mensajería
Todo empieza con lo habitual: un mensaje breve, un nombre de confianza, un tono cotidiano. Las notificaciones de entrega, los mensajes de trabajo y las alertas de marcas suenan de fondo, sin que casi nunca les prestemos atención. Miras, respondes y sigues con lo tuyo… hasta que, unos minutos después, has caído en una trampa diseñada para bajar la guardia y ganarse tu confianza.
Por eso las estafas por mensajería calan hondo: se aprovechan de hábitos cotidianos en los que prima el instinto, no la precaución. Antes, la comunicación era lenta, lo que dejaba margen para la duda. Ahora es instantánea, y esa velocidad es un arma en manos de los delincuentes.
En nuestro blog ya hemos analizado numerosas estafas en las aplicaciones de mensajería: desde la “matanza de cerdos“, en el que se prepara a la víctima durante mucho tiempo, o el “catfishing“, en el que el estafador crea una identidad falsa, hasta el phishing a través de chatbots o de campañas de regalos en las aplicaciones de mensajería.
Ahora, por primera vez, Kaspersky se ha propuesto analizar en profundidad la realidad de las estafas a través de mensajes para comprender con qué rapidez se produce el daño, cómo afectan a la confianza y qué queda tras finalizar la interacción. Lo que se pone de manifiesto es un ecosistema de estafas altamente organizado e industrializado, integrado en canales de mensajería cotidianos como los SMS, WhatsApp y el correo electrónico.
Los expertos de Kaspersky han elaborado un informe sobre las estafas dirigidas en aplicaciones de mensajería, en el que se detallan no solo los daños económicos, sino también los emocionales que causan estos ataques, y se ofrecen consejos sobre cómo protegerse y evitarlos. En esta entrada, analizaremos los datos más interesantes; para más detalles, consulta el informe completo.
Se subestima el daño
¿Cuánto crees que le cuesta a una víctima media un solo ataque exitoso a través de una aplicación de mensajería? ¿Diez euros? ¿O quizá… cincuenta? Estás subestimando a los estafadores. Aunque más de un tercio (36 %) de las víctimas sufre pérdidas inferiores a 116 euros (135 dólares), de media, una víctima pierde… ¡630 euros (733 dólares)!
| País | Pérdida media por víctima |
| Senegal | 338 € |
| Serbia | 425 € |
| Marruecos | 434 € |
| Grecia | 524 € |
| Reino Unido | 531 € |
| Costa de Marfil | 563 € |
| España | 577 € |
| Estados Unidos | 624 € |
| Portugal | 747 € |
| Italia | 770 € |
| Francia | 1 024 € |
| Alemania | 1 178 € |
La cantidad media que pierde una víctima en un ataque que se produce a través de una aplicación de mensajería
Por un lado, el impacto económico no parece catastrófico si se analiza de forma aislada. Se trata, por definición, de micro pérdidas. Son tan pequeñas que algunas personas ni siquiera las denuncian a la policía. Son tan pequeñas que los bancos no siempre las investigan. Son tan pequeñas que se suelen achacar a la mala suerte, en lugar de al crimen organizado.
Pero 630 euros no es una cantidad insignificante. Es suficiente para cubrir los gastos de un mes en comida, las cuotas del colegio o la guardería, o las facturas de los servicios públicos. En el contexto de la crisis mundial del coste de la vida, una sola pérdida de este tipo puede afectar gravemente al presupuesto familiar.
En el 11 % de los casos, las pérdidas superan los 1160 euros (1350 dólares), y más de una cuarta parte de las víctimas (28 %) afirma haber sido estafada tres o más veces en los últimos seis meses. Una vez que los estafadores descubren que un número de teléfono responde, ese contacto se convierte en un activo que circula de una base de datos a otra.
Ahora imagina la magnitud del problema: si solo el 10 % de los 3000 millones de usuarios de aplicaciones de mensajería en todo el mundo fuera víctima de una estafa con la pérdida media, ¡el daño total ascendería a casi 170 000 millones de euros! Esto es comparable al PIB de Grecia y supera el PIB de Marruecos, Serbia o Costa de Marfil.
Queda claro que detrás de la avalancha diaria de estafas se esconden grandes cárteles que operan a escala industrial, utilizando la IA para personalizar mensajes que imitan a los de familiares, amigos y marcas conocidas. Esto, en esencia, constituye la base de una economía en toda regla construida sobre el robo de identidad digital.
