El Wangir es sólo la punta del iceberg. Las amenazas actuales se han sofisticado y ya no dependen únicamente de un malware eficaz. “Ahora, muchas explotan la psicología humana, la inteligencia artificial y la confianza digital”. Advierte Hervé Lambert, Global Consumer Operation Manager de Panda Security.
Cómo han evolucionado las estafas digitales en los últimos años
La Comisión Federal de Comunicaciones de Estados Unidos (FCC, por sus siglas en inglés) describe el Wangiri como una estafa de “una llamada y cuelgue”. Esta diseñada para que la víctima devuelva la llamada a números de coste elevado. Sin embargo, el fraude telefónico es sólo una parte del problema. “Los ciberdelincuentes ya no se limitan a las llamadas fraudulentas, sino que recurren cada vez más a correos electrónicos, mensajes SMS, códigos QR, aplicaciones de mensajería y redes sociales. Lo hacen para engañar a sus víctimas y robar dinero, credenciales o información personal”, dice el experto de Panda Security.
Según el FBI, el phishing/spoofing, la extorsión y las brechas de datos personales se situaron entre los ciberdelitos más denunciados en 2024. Mientras que en 2025 el organismo volvió a destacar el phishing, la extorsión y los fraudes de inversión entre las amenazas más frecuentes.
En España, el Instituto Nacional de Ciberseguridad (INCIBE) gestionó más de 122.000 incidentes de ciberseguridad en 2025. Y, viene alertando del crecimiento de campañas de phishing, smishing, quishing y otras formas de suplantación de identidad. Además, “la inteligencia artificial genera mensajes, voces e incluso vídeos falsos capaces de aumentar la credibilidad de las estafas y dificultar la detección”, avisa Lambert.
La evolución de estas amenazas responde a un cambio de estrategia por parte de los ciberdelincuentes. “Si hace unos años el objetivo era infectar el mayor número posible de dispositivos mediante virus o malware, hoy el foco está en manipular el comportamiento de las personas”. Señala el experto de Panda Security. En lugar de vulnerar sistemas, los atacantes intentan vulnerar la confianza.
El Wangiri es un buen ejemplo. No necesita software malicioso ni conocimientos técnicos por parte de la víctima, sólo despertar la curiosidad suficiente para que devuelva una llamada. La misma lógica está detrás de amenazas cada vez más extendidas como el phishing, que suplanta la identidad de empresas o instituciones. El smishing, que utiliza mensajes SMS fraudulentos. O el quishing, basado en códigos QR que redirigen a páginas falsas diseñadas para robar credenciales o datos bancarios.
Las amenazas que están marcando este 2026
El impacto económico de estas estafas ayuda a entender por qué siguen creciendo. En Estados Unidos, los consumidores declararon pérdidas superiores a 15.900 millones de dólares por fraude en 2025, la cifra más alta registrada por la Comisión Federal de Comercio (FTC). El FBI, por su parte, elevó a casi 21.000 millones de dólares las pérdidas vinculadas a delitos facilitados por Internet, con los fraudes de inversión, el compromiso de correo corporativo y las estafas de soporte técnico entre las categorías más costosas. En España, INCIBE gestionó 122.223 incidentes de ciberseguridad en ese mismo ejercicio, un 26% más que el año anterior. Y señaló que los principales motivos de consulta de los ciudadanos fueron los intentos de phishing, vishing o smishing, las compras fraudulentas online y la suplantación de identidad digital.
Fraudes de inversión con IA
Entre las amenazas que más preocupan este año destacan los fraudes de inversión impulsados por inteligencia artificial. “Los delincuentes utilizan anuncios falsos, supuestos expertos financieros o vídeos manipulados con rostros de celebridades para promocionar inversiones en criptomonedas, plataformas automatizadas o productos inexistentes”, señala Lambert. Quien asegura que funcionan, “porque mezclan promesas de rentabilidad rápida con una apariencia de legitimidad”. Para evitarlos, conviene desconfiar de cualquier inversión que prometa beneficios garantizados, comprobar si la entidad está registrada ante el supervisor financiero. Y no transferir dinero desde enlaces recibidos por redes sociales o mensajería.
