Suplantación de identidad: cuando el engaño se disfraza de confianza

Salta una notificación de un nuevo e-mail en la pantalla del móvil: “Querido usuario: vamos a proceder a cerrar todas las cuentas de correo electrónico no actualizadas. Haga clic aquí para actualizar la suya”. Parece oficial y plantea dudas: “¿Y si me quedo sin cuenta?”. Otro aviso, en forma de SMS: “La entrega se ha suspendido porque en su pedido no figura la calle, complete sus datos en el siguiente enlace”. No sería extraño que el receptor fuera uno de los 30 millones de españoles que hacen compras por internet, según el Observatorio Nacional de Tecnología y Sociedad (Ontsi). La urgencia del mensaje y el temor a quedarse sin el envío pueden precipitar una decisión fatal.

Son dos ejemplos muy comunes de cómo los delincuentes utilizan internet para tratar de conseguir información privada. Y aunque a veces parezcan tan obvios que nunca vamos a caer en ellos, están a la orden del día, señala Héctor Paredes, profesor en el grado de oficial de Ingeniería del Software en el centro universitarios U-Tad de Madrid. Esta técnica de fraude digital se conoce como phishing cuando utiliza el correo electrónico u otros programas de mensajería (como WhatsApp). Cuando llega a través de un SMS se denomina smishing, mientras que, si ocurre mediante una llamada de teléfono, se conoce como vishing.

Por qué caemos en la trampa de los estafadores

Los atacantes envían comunicaciones falsas en las que suplantan a bancos, proveedores de electricidad o gas, empresas de servicios, Administraciones públicas o personas conocidas por la víctima con el fin de tener acceso a información confidencial: contraseñas, números de cuentas o tarjetas bancarias, agendas privadas... con lo que luego obtendrán su beneficio económico.

Los delincuentes buscan generar confianza con la víctima para que clique en enlaces contenidos en los e-mails y mensajes falsos. A continuación, le inducen a depositar datos personales. El mensaje suele incluir un tono urgente, como “verifica tu cuenta”, “hay actividad sospechosa” o “tu cuenta será bloqueada”, lo que lleva a la víctima a precipitarse y actuar con menos precauciones. Una vez que la persona introduce sus datos, los delincuentes los utilizan para robar dinero o utilizar esa información para más adelante perpetuar un engaño más grande y ‘a la medida’.

En el caso del fraude por voz (vishing), el estafador llama a la víctima, supuestamente, en nombre de una organización o persona para advertirle de algún asunto relacionado con ellas, como un impago o un reembolso. Manipulan a la persona a través de un fraude guiado con el objetivo de convencerla de que debe realizar el pago durante el tiempo en el que está al teléfono con el estafador, lo que añade sensación de urgencia que impide a la víctima tomar precauciones.

Ocho de cada diez fraudes o estafas que se ejecutaron en España en 2024 ocurrieron en internet. Y de estos, la mayoría fueron casos de phishing. Además, las proyecciones prevén que este año crezcan, de acuerdo con la Coordinación de Ciberseguridad de la Guardia Civil.

Para evitar ser víctima de cualquiera de estas estafas, ya sea a través del correo electrónico, el SMS o una llamada, conviene conocer bien cómo funcionan y qué hacer en caso de caer en ellas. A continuación, tres casos reales acompañados de pautas concretas para prevenir e identificar este tipo de fraudes digitales.

Un mensaje de ‘e-mail’: el clásico, pero efectivo, engaño

En 2020, un joven español llamado Daniel fue víctima de un caso de phishing tras recibir un correo que simulaba ser de la Agencia Tributaria. El mensaje, con el logotipo oficial y un lenguaje formal, le informaba de que tenía derecho a un reembolso de 430 euros. Para conseguirlo debía confirmar sus datos bancarios a través de un enlace. Al acceder, fue redirigido a una página idéntica al portal oficial, donde introdujo su número de cuenta, DNI y contraseña de banca online. Horas después, notó movimientos sospechosos en su cuenta: los estafadores habían realizado transferencias por más de 2.500 euros. Daniel contactó de inmediato con su banco para bloquear la cuenta y presentó una denuncia ante la Policía Nacional. El caso fue reportado en medios locales y sirvió como advertencia sobre el aumento de fraudes suplantando organismos oficiales, especialmente durante campañas como la declaración de la renta.

Cómo identificar un correo electrónico fraudulento

Fijarse en la dirección de correo, suele ser parecida pero no exacta a la oficial

La Agencia Tributaria no adjunta documentos anexos con información de facturas u otros tipos de datos

Comprobar la dirección. Las correctas son agenciatributaria.es. sede.agenciatributaria.gob.es y agenciatributaria.gob.es. Además, siempre cualquier transacción requiere los pasos de autentificación que solicitan los organismos públicos, como el DNI electrónico o la firma electrónica, entre otros

La Agencia Tributaria nunca solicita por correo electrónico información confidencial, económica o personal

Las notificaciones reales suelen ser sencillas y no suelen incluir textos sobre normas y leyes

Firma con el objetivo de dar credibilidad y autoridad, pero la Agencia Tributaria y el Gobierno de España son dos organismos diferentes

Ejemplo creado a partir de información publicada por la Agencia Tributaria.

