La seguridad digital como hábito
La protección contra los delitos en internet no es solo una cuestión técnica que se resuelve con un buen antivirus o un sinfín de cortafuegos; debe ser una conducta automática, una defensa instintiva de las personas. Para ello es clave una mayor formación de los usuarios y leyes efectivas y ágiles que los amparen
En estos días rotos, todo ser humano tiene dos vidas: una física y otra digital. En ambas corre peligro; en ambas surgen amenazas. También, afortunadamente, formas de protegerse. Pero esta vez el relato descubre lo que sucede en el entorno 2.0 que compartimos cientos de millones de personas. La delincuencia ha encontrado ahí un ecosistema propio. El Ministerio del Interior advierte de que en los dos primeros trimestres del año se han producido 246.000 delitos a través de medios digitales; uno al año por cada cien habitantes. Esta dualidad es una evidencia de la actual fragilidad de existir. “El mundo de la delincuencia se expande en el mundo digital y lo hace no solo a partir de amenazas técnicas, sino también, y resulta muy importante tenerlo presente, a través de las personas, manipulando sus sentimientos, sensaciones y comportamiento”, diagnostica Valentín Sánchez, group chief security officer (CSO) en BBVA.
Esa reflexión recorre una mañana fría y clara la sede central del banco en Madrid. La Vela, concebida por el prestigioso estudio Herzog & de Meuron, es la arquitectura donde sucede el evento Ciberseguridad: hackeando la mente, una conversación organizada por EL PAÍS, con la colaboración de BBVA, sobre el reto de proteger, en tiempos de tecnologías de vanguardia, la seguridad del ser humano en la llamada vida digital. ¿Cómo levantar hoy una alambrada frente a ilusiones o falsedades casi perfectas?
El primer medio de cualquier Estado es recurrir a la regulación. Utilizar las normas y las leyes. El pasado 15 de febrero, el Ministerio para la Transformación Digital y de la Función Pública fijaba varias medidas con el fin de combatir las estafas de suplantación de identidad a través de llamadas y mensajes fraudulentos. Una vía para luchar contra las campañas de phishing y smishing (robo de datos) que afectan a los ciudadanos y drenan la confianza en las instituciones financieras. Meses suficientes para recapitular. “Hasta el momento, el sector no ha percibido una reducción significativa de las estafas, lo que evidencia la necesidad de seguir avanzado”, comenta en una nota BBVA. Llega a La Vela viento del eco de aquella frase del filósofo cordobés Séneca: “Muchos son los descubrimientos reservados para las épocas futuras, cuando se haya borrado el recuerdo de nosotros”.
El problema es que enfrentamos un desafío urgente. Quizá sería necesario acelerar —pues debe entrar en vigor en junio de 2026— la normativa que prepara la Comisión Nacional del Mercado de la Competencia (CNMC) orientada al bloqueo de mensajes y un registro de alias. Ese nombre que aparece en el móvil como remitente en lugar de un número. Correos, bancos, Mi Tienda. Muchos son legítimos y otros se han convertido en una gatera por la que los estafadores falsifican y suplantan una entidad conocida.
La ciberdelincuencia sabe que, por ejemplo, la inteligencia artificial (IA) tiene dos caras, y en la oscura ha levantado su trinchera. “La digitalización ofrece muchas ventajas de eficiencia, conectividad y accesibilidad a productos y servicios. Sin embargo, a la vez, es una vía para nuevos tipos de amenazas que se traducen en fraude o fugas de datos”, avisa Valentín Sánchez. Ayudaría que en junio esté operativo ese registro y tenga la información necesaria para que los proveedores de servicios puedan actuar de manera eficaz. O crear un repositorio oficial de numeración implicada en estafas. Una forma de aportar transparencia y confianza a la vez que consultas seguras. Sería un punto y seguido en un párrafo más largo. Uno que relataría la necesidad de una supervisión efectiva de todos los actores implicados, o crear canales de comunicación que enlazan fuerzas del orden, operadoras, plataformas digitales y entidades financieras. Bruselas ha decidido que a partir de agosto de 2026 cualquier tipo de contenido generado con IA lleve una especie de “marca de agua” para reconocerlo y cerrar una grieta por la que se filtra el crimen.
