Extorsión por correo electrónico: así usan el chantaje los estafadores

“¡Hemos hackeado tu ordenador! Envía dinero a la cuenta especificada o publicaremos todas tus fotos”. Es probable que tú o alguien que conoces se haya encontrado con un correo electrónico con este tipo de mensaje alarmante.

Estamos aquí para ofrecerte algo de tranquilidad: casi todos los correos electrónicos de chantaje que hemos visto han sido una estafa común y corriente. Estos mensajes, a menudo con el mismo texto, se envían a una cantidad masiva de destinatarios. Las amenazas que describen no suelen tener ningún tipo de fundamento real. Los atacantes envían estos correos electrónicos en forma de “disparo al aire” a direcciones de correo electrónico filtradas, simplemente con la esperanza de que al menos algunos destinatarios encuentren las amenazas lo suficientemente convincentes como para pagar el “rescate”.

En este artículo, explicamos qué tipos de correos electrónicos de spam son frecuentes en la actualidad en varios países y cómo defenderse de los chantajistas.

Estafas clásicas: piratería, sextorsión y “¡su dinero o su vida!”

Los correos electrónicos de estafa clásicos pueden variar en su contenido, pero su esencia siempre es la misma: el chantajista desempeña el papel de villano noble y le da una oportunidad a la víctima de salir ilesa si transfiere dinero (en general, criptomonedas). Para que la amenaza sea más creíble, los atacantes a veces incluyen algunos datos personales de la víctima en el correo electrónico, como su nombre completo, número de identificación fiscal, número de teléfono o incluso su dirección física. Esto no significa que de verdad hayan pirateado tu ordenador: la mayoría de las veces, esta información se obtiene de bases de datos filtradas que están disponibles en la dark web.

La temática más popular entre los chantajistas del correo electrónico es un “hackeo” en el que afirman haber obtenido acceso total a tus dispositivos y datos. Dentro de esta temática, hay tres escenarios comunes:

1. El atacante es conciso y va directo al grano: indica la cantidad exacta de dinero que tienes que transferir para evitar que tu información privada se haga pública.
2. Correos electrónicos detallados y dramáticos: estos elaborados correos electrónicos de spam contienen una gran cantidad de detalles sobre el malware que el atacante supuestamente utilizó para infectar el dispositivo del destinatario y los tipos de datos a los que ha accedido. Esto suele incluir todo: el propio PC, el ratón, la cámara web y el teclado. A veces, los estafadores incluso te aconsejan amablemente que cambies tus contraseñas regularmente y que evites hacer clic en enlaces desconocidos en el futuro para evitar situaciones desagradables. En este punto, estamos de acuerdo con sus recomendaciones.
3. Los detalles específicos del “ataque de piratas informáticos” y las demandas del atacante se omiten del cuerpo del correo electrónico. En cambio, se solicita al destinatario que busque esta información haciendo clic en un enlace a un sitio web. Los estafadores usan esta táctica para eludir los filtros de spam.

Los chantajistas tampoco esquivan el tema del contenido para adultos. Por lo general, simplemente intimidan a la víctima con amenazas de que todos descubrirán qué tipo de contenido explícito supuestamente ha estado viendo. Algunos atacantes van más allá: afirman haber obtenido acceso a la cámara web de la persona y haber registrado actividad íntima al mismo tiempo que grababan la pantalla de su PC. El precio de su silencio es un mínimo de varios cientos de dólares en criptomonedas. Esencialmente, estos chantajistas buscan intencionalmente aislar a la víctima diciéndole que no denuncie el correo electrónico con la policía ni les informe a sus seres queridos, y alegando que al hacerlo se activarán las amenazas de inmediato.

Por cierto, la visualización segura y privada de contenido para adultos es un desafío en sí misma, pero hemos abordado el tema en el artículo Cómo ver porno de forma segura: una guía para adultos.

Un estafador amenaza con publicar los vídeos íntimos de la víctima y exige criptomonedas

La que es quizás la forma más extrema de chantaje por correo electrónico implica amenazas de muerte. Desde luego, un correo electrónico de este tipo incomodaría a cualquiera, y muchas personas se preocuparían genuinamente por su propia seguridad. El noble sicario, sin embargo, siempre está dispuesto a perdonar la vida de la víctima si esta puede pujar más alto que quien ordenó el asesinato.

“Te quedan 72 horas de vida”. El chantajista sugiere no involucrar a la policía y simplemente pagar “al que ordenó el ataque”.

Quedas notificado: estafas de suplantación de identidad en Europa

Además de las leyendas de “piratas nobles” y “sicarios” que ofrecen de inmediato una escapatoria a cambio de una tarifa considerable, hay estafas más largas y elaboradas.

En estos ataques, los estafadores se hacen pasar por agentes de la ley. No piden dinero de inmediato, ya que eso despertaría sospechas. En cambio, la víctima recibe una “citación” que la acusa de cometer un delito grave, a menudo muy sensible. Esto generalmente implica acusaciones de distribución de pornografía (incluida la pornografía infantil), de pedofilia, trata de personas o incluso exhibición obscena. La “prueba” no se extrae de la nada, sino que supuestamente se ha tomado directamente del ordenador de la víctima, al que los “servicios especiales” han obtenido “acceso remoto”.