La rapidez supera al análisis
Más de la mitad de las estafas por mensajería que tienen éxito (52 %) se desarrollan en menos de 30 minutos — desde el primer contacto hasta el momento en que el dinero o los datos personales cambian de manos — o incluso más rápido, antes de que la víctima empiece a dudar de la legitimidad del remitente. De hecho, una de cada siete estafas dura menos de cinco minutos: ¡más rápido que hervir un huevo!
La rapidez no es casual. Es el método. Los estafadores estructuran sus planes para impedir que la víctima tenga la oportunidad de recobrar el sentido común. Cada elemento está diseñado para acortar el margen de tiempo para tomar una decisión: la urgencia de la situación, la familiaridad del formato, la verosimilitud de la solicitud.
Te meten prisa: “Más rápido, más rápido, no se lo digas a nadie, solo tienes unos minutos, resuelve el problema, no hagas preguntas”. Haz clic en el enlace, rellena los datos, aprueba la transacción, o si no… ¿O si no qué? La imaginación de los estafadores no conoce límites en este sentido, pero si no haces algo ahora mismo, sin duda te arrepentirás.
Por desgracia, la comprensión de lo que ha sucedido suele llegar cuando el daño ya es irreparable. Más de la mitad de las víctimas (51 %) pierden dinero; otro 43 % entrega sus datos personales —sobre todo números de teléfono, nombres y direcciones de correo electrónico— a los estafadores, y a menudo la víctima pierde ambas cosas.
Dónde y cómo se producen los ataques
Una notificación de entrega, una alerta bancaria, un mensaje de un comercio al que hiciste un pedido la semana pasada: las aplicaciones de mensajería impregnan todos los aspectos de la vida cotidiana, lo que hace que este tipo de interacciones sean completamente normales. Un ataque no debería parecer un ataque. Debería parecer el mismo mensaje que has recibido cientos de veces.
No es de extrañar que los estafadores centren su atención, ante todo, en este método de comunicación. Las plataformas más populares para las estafas son previsibles: WhatsApp (43 %), SMS/iMessage (40 %), Facebook (27 %), Telegram (22 %) e Instagram (19 %); estas son las que más confianza inspiran a la gente.
Se utilizan una gran variedad de estafas. La suplantación de marcas es ahora uno de los tres tipos más comunes de estafa por mensajería en todo el mundo, representando el 31 % de los casos. Las notificaciones de entrega falsas encabezan la lista con un 38 %, seguidas de las estafas de inversión con un 37 %. Estas son las estafas que se dirigen exactamente a los lugares donde la gente compra, realiza operaciones bancarias y deposita su confianza.
Al mismo tiempo, casi dos tercios (63 %) de las estafas abarcan múltiples plataformas, pasando de SMS a WhatsApp, de WhatsApp a Telegram, etc. De esta forma, los estafadores logran dos objetivos: imitan la mensajería orgánica y eluden los algoritmos de moderación.
La IA ha llevado las estafas a un nuevo nivel
Hace solo un par de años, los mensajes fraudulentos se delataban por su mala gramática, expresiones torpes, peticiones ilógicas y un sentido obsesivo de la urgencia. Hoy en día, un mensaje de phishing tiene el mismo aspecto, suena igual y se lee como si fuera auténtico.
Los cárteles de estafadores quieren atrapar a la gente en plena actividad —entre reuniones, en el trayecto al trabajo o durante las tareas cotidianas—, cuando tu atención ya está dispersa. Imitan la forma de hablar de tu madre o tu hija. Copian el tono de voz de tu banco. Reproducen exactamente el formato de tu servicio de mensajería. Reflejan el ritmo, la estructura y el estilo de las comunicaciones auténticas de las marcas en todas las plataformas de mensajería. Y la IA está acelerando todo esto.
Esto da lugar a una superposición. Los mensajes legítimos y los fraudulentos aparecen en el mismo entorno, utilizando los mismos formatos, el mismo lenguaje y los mismos desencadenantes. La diferencia entre ambos ya no resulta evidente.
Los datos muestran que dos tercios de las víctimas (66 %) creen que se utilizó IA en la estafa de la que fueron objeto, el 42 % menciona mensajes escritos por IA, el 31 % informa de voces generadas o clonadas, y el 25 % se encontró con imágenes o vídeos deepfake.
