien también recomienda “comprobar qué información personal aparece en registros públicos, directorios o bases de datos accesibles, y solicitar su eliminación cuando sea posible”.
7. Stalkerware/spyware en el móvil
El stalkerware es un tipo de software que se instala en el teléfono para espiar la actividad de una persona sin su conocimiento. “Estas aplicaciones pueden acceder a la ubicación, los mensajes, las fotos, las llamadas o incluso activar el micrófono o la cámara del dispositivo”, explica Lambert. A diferencia de otros ataques informáticos, muchas veces no se trata de delincuentes desconocidos, sino de parejas o exparejas que buscan controlar a la víctima, algo que distintos organismos internacionales encuadran dentro de la violencia facilitada por la tecnología.
Este tipo de vigilancia afecta en mayor medida a mujeres. “Porque suele estar vinculado a dinámicas de control en situaciones de violencia de género. Donde el agresor intenta supervisar movimientos, relaciones o comunicaciones para mantener poder sobre la víctima”, cuenta el experto.
Para reducir el riesgo, “conviene revisar periódicamente los permisos de las aplicaciones y los administradores del dispositivo. Así como mantener el sistema operativo actualizado”, aconseja Lambert. Quien también considera importante “utilizar bloqueos de seguridad fuertes y evitar dejar el móvil desatendido”.
8. Phishing hiperpersonalizado con IA
El spear phishing es una versión más sofisticada del phishing tradicional. “En el que los ciberdelincuentes utilizan información sobre la víctima para crear correos o mensajes que parecen completamente legítimos”, explica el directivo de Panda Security. Con la ayuda de la inteligencia artificial, estos mensajes están cada vez mejor escritos, sin errores y adaptados al contexto de la persona. Simulan comunicaciones de empresas de mensajería, bancos, recursos humanos o incluso invitaciones a eventos profesionales.
Para evitar caer en estas trampas, “conviene verificar siempre los enlaces antes de hacer clic, comprobar que el dominio corresponde realmente a la empresa que dice enviar el mensaje y evitar abrir adjuntos inesperados”. Dice Lambert. También es recomendable utilizar autenticación en dos factores y desconfiar de cualquier mensaje que pida credenciales, datos personales o pagos con carácter urgente.
9. Secuestro de cuentas
El secuestro de cuentas ocurre cuando un atacante consigue acceder al perfil de una persona en redes sociales o aplicaciones de mensajería y toma el control de él. “A partir de ese momento puede enviar mensajes a los contactos, pedir dinero haciéndose pasar por la víctima o incluso utilizar la cuenta para difundir contenido ofensivo o intimidatorio”. Explica el directivo de Panda Security. En muchos casos, el acceso se consigue mediante técnicas como el phishing, el SIM swapping (duplicar la tarjeta SIM para recibir los códigos de verificación) o simplemente aprovechando contraseñas reutilizadas que han aparecido en filtraciones de datos.
Este tipo de ataques puede tener un impacto especialmente fuerte cuando se dirige a mujeres, ya que las cuentas personales suelen tener un alto valor social y reputacional. Si un atacante utiliza ese perfil para enviar mensajes inapropiados, acosar a terceros o publicar contenido sexualizado, el daño a la imagen de la víctima puede extenderse rápidamente entre contactos, seguidores o incluso en el entorno profesional.
Para reducir el riesgo, “es fundamental activar la autenticación en dos factores, preferiblemente mediante una aplicación de verificación y no solo por SMS. También, utilizar contraseñas únicas y robustas para cada servicio y activar alertas que avisen cuando se produce un inicio de sesión desde un dispositivo desconocido”. También conviene revisar periódicamente los dispositivos conectados y las sesiones activas para detectar accesos sospechosos y configurar contactos de confianza o códigos de recuperación para recuperar el acceso a la cuenta rápidamente en caso de que alguien intente secuestrarla.
10. Reclutamiento y falsas oportunidades
Otro tipo de fraude que se está viendo con frecuencia en internet es el de las falsas oportunidades profesionales o económicas. Todo suele empezar con un mensaje atractivo, “una oferta de trabajo muy bien remunerada, un supuesto casting para publicidad, o una propuesta de inversión”, enumera Lambert. El objetivo es captar la atención de la víctima y generar confianza. A partir de ahí, el estafador empieza a pedir pagos por adelantado, documentos personales o incluso material íntimo con diferentes excusas.
La IA está facilitando este tipo de engaños, ya que permite crear páginas web aparentemente profesionales, perfiles falsos muy creíbles y conversaciones persuasivas que parecen auténticas. En algunos casos, estas estafas se dirigen especialmente a mujeres porque se apoyan en la sexualización de ciertas oportunidades, como castings o trabajos de imagen, o en promesas de ingresos rápidos vinculados a relaciones personales.
Para evitar caer en este tipo de trampas, “es importante verificar siempre la empresa o la persona que hace la propuesta, comprobar si existe una web oficial, si el dominio es legítimo, buscar reseñas. O incluso revisar perfiles profesionales en plataformas como LinkedIn”. Y, por supuesto, “no enviar documentos sensibles como copias del DNI, datos bancarios o información personal si no existe una necesidad clara y un canal seguro. Y, sobre todo, si una supuesta oferta exige pagar dinero por adelantado o enviar “pruebas” de carácter íntimo, lo más probable es que se trate de una estafa”.