Clonación de voz y deepfakes
Otra amenaza en auge es la clonación de voz y los deepfakes. En estos casos, los atacantes simulan la voz o la imagen de una persona conocida, como un familiar, un jefe o una figura pública. Lo hacen para pedir dinero, datos o una acción urgente. “Son eficaces”, recalca el experto de Panda Security. “Porque atacan a la confianza y a la reacción emocional”. La medida más sencilla es verificar siempre por un segundo canal. “Colgar y llamar al número habitual de esa persona, pactar palabras clave familiares o confirmar internamente cualquier solicitud de pago”. Recomienda el directivo.
Quishing, smishing y vishing
El quishing también gana terreno. A diferencia del phishing tradicional, utiliza códigos QR para llevar a la víctima a páginas falsas que imitan webs de bancos, empresas de paquetería, parkings, restaurantes o plataformas de pago. “Su fuerza está en que muchos usuarios escanean códigos QR sin comprobar la dirección a la que les llevan”, avisa Lambert. La recomendación es revisar siempre la URL antes de introducir datos, desconfiar de códigos pegados sobre otros carteles y acceder manualmente a la web oficial cuando se trate de pagos o credenciales.
El smishing y el vishing siguen siendo especialmente efectivos. Los mensajes que simulan proceder de bancos, administraciones públicas, empresas de mensajería o plataformas de compraventa buscan que la víctima pulse un enlace, facilite códigos de verificación o confirme una operación. En las llamadas, los delincuentes pueden presionar con supuestos bloqueos de cuenta, cargos sospechosos o problemas urgentes. La regla básica es no compartir nunca claves, códigos de doble autenticación ni datos bancarios por teléfono o SMS, y contactar directamente con la entidad desde sus canales oficiales.
Estafas en compras, viajes y eventos
También crecen las estafas vinculadas a compras online, entradas para conciertos, viajes y eventos masivos. Los atacantes aprovechan la escasez, la urgencia y los precios demasiado atractivos para dirigir a las víctimas a webs falsas o vendedores inexistentes. “Para reducir el riesgo”, sugiere Lambert, “es preferible comprar sólo en plataformas oficiales, desconfiar de ofertas muy por debajo del precio habitual y evitar pagos por transferencia inmediata, criptomonedas o métodos difíciles de reclamar”.
“La primera línea de defensa ya no es sólo tecnológica”, concluye el experto de Panda Security. La prevención empieza por desconfiar de la urgencia. Si un mensaje, una llamada o una web pide actuar de inmediato, pagar, compartir códigos o instalar una aplicación, lo más seguro es detenerse, verificar por otro canal y no tomar decisiones bajo presión.
¿Qué hacer si ya has caído?
Si una persona sospecha que ha sido víctima de una estafa, los expertos recomiendan actuar con rapidez. “El primer paso es contactar con el banco o proveedor del servicio afectado para bloquear operaciones o credenciales comprometidas”, explica Lambert. También conviene cambiar inmediatamente las contraseñas de las cuentas afectadas, activar la autenticación multifactor y recopilar todas las pruebas posibles, como capturas de pantalla, mensajes, correos electrónicos o números de teléfono utilizados en el fraude.
En casos de suplantación de identidad o robo de credenciales, es recomendable revisar la actividad reciente de las cuentas comprometidas y cerrar todas las sesiones abiertas. Si se ha producido una pérdida económica, la denuncia debe realizarse lo antes posible, ya que la rapidez puede ser clave para intentar recuperar los fondos o impedir nuevas operaciones fraudulentas.
“Más allá de las medidas técnicas, la mejor protección sigue siendo la prevención”, recuerda el experto de Panda Security. Los ataques actuales ya no buscan únicamente vulnerar dispositivos o sistemas informáticos, sino provocar una reacción impulsiva en las personas. La urgencia, el miedo, la curiosidad o la confianza son hoy algunas de las herramientas más eficaces de los ciberdelincuentes.
Por eso, aunque el Wangiri pueda parecer una estafa sencilla frente a los sofisticados fraudes impulsados por inteligencia artificial, comparte con ellos el mismo objetivo: conseguir que la víctima actúe antes de pensar. Ya sea una llamada perdida, un SMS alarmante, un código QR, una oferta de inversión milagrosa o un vídeo generado por IA, la mejor defensa continúa siendo la misma. “Detenerse unos segundos, verificar la información por una vía independiente y desconfiar de cualquier petición que exija actuar de inmediato”, señala Lambert.