Panda SecurityLa ciberdelincuencia no entiende de idiomas, pero sí de cifras, y el español es la segunda lengua nativa más hablada del mundo, sólo por detrás del chino. Y también una de las más utilizadas por las comunidades de hackers. Su uso abre la puerta a más de 559 millones de personas en todo el mundo, lo que hace que los ataques en español proliferen y se sofistiquen.
El español como vector de ataques digitales
¿Sabías que cuando un mensaje se procesa con facilidad, en tu lengua, con palabras familiares y una estructura sencilla, el cerebro tiende a juzgarlo como más verdadero? Es lo que se conoce como el efecto de verdad ilusoria. La fluidez y la familiaridad reducen el esfuerzo mental que se necesita para procesar la información, lo que nuestro cerebro interpreta como un signo de veracidad. Este sesgo cognitivo también es aprovechado por los ciberdelincuentes para aumentar el éxito en sus ataques. Está demostrado que la lectura en nuestro propio idioma incrementa la persuasión y la relajación de nuestras defensas.
Precisamente, en un reciente artículo publicado en el marco de la conferencia académica y profesional sobre seguridad y privacidad ‘usables’ del Twenty-First Symposium on Usable Privacy and Security (SOUPS 2025) celebrado en Seattle (EE. UU), se señaló un dato experimental interesante: el 45% de nativos de inglés declararon haber caído en phishing en su idioma, frente al 32% de hablantes no nativos. La lengua, por tanto, es un factor determinante, aunque no decisivo, en el ámbito de la ciberseguridad, y hay cierto tipo de amenazas que se producen más entre la comunidad de habla hispana que en el resto.
Cómo el idioma potencia el phishing y la ingeniería social
“Debemos tener claro que los ciberdelincuentes no eligen a sus víctimas por la gramática, sino por la oportunidad. Es decir, los atacantes siempre se dirigirán hacia donde haya más usuarios, más dinero en movimiento y más posibilidades de cobrar”, aclara Hervé Lambert, Global Consumer Operation Manager de Panda Security, “pero, también hay que señalar que los hacker cada vez ‘hablan’ mejor español, porque localizan sus campañas para aumentar su tasa de éxito”.
Y es que siempre hay cierto tipo de amenazas que funcionan mejor en español, por la cultura, los hábitos y los contextos locales. “En el mundo de habla hispana se usa de forma mayoritaria el móvil y, en concreto, aplicaciones como el Whatsapp y el SMS, que hace más fácil que proliferen ataques de ingeniería social como el smishing, vishing y quishing que, además, apelan a la inmediatez y la urgencia”, explica Lambert. “También es habitual”, dice el experto de Panda Security, “que se usen señuelos hiperlocales muy creíbles que imiten, por ejemplo, instituciones como la DGT, la AEAT y Correos, bancos y empresas de suministros con un vocabulario específico y bien elegido y procedimientos reales como tasas, multas, citas o verificaciones, que elevan la tasa de clic”.
Entre el mundo hispanohablante también se ha elevado el uso de pagos instantáneos/P2p/. Sin ir más lejos, en España, y según datos del Banco de España, el número de operaciones de pago con dinero electrónico aumentaron en el segundo semestre de 2024 un 27% frente al mismo periodo del año anterior, alcanzando los 148 millones de operaciones. Esta mejora “facilita fraudes como el Bizum inverso o cambios de IBAN en empresas por su rapidez y su apariencia de normalidad”, advierte el directivo de Panda Security.