Chantaje de correos de spam dirigido a usuarios en Francia

El documento está diseñado para infundir terror absoluto: incluye una amenaza de arresto y una gran multa, una firma con un sello, una dirección oficial y nombres de fiscales de alto rango. Los estafadores exigen que la víctima se ponga en contacto de inmediato a través de la dirección de correo electrónico proporcionada en el mensaje para ofrecer una explicación; así, tal vez, se retiren los cargos. Si la víctima no responde, se la amenaza con arrestarla, registrarla en una lista de agresores sexuales y enviar su “expediente” a los medios de comunicación.

Cuando la víctima aterrorizada se pone en contacto con los atacantes, los estafadores ofrecen “pagar una multa” por un “acuerdo extrajudicial del caso penal”. Un caso que, por supuesto, no existe.

Los estafadores acusan una vez más a las víctimas de ver pornografía infantil

Este tipo de correo electrónico se envía con el pretexto de que proceden de las principales organizaciones encargadas de hacer cumplir la ley, como Europol. Se dirigen con mayor frecuencia a residentes de Francia, España, República Checa, Portugal y otros países europeos. También comparten una característica curiosa: por lo general, la línea de asunto y el cuerpo del correo electrónico son bastante breves, y el falso caso se expone en su totalidad en documentos adjuntos.

Recordatorio importante: nunca abras archivos adjuntos de correos electrónicos si no conoces al remitente o no confías en él. Y para asegurarte de que los correos electrónicos maliciosos y de phishing ni siquiera lleguen a tu bandeja de entrada, usa una solución de protección fiable.

Estafas de autoridades en países de la CEI

La “temática de la aplicación de la ley” también es frecuente en los países de la CEI (ex Unión Soviética). En 2025, los estafadores hicieron circular una “Citación para una investigación penal”, alegando el inicio de un caso penal. Supuestamente la emitió el Ministerio del Interior de Rusia en colaboración con unidades tan absurdas como la “Interpol rusa” y la “Oficina de Investigación contra el Crimen Organizado”.

Según la narración ficticia, un determinado “Centro Nacional para el Análisis de Imágenes de Pornografía Infantil y Exhibicionismo” se había apoderado de ordenadores en algún lugar y había determinado que la dirección IP del destinatario se utilizaba para “acceder a sitios web inapropiados y pornográficos”. Por supuesto, una búsqueda rápida en línea revelará que ninguna de las organizaciones mencionadas en ese correo electrónico ha existido oficialmente en Rusia.

El “director del Departamento de Investigación Criminal de la Policía”, para mayor persuasión, escribe TODO EN MAYÚSCULAS y firma su nombre con una transliteración al inglés.

En otro correo electrónico similar, el destinatario, por orden del director de la “Oficina Federal de Investigación (FBI) rusa”, supuestamente se convirtió en un posible sospechoso para cierta “Organización Internacional de Policía Criminal: Interpol de la Policía Federal de Rusia”. (Aclaramos que jamás han existido agencias en Rusia con nombres remotamente similares). En el correo electrónico, los atacantes se refieren a una “Ley de Cibercrimen de conformidad con la Ley de Crímenes de 1900 (sí, así como lo lees) en 245RU(2)”: leyes tan secretas que parece que ningún experto en derecho las conoce. Además, el mensaje, enviado desde una dirección genérica de Gmail, pretende ser del propio ministro del Interior. Sin embargo, la citación adjunta se refiere a él como el “Comisario de la Policía Federal de la Federación de Rusia”, lo que es probablemente una mala traducción del inglés.

El correo electrónico fraudulento de la inexistente “Oficina Federal de Investigación rusa” está firmado nada menos que por el ministro del Interior

También les llegan correos electrónicos fraudulentos similares a los residentes de Bielorrusia, tanto en ruso como en bielorruso. Se supone que las víctimas están siendo perseguidas simultáneamente por varios organismos: el Ministerio del Interior y el Ministerio de Relaciones Exteriores de Bielorrusia, la Milítsiya de la República de Bielorrusia y una supuesta “Dirección Principal de Lucha contra Ciberdelitos de la Dirección de Asuntos Internos de la ciudad de Minsk para la Interpol en Bielorrusia”. Se podría suponer que el destinatario del correo electrónico es el villano más buscado del país y que está siendo perseguido por la propia “ciberpolicía”.

En la citación, los chantajistas citan leyes que no existen y amenazan con añadir a la víctima a un “registro nacional de agresores sexuales menores de edad (sí, así como lo lees)” ficticio (un claro error de la traducción automática) y, por supuesto, solicitan una respuesta urgente al correo electrónico. En otra campaña, los atacantes hicieron referencia a una falsa ley y se pusieron en contacto con los acusados a instancias del presidente de Europol; no importa que Europol no tenga un presidente y que el nombre de la directora ejecutiva real sea completamente diferente.

