Informe COPE sobre las estafas digitales en España

Solo en el primer trimestre de este año, se produjeron 106.800 infracciones penales por estafas informáticas en nuestro país, una media de 1.200 al día. Ya son el 18% de todos los delitos penales en España, según el ministerio del Interior. En una década, estos delitos se han incrementado casi un 500%. Solo se denuncia una de cada cinco ciberestafas. Brechas de seguridad y desconocimiento, dejan al ciudadano expuesto y desarmado. 

16.000 millones de claves de acceso se filtraron este año, en la mayor brecha registrada hasta el momento. El robo de contraseñas aumentó en todo el mundo un 21% de 2023 a 2024, tanto a particulares como a corporaciones públicas y privadas. En nuestro país, según datos del CIS, casi la mitad de la población ha sido objeto de un intento de ciberestafa en el último año. Más proclives, los jóvenes de 24 a 34 años, pero pierden más dinero los mayores de 60.

más sobre estafas

El consejo de la Guardia Civil ante estafas por Internet: "Aprender cultura de ciberseguridad"

En el primer trimestre de 2025, se produjeron 106. 801 infracciones penales por estafas informáticas, según el balance del ministerio del interior. Representan el 87,8% de toda la cibercriminalidad y el 18,1% de toda la delincuencia. Han caído un 3,5% sobre el mismo período de 2024. El año pasado se registraron 412.850 ciberestafas penadas: 10 años antes, en 2.014, fueron 32. 842. En apenas 9 años, siempre según los datos del ministerio del Interior, las estafas informáticas conocidas crecieron un 488,3%.

Si nos vamos al informe del INCIBE, el Instituto Nacional de Ciberseguridad, gestionaron el año pasado 97.348 incidentes de ciberseguridad, lo que representa un aumento del 16,6% en comparación con 2023. De estos, el 67,6% (65.808 incidentes) afectaron a la ciudadanía y el 32,4% (31.540 incidentes) a empresas, incluyendo pymes, micropymes y autónomos. Además, se detectaron y notificaron 183.851 sistemas vulnerables relevantes, susceptibles de ser explotados por ciberdelincuentes para acceder a redes o provocar incidentes y gestionaron 341 incidentes en empresas vitales para el funcionamiento de la sociedad, como el transporte, el sistema financiero y tributario, tecnología de la comunicación y la información, energía y agua.

¿CUÁLES SON LOS MÉTODOS MÁS UTILIZADOS?

Malware, con 42.136 casos, incluyendo virus y otros softwares maliciosos que afectan dispositivos. De estos, 357 fueron ataques de ransomware, donde los ciberdelincuentes bloquean sistemas o archivos, exigiendo rescates económicos. 

Fraude online, con más de 38.000 incidentes, representando el 43,18 % del total. El phishing. Lidera esta categoría con 21.571 casos, como correos falsos simulando ser bancos o empresas conocidas para robar datos personales. Se identificaron 7.470 intrusiones e intentos de acceso no autorizados a información de redes o sistemas informáticos de empresas y hogares, como el hackeo de una red doméstica que expone datos familiares. Se gestionaron 2.122 incidentes de tiendas online fraudulentas, afectando a consumidores engañados por plataformas falsas.

Los temores más expuestos al INCIBE por los ciudadanos han sido el vishing, con llamadas suplantando a entidades de diversa índole (compañías energéticas, entidades bancarias y operadoras telefónicas, principalmente). Los casos de smishing sobre organismos públicos, servicios de paquetería y entidades bancarias han destacado en el transcurso de 2024 con un mayor impacto en los últimos meses del año y las consultas relacionadas con la suplantación de identidad a través del robo de cuentas en aplicaciones y RRSS, vinculadas con compras fraudulentas.

Las empresas mostraros especial preocupación por la suplantación de identidad ha sido la temática de mayor relevancia durante el año, principalmente mediante el duplicado de las páginas web de empresas y la suplantación de sus RRSS. 

En la segunda mitad del año han cobrado importancia las campañas de dirigidas a empresas y otros organismos, el fraude BEC (Business Email Compromise), Cuando los ciberdelincuentes suplantan a líderes de confianza para engañar a los empleados para que envíen dinero o datos.

La OCU ha hecho una encuesta entre sus asociados, y el 97% confiesan que han recibido llamadas fraudulentas e intentos de estafas a través de internet.

expuestos y desarmados

Toda nuestra vida transcurre entre algoritmos y contraseñas, verificaciones biométricas. Las comunicaciones, las transacciones, el trabajo, incluso las relaciones sociales y las comunicaciones familiares. El modo virtual ocupa cada vez más espacio, es ya una forma de vivir, el campo se extiende y ahí está una de las razones más poderosas que explican la vulnerabilidad. 