Un inesperado SMS con un mensaje fatal

Un caso real ocurrido el pasado año. Una mujer recibió un SMS firmado aparentemente por Correos. El texto indicaba que la compañía había retenido un envío y que era imprescindible que la receptora pagara 0,80 euros. Para proceder al pago, se la incitaba a clicar en un enlace que incluía el mensaje. La mujer, que estaba esperando varias compras digitales, lo hizo y entró en una página web con el aspecto, los colores y el logotipo de la empresa pública de servicio postal. Rellenó los datos personales que se le solicitaban, incluidos los datos bancarios.

Días después, la víctima observó que en su cuenta se habían realizado cargos no autorizados por valor de 2.985 euros. De inmediato, contactó con su entidad bancaria, con la Policía Nacional y posteriormente con una asociación de consumidores. Finalmente consiguió recuperar el dinero, como reportó la prensa. Este tipo de fraudes se produce durante todo el año, pero especialmente durante periodos de compras como las Navidades y las rebajas, cuando las compras se multiplican.

Cómo identificar un SMS fraudulento

El SMS se ubica en el hilo oficial de Correos

Las faltas de ortografía o la redacción pueden alertar de su origen ilegal

Fijarse en la URL, suele ser parecida pero no exacta a la oficial

Ejemplo publicado por Correos.

Una llamada: el despiste de la urgencia

Un vecino de Palencia atendió un número desconocido. La voz de un joven que se identificaba como empleado de su empresa de energía eléctrica le solicitaba saldar un impago. Si no lo hacía, le cortarían el suministro inmediatamente. La persona afectada siguió las instrucciones del estafador, que le solicitaba los datos de su tarjeta bancaria para proceder al cobro.

La víctima proporcionó el número de la tarjeta, así como la fecha de caducidad y el código de seguridad. Durante la llamada, el estafador solicitó el número de verificación que las entidades bancarias envían al hacer una transacción digital, de manera que permitió que el timador seleccionara la cifra a su antojo. Como resultado, se produjo una transacción fraudulenta por un importe de 8.500 euros.

Cómo identificar una llamada telefónica fraudulenta

Empresas y organismos oficiales no se ponen en contacto con sus usuarios a través de llamadas telefónicas

Los estafadores pueden hacer que el nombre real de la empresa a la que suplantan aparezca en la pantalla

Los estafadores utilizan un lenguaje formal, a veces, con jerga burocrática. Conviene colgar y contactar a través del teléfono oficial para contrastar la información y avisarles de la posible estafa

Ejemplo de vishing.

La IA suplantó la voz de su marido

Los ciberdelincuentes aprovechan también las ventajas de la inteligencia artificial para expandir y perfeccionar sus delitos con el uso del deepfake. Esta técnica permite la creación de foto, vídeos y audios que imitan la apariencia y la voz de una persona con tal precisión que engañan tanto a los algoritmos como a los humanos. Hoy es posible emular la voz de una persona de manera fidedigna con un programa informático a partir de 30 segundos de su voz, explica Héctor Paredes, profesor de U-Tad. “Hay modelos que se pueden entrenar con poca información, pero de cuantos más datos disponga más fiel a la realidad será”, explica.

El uso más frecuente de las estafas basadas en la voz es la suplantación de la identidad de personas con poder, como directivos, cuya exposición pública — vídeos y audios en internet favorece la réplica de su voz o, incluso, de su rostro. De esta manera, los piratas informáticos se hacen pasar por ejecutivos a cuyos empleados solicitan, mediante una llamada o una videollamada, que realicen una transacción a una cuenta bancaria externa a la compañía.

Esta técnica de suplantación también empieza a producirse entre el resto de la población, explica el profesor. El Instituto Nacional de Ciberseguridad (Incibe) ha reportado casos en los que un estafador ha conseguido replicar también la voz del familiar de una persona. Una usuaria, explica el Incibe, recibió una llamada de un número desconocido. Al otro lado escuchó la voz de su marido diciendo: “Hola, no te puedo llamar, envíame un mensaje a este número...”. La víctima se dio cuenta de que era una locución, colgó y llamó a su marido para corroborar.

Preguntada la usuaria por la posibilidad de que hubiera algún vídeo público de su marido en alguna web o red social, desde el que los piratas pudieran captar su voz, indicó que no lo creía posible. No obstante, añadió, habían recibido llamadas en las que, nada más responder, habían colgado. Cabe la posibilidad, señalan, de que las pocas palabras que pronunciara el hombre al descolgar sirvieran para replicar su voz.