Retos de una sociedad que cada vez, como Séneca intuía en el siglo I, resulta más compleja. “Urge entender que la ciberseguridad no es algo que ocurre solo en la dimensión técnica, sino que responde al desarrollo de una cultura de la seguridad que nos afecta a todos”, desgrana Sánchez. El punto de partida de un debate al que se suman los omnipresentes algoritmos y el potencial de la IA generativa para ser, a la vez, una solución y un problema. Ayuda a encontrar patrones de comportamiento, por ejemplo, del usuario. Si efectúa las transferencias desde Madrid, a ciertas horas, y la tecnología detecta un cambio de esa rutina, se ilumina una luz roja. “La IA es un becario supermotivado que nos ayudará a trabajar, pero no podemos darle todo el control. Aquí son fundamentales los analistas de seguridad”, especifica Carlos Seisdedos, CEO de Magneto INTelligence, una firma dedicada a ciberseguridad e inteligencia.
En esta sala es donde se mezclan el día y la noche, el lobo y el cordero, siguiendo el dicho francés; la forma de distinguir una imagen generada por IA de otra real aparece en los detalles. Falta de sincronización entre las palabras y los labios, los parpadeos, un sonido metálico en las frases. O algo tan intuitivo como la cadencia al hablar de un presunto familiar. El engaño emplea todas las flaquezas humanas e incluso la ingeniería social. “Los malos nos ponen en situaciones que nos crean cierta confianza; te llama tu banco, desde un número conocido, todo tiene un aire muy profesional, has tenido un problema y yo aparezco para solucionarlo”, ilustra Javier Calahorra Novillo, information security country head (CISO) de BBVA. “Y luego, al mismo tiempo, utilizan un sentido de la urgencia que producirá que tomes, seguramente, una decisión impulsiva”. Las emociones aquí juegan en contra. El miedo a perder el dinero. O al contrario. Esa oportunidad desperdiciada de ganarlo. El ciberengaño transita por una carretera de doble vía. Los estafadores provocan una oleada de emociones, roban la pausa, el razonamiento objetivo. Sin él, es similar a rendir las armas.
Anatomía del fraude
Quizá, Adiós a las armas sea un buen título para una novela de Hemingway. Pero es malo en el ciberespacio. Martín Rubino es head of growth de Zepo, una empresa de ciberseguridad e IA dedicada a desenmascarar a los delincuentes. Esta es una secuencia de cómo se aprende del fraude creando uno falso. Una mentira al cuadrado.
Victoria —presente en la sala— recibe una llamada desde la plataforma de Zepo. El objetivo del robot es conseguir la mayor cantidad de datos posibles. Suena el teléfono.
—Hola, ¿Victoria?
—Sí.
—Mira, soy Carlos, de [nombra una agencia de transportes], el repartidor. Tengo aquí un paquete para ti pero se ha mojado la etiqueta en la furgoneta y casi no se lee. ¿Me podrías dar tu dirección? Y así te lo entrego ahora mismo, perdona.
—¿Me das el número de rastreo?— solicita Victoria.
—Con la etiqueta, no se ve bien, te puedo decir que empieza por 789, pero, de verdad, el número completo está ilegible, sin embargo viene a tu nombre. A veces las empresas mandan cosas sin avisar, sobre todo en estas fechas.
—¿Me podrías enviar un correo electrónico?
—Perdona, no puedo, estoy en ruta con el móvil de la empresa y no tengo acceso. Puedo hacerte una foto y enviártela por WhatsApp, a ver sí la reconoces. ¿Te parece?
—No. Mejor lo reviso por mi cuenta.
Esta es una prueba, con la guardia en alto por parte de Victoria, en la que incluso se recurre a la ingeniería social: “En estas fechas”.