“Hay una mayor exposición a la tecnología- razona Deepk Daswani, ingeniero informático experto en Ciberseguridad- Prácticamente toda la vida que ejecutamos la ejecutamos a través de la tecnología. Más allá de la vida física, toda nuestra vida digital, tanto personal como profesional, que a veces no existe barrera, se desarrolla a través de un montón de servicios de programadores mediante tecnología y estamos  mucho más expuestos porque la superficie de ataque es mucho mayor”.

Las compañías chequean brechas de seguridad, pero siempre hay alguna nueva por la que se cuelan, de hecho, el experto nos asegura que en la última década trabajan para proteger los catos de sus clientes, pero sobre todo, para rechazar el ataque, no para prevenirlo porque “por muy preparados que estés nadie puede protegerte  respecto a lo que no se conoce y es nuevo”.

CIBERESTAFAS A CIUDADANOS

Marta sufrió una ciberestafa al intentar vender un producto de segunda mano en una plataforma. “Costaba 100 euros. Me llamó una persona interesada y estuvimos hablando mucho rato. Mer dio confianza y a la hora de pagar me dijo que tenía problemas para hacerlo y me mandó un link. Lo abrí y era una página exactamente igual a la de la plataforma y me pedía hacer pago a la tarjeta en vez de a la cuenta. Me llegó el dinero a la cuenta, pero luego me lo quitaron. Tuve que dar de baja la tarjeta y esta persona desapareció”.

Peor es el caso de Margarida. En este caso su hija vendía un producto de segunda mano que costaba 150 euros. “Le pidieron hacer el pago por Bizum, les explicó que no tenía y recurrió a nosotros. Nos llamaron y nos enviaron un enlace, en donde aparecía una ventana exactamente igual a la de nuestro banco”. 

Explica Margarida que su marido “introdujo las claves y nos llegó un mensaje de alerta. Mi marido contestó inmediatamente que no era él el que estaba entrando desde el lugar que se nos indicaba y estuvo 40 minutos intentando hablar con atención al cliente de nuestra entidad. Un minuto después de enviar el mensaje confirmando que no era él el que intentaba entrar en la aplicación, nos habían retirado ya 10.000 euros de la cuenta. El banco la bloqueó, pero ya era tarde y no hemos vuelto a ver el dinero”.

Dos mil euros le estafaron a Jorge al que dejaron sin vacaciones. Hizo una reserva en una plataforma conocida para pasar unos días de vacaciones en Palma de Mallorca. 

“Nos dijeron que si pagábamos el 50% como señalización nos hacían un 10% de descuento. Todo se habló a través de la plataforma, pero en algún momento nos sacaron de la plataforma sin darnos cuenta, pero el correo era el mismo, todo parecía correcto e hicimos la transferencia. 

Al día siguiente me llama una señora que decía ser la dueña de la casa, y nos preguntó si habíamos hecho la reserva de su casa. Al decirle que si nos contó que nos habían estafado, que a ella no le llegaban los correos. Denunciamos, pero perdimos los casi 2.000 euros y nos quedamos sin vacaciones. Luego nos llamó la policía para pedirnos toda la documentación y nos dijeron que aunque no podían darnos información, era un caso muy gordo”.

Son solo dos ejemplos de los miles que ocurren a diario. ¿Quién no ha recibido una llamada fraudulenta? 

¿Quién no ha recibido en su teléfono o en su correo un enlace del banco, por ejemplo, con la dirección o el alias con el que nuestra entidad se comunica habitualmente con nosotros? ¿A quién no le han ofrecido el trabajo de sus sueños? Cada vez más sutiles, cada vez más depurados, los ciberdelincuentes estrechan el cerco y las compañías tienen dificultades para ir tapando los agujeros, esas puertas traseras por las que se cuelan en nuestras vidas y en nuestras cuentas corrientes las manos negras.

¿CÓMO PODEMOS DEFENDERNOS?

Recientemente entró en vigor la transposición de una directiva europea que obliga a las compañías a tener números de atención al cliente y comerciales identificables, y a bloquear aquellos números que las suplanten. Tienen un año todavía para registrar los “alias” con los que se comunican con nosotros a través de los SMS.

Hemos preguntado a Diego Alejandro, Inspector Jefe, Jefe de la Sección de Fraude en el Comercio Electrónico de la Unidad Central de Ciberdelincuencia de la policía Nacional. La desconfianza es el arma más poderosa que podemos utilizar. “Lo que hay que tener en cuenta,-aconseja-sobre todo, cuando recibimos cualquier tipo de  comunicación, ya sea por correo electrónico, a través de un mensaje de texto o, incluso,  de las aplicaciones de mensajería instantánea, es intentar comprobar la fuente. 

