Expertos de Kaspersky alertan sobre una oleada de correos electrónicos fraudulentos que utilizan datos personales reales, como nombres completos o teléfonos, para ganar credibilidad y extorsionar a las víctimas. Los ciberdelincuentes suplantan a hackers, autoridades o incluso a supuestos asesinos a sueldo, y exigen pagos en criptomonedas bajo amenazas de divulgar información sensible o causar daño físico.
Desde Kaspersky han detectado un aumento significativo de campañas de chantaje por correo electrónico en las que los ciberdelincuentes explotan filtraciones de datos personales para hacer que sus mensajes parezcan auténticos. Estas campañas, que circulan a nivel mundial, combinan ingeniería social, suplantación de identidad y técnicas avanzadas para evadir filtros de seguridad, con el fin de provocar miedo y forzar el pago de un rescate.
Este tipo de ciberamenaza no es ajena a España. En febrero de 2025, INCIBE alertó sobre una campaña de sextorsión mediante correo electrónico en la que los estafadores amenazaban con divulgar supuestos vídeos íntimos a cambio de pagos en Bitcoin. Los mensajes provenían de cuentas de correo generadas al azar, e incluían asuntos como ‘Tiene un pago pendiente’.
En la modalidad más común, los ciberdelincuentes se hacen pasar por hackers que aseguran haber accedido a los dispositivos de la víctima, incluyendo cámaras y micrófonos. Afirman poseer grabaciones comprometedoras o historiales de navegación, y amenazan con publicarlos si no reciben un pago, habitualmente de varios cientos de dólares en criptomonedas, prometiendo borrar los datos tras el ingreso. Estos mensajes suelen incluir descripciones técnicas detalladas sobre malware o consejos de seguridad que, paradójicamente, coinciden con buenas prácticas reales.
Otra variante particularmente alarmante consiste en suplantar a sicarios o asesinos a sueldo. En este caso, el remitente asegura haber recibido un “contrato” para eliminar a la víctima, pero se ofrece a “perdonarla” a cambio de un pago superior al recibido por el supuesto contratante. El mensaje incluye una dirección de monedero en criptomonedas y apela al miedo como principal mecanismo de presión. Además, en marzo de este año, la Policía Nacional desarticuló una organización que había estafado a más de 2.000 personas y obtenido más de 2 millones de euros mediante el uso de este método.
Los estafadores también recurren a falsas notificaciones de organismos oficiales. Se hacen pasar por agencias como Europol o fuerzas policiales nacionales y envían citaciones judiciales falsas en formato PDF o DOC, con sellos y firmas falsificadas. En ellas se acusa a la víctima de delitos graves, como abuso o tráfico de personas e invitan a contactar con una dirección de correo “oficial” para resolver el caso. Tras el primer contacto, los delincuentes solicitan el pago de una multa en criptomonedas para evitar un supuesto proceso penal. Este tipo de estafas se ha observado con especial frecuencia en Europa, en idiomas como español, francés y portugués.
“Para esquivar las soluciones de seguridad, los ciberdelincuentes emplean técnicas de evasión cada vez más ingeniosas: insertan el contenido principal en archivos adjuntos para evitar el escaneo del cuerpo del mensaje, mezclan letras de distintos alfabetos (por ejemplo, reemplazando caracteres latinos por cirílicos), añaden marcas diacríticas mediante código HTML, alternan fuentes, introducen símbolos aleatorios o esconden texto en tablas invisibles. Estos trucos hacen que cada correo parezca único para los filtros automáticos, pero perfectamente legible para la víctima”, explica Anna Lazaricheva, analista sénior de spam en Kaspersky.
Para evitar caer en este tipo de fraudes, los investigadores de Kaspersky recomiendan:
Verificar al remitente: comprobar la dirección de correo y el campo “Reply-To”. Las discrepancias suelen indicar fraude.
Ignorar archivos y enlaces sospechosos: pueden contener malware o dirigir a sitios de phishing.
Detectar señales de evasión: formato irregular, caracteres extraños o símbolos aleatorios son indicios claros de spam. ·
Conocer los procedimientos oficiales: las fuerzas del orden no envían citaciones por correo electrónico ni solicitan pagos en criptomonedas.
Comprobar los datos: buscar en Internet los nombres de organismos o leyes mencionadas; si no existen o no coinciden, se trata de una estafa.
Reportar y protegerse: reenviar los mensajes sospechosos a las unidades de cibercrimen y mantener actualizadas las soluciones de seguridad.
Para consultar la información completa del caso, acceda al informe completo a través de este enlace.