Por eso, la mera concienciación y los “conocimientos tecnológicos” pueden ya no ser suficientes para protegerse. Desde la Generación Z hasta la Generación X, las estafas por mensajería afectan a todas las generaciones.
¿Y qué hay del impacto emocional?
Pero el dinero está lejos de ser el único problema con el que se queda una víctima tras un ataque. Después de lo que han pasado, las personas desarrollan desconfianza hacia los mensajes entrantes, los números desconocidos y cualquier solicitud de acción. Como resultado, el 99 % de las víctimas de fraude afirman que ya no confían en las notificaciones que reciben en las aplicaciones de mensajería.
Esto genera una crisis de confianza en todos los canales digitales en general. Ahora, cualquier mensaje legítimo puede percibirse como una estafa. Las marcas, los bancos y los servicios de reparto se ven obligados a operar en un entorno en el que el cliente se encuentra, por defecto, en un estado de desconfianza.
La Dra. Elizabeth Carter, lingüista forense y criminóloga de la Universidad de Kingston en Londres, señala que los estafadores utilizan contextos familiares, entornos sociales habituales y normas lingüísticas arraigadas para crear en la víctima la ilusión de que su toma de decisiones es racional y razonable en ese momento. Sin embargo, lo que ocurre en realidad es que construyen realidades falsas en las que esas decisiones acaban causando un perjuicio económico y psicológico. También señala que es muy difícil identificar una realidad falsa mientras se está inmerso en ella.
Tras darse cuenta de que habían sido engañadas, más de la mitad de las víctimas sintieron ira, ese tipo de ira que surge de haber confiado en algo y descubrir que se ha utilizado en tu contra. El 42 % de las víctimas afirma sentir frustración, y el 38 % dice sentirse molesta. Además, varios meses después, estos sentimientos no han desaparecido: casi la mitad de todas las víctimas (48 %) sigue enfadada, un tercio (33 %) sigue frustrada y el 30 % se siente molesta.
Y casi una de cada diez víctimas no le cuenta a nadie lo que ha pasado. Sienten vergüenza, la sensación de haber pasado por alto algo tan obvio. Esto hace que una parte significativa del daño real no se denuncie: solo el 24 % de las víctimas se pone en contacto con la policía, y solo el 23 % lo denuncia a su banco.
Entonces, ¿qué se puede hacer?
La crisis de confianza —e incluso un toque de paranoia— que ha surgido debido a los ataques generalizados contra los usuarios puede permanecer en la mente de las víctimas durante mucho tiempo, afectando a su calidad de vida. Para evitarlo, sigue estas pautas:
- Piensa antes de actuar. La sensación de urgencia que sientes es casi siempre artificial. Un banco, un comercio o un servicio de reparto legítimos no te penalizarán por tomarte treinta segundos para verificar antes de hacer clic en un enlace o confirmar los datos. Es precisamente este instinto de resolver la situación rápidamente con lo que cuentan los estafadores.
- Verifica a través de otro canal. Si un mensaje parece provenir de un familiar, un compañero de trabajo o una empresa en la que confías, ponte en contacto con ellos a través de otro canal antes de tomar ninguna medida. Utiliza métodos de verificación seguros y comprueba las identidades cuando algo no te parezca bien. En el caso de las familias, acordar una “palabra de seguridad” por adelantado puede frustrar incluso a los clones de voz más convincentes.
- Utiliza un gestor de contraseñas. No solo te ayudará a generar contraseñas seguras y únicas para todas tus cuentas y a almacenarlas de forma segura, sincronizándolas en todos tus dispositivos, sino que también te protegerá de sitios web falsos. Incluso si haces clic en un enlace de phishing y llegas a uno de esos sitios, nuestro gestor de contraseñas te notificará la discrepancia de dominio y se negará a rellenar automáticamente tu nombre de usuario y contraseña.
- Utiliza una protección que funcione en tiempo real. Las soluciones de seguridad modernas, como Kaspersky Premium, ofrecen protección en tiempo real contra enlaces maliciosos e intentos de phishing en las aplicaciones y sitios web que utilizas a diario. En los dispositivos Android, una capa específica de seguridad antiphishing analiza y neutraliza los enlaces sospechosos en cuanto aparecen, incluso dentro de las notificaciones, antes de que tengas la oportunidad de hacer clic en ellos.