La familiaridad lingüística genera malware
Leer en tu lengua y con tu norma, es decir, que te hablen de tú o de usted cuando usas el castellano, o de VOS y otros giros locales reduce el esfuerzo y aumenta la sensación de veracidad, “porque esos pequeños detalles ortográficos son los que marcan la diferencia y los que hacen que nos relajemos”, dice Lambert, “y, también, de los que se valen los hacker para lanzar, por ejemplo, malware y ciertas campañas ‘nativas’.” Así, “hay familias de troyanos bancarios latinoamericanos y toolkits de phishing que ya vienen con plantillas en español, para mejorar y acelerar los montajes y los rebrotes”. De esta manera, se producen brechas en marcas con mucha base hispana y se presentan incidentes en banca, energía o retail con clientes de España y Latinoamérica que se traducen en oleadas de phishing dirigido en español. “
La desinformación y el lenguaje técnico aumentan el riesgo
Y la difusión social rápida no ayuda”, lamenta Lambert, “sino todo lo contrario, porque los grupos de familia y amigos en mensajería instantánea favorecen la viralización de bulos y enlaces maliciosos que suelen venir recomendados de alguien de confianza”. Además, y por si esto fuera poco, “la fragmentación terminológica en defensa, con material de concienciación a veces anglocéntrico o poco adaptado al léxico local resta eficacia a la formación”, avisa el experto.
En ciberseguridad “lo que no se entiende, no se cumple”, recuerda el directivo de Panda Security, y “tenemos la costumbre de abusar de tecnicismos en inglés que no llegan a toda la ciudadanía”. Así, “muchas veces se traduce de manera literal o sin contexto ciertos avisos que hablan de smishing, BEC, MFA, EDR… sin explicar qué son, y la gente, por tanto, o no actúa o actúa tarde; en otras ocasiones se excede con el tono técnico y se envían correos o se publican políticas de privacidad y de seguridad que implican un alto nivel de lectura; y otras veces se usan ejemplos de fuera, de formaciones como la IRS o la UPS en lugar de casos reales locales con la AEAT o la DGT”.
El idioma es lo que vertebra una sociedad, y la lengua, con sus giros y sus estilos únicos, es lo que nos une. También en términos de ciberseguridad, aunque a veces se nos olvida. “Por eso, se debería elaborar un glosario vivo y coherente y usarlo en todos los canales que defina todos los tipos de amenazas en español y de forma clara; utilizar ejemplos reales de instituciones y marcas locales; lanzar avisos con pasos concretos al final como ‘no abras el enlace, entra en la app oficial’; y publicar una guía de estilo de seguridad que se revise trimestralmente”.
El objetivo: Menos incidentes, también en español
Si aterrizas la ciberseguridad al idioma y al contexto local, obtienes mejoras medibles, “como menos clics y menos credenciales entregadas en los casos de phishing y smishing; menos pagos indebidos por cambio de IBAN en los casos de fraudes del proveedor y bancos; y menos secuestros de cuentas y accesos por quishing, en los casos de estafas a través de Whatsapp y QR”, reflexiona Lambert.
Además, es lógico pensar que los usuarios identifican mejor el cebo en su idioma, lo que facilita la detección temprana de engaños, “y hay menos ruido y tickets por confusión de términos en helpdesk”.
Con un lenguaje comprensible y contextualizado “es más sencillo auditar las formaciones en ciberseguridad, y las coberturas técnicas se adoptan mejor, porque los usuarios llegan a entender el porqué de activar el doble paso al entrar en sus cuentas o apps (MFA/2FA); la razón para proteger sus correos para que no sufran suplantaciones de identidad, con reglas como DMARC/SPF/DKIM, que le dicen a Internet qué servidores pueden enviar emails a los domicilios de sus usuarios y ponen sellos para probar que esos mensajes son auténticos; y el motivo por el que es aconsejable seguir el proceso de pagos sin atajos para evitar fraudes tipo BEC”.
El lenguaje nunca es un adorno. Tampoco en términos de ciberseguridad, donde se convierte en un garante de seguridad, “porque cuando un mensaje nos llega en nuestro idioma su credibilidad aumenta y nos convertimos en blancos más vulnerables”. Por eso, “adoptar el discurso de seguridad al idioma y a la realidad del usuario es tan importante como desplegar un escudo ante ciberataques”, concluye Lambert.