¿Por qué seguimos cayendo? “Generamos tanta información sobre nosotros [pensemos en las redes sociales] que los malos, en este caso, lo primero que hacen antes de preparar cualquier tipo de ataque es revisar tu perfil”, revela Carlos Seisdedos. Y añade: “Ahora son agresiones personalizadas. Si nos estudian, cada uno de nosotros tiene sus vulnerabilidades”. Estas empresas graban las llamadas para mejorar la eficacia. “Estamos inmersos, por ejemplo, en canales de Telegram o la deep web y aprendemos cómo intentan engañar a las personas”. Existe una cierta desprotección. “Pues las autoridades aplican la normativa sobre los buenos, no sobre los malos; yo sigo recibiendo llamadas desde un número móvil”, lamenta.
Hace falta una cultura más fuerte sobre ciberseguridad. “Tenemos que vitaminarnos, pero de verdad, hay que cambiar la conducta [de protección], no es solo un doble factor de seguridad en nuestras cuentas, también no entregar información confidencial. Si nunca se la das a un extraño en la calle, por qué sí ocurre en el espacio digital”, apunta Javier Calahorra Novillo.
Cómo protegernos en un mundo inasible en el que las balas no pesan y los malos disparan más rápido. Debemos combinar la tecnología, el factor humano y la intuición. Carlos Seisdedos, que desciende con frecuencia a esos fondos tan oscuros como un cenote, da tres consejos. Practicar el egosurfing: comprobar en internet una vez a la semana qué se dice de nosotros. Autentificación: añadir un factor extra de verificación en las redes sociales. Y sentido común: saber lo que damos a conocer. Hay que encajar estas piezas en una sociedad peligrosa. Porque la victoria no tiene sentido; nadie admite la derrota, y la paz llega tarde.
La ‘magia’ del cibercrimen es detener el tiempo
Muchas mentiras son antiguas o ya estaban olvidadas. Santi Marcilla es un buen ilusionista. Lleva sus trucos a La Vela, la sede central de BBVA en Madrid. Hace bastantes siglos, un genio (Leonardo da Vinci) reinventó lo aprendido de los tratados árabes para sorprender y divertir a la poderosa familia milanesa Sforza, considerados más extraordinarios —cuesta creerlo— que sus pinturas. Han pasado casi 600 años, pero quedan algunos comportamientos. “Casi todas las decisiones que tomamos en la vida son pura intuición, y cuando lo hacemos, nos arrepentimos”, reflexiona Marcilla. Lo revelan sus habilidades: “Un mentalista se encarga de moldear, sugestionar e incluso manipular los pensamientos internos de las personas. Algo muy similar a lo que persiguen los ciberdelincuentes. La diferencia está en cómo usamos esa parte de la mente”, avanza.
Propone una intervención muy amena en la que descubre diversos patrones numéricos —desde varias tiradas de dados hasta la contraseña de un teléfono móvil, que responde al nombre de una amiga de la infancia a quien la dueña echa de menos— o relaciona números extraídos de su cuenta de Instagram, que coinciden con el día (20 de noviembre), el año (2025) y la hora (10:35) exactos en el que transcurre su actuación. “Todo lo que hemos conseguido, hasta ahora, de algún modo, yo he podido averiguarlo; pero siempre digo que el tema de la ciberdelincuencia tiene una parte mental, sin embargo, también de engaño y azar”, admite Santi Marcilla. De todas formas, asegura, “lo que habéis visto hoy ha sido producto, simplemente, de vuestra imaginación. No tiene sentido darle más vueltas”, concede, aludiendo a la frase final de cada actuación de un colega, el mago Anthony Blake.
Pero hay lecciones muy útiles para la vida digital, y quizá más allá. “Cuando el público se ríe, el tiempo se para, y entonces el mago puede hacer lo que quiera”. La frase es del ilusionista de Las Vegas Johnny Thompson (1934-2019), cuyo nombre artístico era The Great Tomsoni, y es perfecta para los ciberdelitos: la distracción resulta el primer truco del engaño.