Es decir, ¿de dónde nos están mandando esa comunicación? Para ello hay que tener en cuenta, por ejemplo,  que nuestra actividad bancaria, aunque nos mande un mensaje de texto, nunca nos va a decir que  cliquemos en un enlace ni que nos descarguemos un programa. Nos va a decir que en nuestra aplicación tenemos un mensaje, con lo cual deberíamos acceder a través del mensaje”.

Nos cuenta que, además de las ciberestafas que ya te hemos contado, “los delincuentes están creando plataformas falsas que intentan suplantar o parecerse a otras de reconocido prestigio, donde anuncian productos a muy buenos precios, especialmente productos tecnológicos como teléfonos móviles y ordenadores, e incluso pagan dinero a los motores de búsqueda para posicionarlas” para que nos salgan arriba del todo cuando buscamos un determinado producto para comprar.

Hay maneras de protegernos también utilizando tecnología. 

Deepak Daswani, el experto en ciberseguridad nos aconseja “mantener el sistema operativo siempre actualizado con los parches sobre la última versión porque todas las vulnerabilidades técnicas que se descubren se solucionan mediante actualizaciones de seguridad. Utilizar un antivirus comercial de reputación contrastada porque todas las vulnerabilidades y los problemas que se conocen también son abordados desde ahí.  

Modificar las contraseñas frecuentemente, no reutilizar contraseñas, utilizar doble factor en aquellas autenticaciones, en todos los servicios que nos lo pongan a nuestro alcance, no dejar configuraciones por defecto y todo este tipo de cosas y ser un poco más conscientes de las implicaciones que tiene la tecnología que utilizamos para poder estar preparados cuando nos ocurra”.

El 100% de seguridad no está garantizado. Cualquier vulnerabilidad es aprovechada por los ciberestafadores.

la lucha contra las estafas informáticas

Casi medio millón de delitos penales relacionados con las ciberestafas fueron tramitados el año pasado por el ministerio del interior. Casi un 500% más que 9 años atrás. En el primer trimestre de este 2.025 ha caído el número un 3,5%, probablemente, porque los ciudadanos hemos aprendido a distinguir, a detectar.

La lucha contra el fraude informático es muy complicada. Hay que tener en cuenta que los proveedores de servicio, operan a nivel mundial “pueden estar en cualquier sitio y se pueden contratar por la red”.

Pero además “hacen esta contratación como si fuera para fines lícitos, pero intentan enmascarar también el origen, es decir, si tengo un servidor privado que me enmascare  el lugar (la IT) desde donde me estoy conectando, esto dificulta mucho la labor policial”. 

Es decir, resulta muy complicado saber desde qué lugar, desde que país operan los ciberestafadores. Ese es el primer handicap. 

Pero hay más, explica Diego Alejandro, “la cooperación internacional es cada vez más efectiva, pero hay países que no están adscritos al Convenio de Budapest, a través del cual se puede hacer cualquier tipo de intercambio de información policial y judicial en casos determinados, y que no son colaboradores con lo que a veces se estancan las investigaciones y tenemos que recurrir a las comisiones rogatorias, que son bastante tediosas y que nos cuentan más tiempo, y muchas veces los países no colaboradores nos llegan a no contestar”.

Los gobiernos legislan, las empresas y las operadoras están en el punto de mira de las administraciones, pero siempre hay un resquicio por el que entrar. A los ciudadanos nos queda tirar de desconfianza, autoprotegernos y sobre todo, aprender. 

“Estamos inmersos en un ecosistema de ataques constantes-explica Deepak Daswani- incidentes por parte de organizaciones y de criminales, estados, agencias y inteligencias entre diferentes países. 

Es una desprotección absoluta hasta cierto punto, esto forma parte ya del día a día de las organizaciones, ya no trabajamos con la aproximación de intentar evitar que los incidentes se produzcan hace más de 10 años, pero trabajamos con la idea de la respuesta a incidentes, es decir, estar preparados para cuando algo ocurra, ser conscientes de que en algún momento va a ocurrir, y tener los mecanismos operativos para saber lo que hay que hacer cuando tenemos un incidente de seguridad, sobre todo a nivel de organización o empresa, y respecto a los usuarios lo mismo, ser conscientes de que todo esto está a la orden del día y de que nos puede pasar en cualquier momento,  que nos ha pasado o no va a pasar, y tener los mecanismos para poder actuar en consecuencia,  mitigar los riesgos”.