Además de los delitos sexuales, los ciudadanos de Bielorrusia también son acusados de “uso repetido de drogas necróticas (sí, así como lo lees) y psicotrópicas”. En estos correos electrónicos, los atacantes afirman ser de la DEA, la Administración de Control de Drogas de EE. UU. Por qué una agencia federal de los Estados Unidos se interesaría en los ciudadanos bielorrusos sigue siendo un misterio.

Cómo identificar correos electrónicos fraudulentos

Como puedes ver en los ejemplos anteriores, la mayoría de estos correos electrónicos fraudulentos parecen muy inverosímiles y, sin embargo, encuentran víctimas. Dicho esto, dado que los estafadores adoptan cada vez más herramientas de inteligencia artificial, es razonable esperar una mejora significativa tanto en la calidad del texto como en el diseño de estas campañas fraudulentas. Resaltemos varios indicadores que te ayudarán a reconocer incluso las falsificaciones más hábilmente elaboradas.

• Datos personales. Aunque hacen que los correos electrónicos fraudulentos parezcan formales y creíbles, incluso si el correo electrónico incluye tu dirección, número de identificación fiscal, número de teléfono o datos de pasaporte, no significa que la amenaza sea legítima. Lo más probable es que tu información simplemente haya sido obtenida de bases de datos filtradas y aprovechadas por los estafadores. Lo contrario también es cierto: los saludos impersonales como “Estimado/a señor/señora” o “Estimado cliente” también son, sin duda, una señal de alerta.
• La dirección del remitente está registrada en un servicio de correo electrónico gratuito.
• Una solicitud para abrir un archivo adjunto o seguir un enlace para “conocer los detalles”.
• Manipulación, amenazas, llamadas de acción urgente y órdenes de no decirle nada a nadie sobre el correo electrónico. Los atacantes utilizan deliberadamente estos trucos psicológicos para descolocarte y privarte de apoyo externo.
• Errores tipográficos y gramaticales. Si sospechas que el correo electrónico es una muy mala traducción palabra por palabra de otro idioma, probablemente tengas razón. Sin embargo, un correo electrónico bien escrito no es motivo para bajar la guardia: si bien los estafadores a menudo no son los lingüistas más hábiles, a veces crean campañas de correo de spam de alta calidad.
• Sustitución de caracteres para eludir los filtros de spam. Los atacantes mezclan alfabetos, usan caracteres con signos diacríticos como “Ƙ” en lugar de “K” y, a veces, simplemente insertan fragmentos de texto incoherente o “contaminan” el cuerpo con caracteres aleatorios. El texto sigue siendo legible, pero se ve extraño.

Un ejemplo de estafadores que intentan eludir los filtros de spam sustituyendo caracteres y añadiendo bloques de texto sin sentido.

Cómo protegerse del chantaje por correo electrónico

• No entres en pánico. Los estafadores usan deliberadamente el miedo, crean un sentido de urgencia y se aprovechan de tu confianza en las autoridades. Su objetivo es que te creas su historia inventada, pero no tienen ninguna ventaja real. Si te apresuran, te amenazan o te dan un ultimátum, haz un esfuerzo consciente para reducir la velocidad y evitar tomar decisiones impulsivas.
• Instala una solución de seguridad fiable que te alertará de inmediato sobre correos electrónicos sospechosos, archivos maliciosos o enlaces.
• Presta atención a los detalles. Si recibes un correo electrónico que supuestamente viene de un gobierno o de las fuerzas de seguridad, primero examina la dirección de correo electrónico del remitente. Si hay una dirección de respuesta, compárala con la del remitente. Utiliza los motores de búsqueda para comprobar si las organizaciones mencionadas en el correo electrónico existen realmente y quién las administra. Busca las leyes que citan. Presta mucha atención a las firmas y los títulos: en resumen, haz una revisión completa de los datos. Por último, pregúntate si eres realmente tan importante como para, por ejemplo, que el ministro del Interior te escriba personalmente.
• Utiliza solo canales de comunicación verificados. Recuerda que las agencias gubernamentales nunca te chantajearán ni te amenazarán en una correspondencia oficial. Si aún no sabes si el correo electrónico es real o falso, busca la información de contacto oficial de la organización mencionada en él y comunícate a través de un canal alternativo y verificado, por ejemplo, por teléfono. No hagas clic en enlaces ni llames a números de teléfono (especialmente números de teléfono móvil) que aparezcan en el correo electrónico que recibiste; siempre verifica la información de contacto en línea.
• Si recibes un correo electrónico con una amenaza de muerte, no hables con el estafador y ponte en contacto con la policía de inmediato. La gran mayoría de estas tácticas de intimidación son un claro chantaje, que es un delito en la mayoría de los países. La clave es mantener la calma.

Obtén más información sobre los trucos comunes de los estafadores:

• Cómo usan la Inteligencia Artificial los phishers y estafadores
• La estafa en la puerta de tu casa
• Cuidado con los Formularios de Google que ofrecen regalos en criptomonedas
• Te espera un gran pago de nuevo
• Curso básico sobre el spam: qué es y cómo combatirlo