Sufrir un caso de ciberdelincuencia no siempre representa necesariamente el final del calvario para el afectado, sino el inicio de un nuevo riesgo. En muchos casos, este suceso es solo el preámbulo de una estafa secundaria conocida técnicamente como Recovery Room o sala de recuperación. Este método delictivo se ceba con personas que ya han sufrido un quebranto económico previo, buscando explotar su desesperación por recuperar lo perdido, de ahí que la Organización de Consumidores y Usuarios (OCU) haya alertado del incremento de estos casos detectados recientemente en el entorno financiero. Los estafadores operan bajo una lógica perversa al convertir la vulnerabilidad emocional de la víctima en su principal herramienta de manipulación y engaño.

No se trata de un contacto fortuito, sino de un ataque dirigido que suele basarse en bases de datos obtenidas de estafas anteriores. En este escenario, la esperanza de recuperar los ahorros perdidos se transforma rápidamente en una nueva trampa económica de difícil salida. Es vital entender que esta práctica busca asestar un segundo golpe financiero a quienes ya se encuentran en una situación crítica y vulnerable.

El funcionamiento de este fraude se basa íntegramente en la falsa promesa de rescatar fondos que ya se consideraban definitivamente perdidos por el usuario. Los delincuentes aseguran poseer medios tecnológicos o legales muy avanzados para rastrear el dinero estafado en primer lugar. Según detalla el Instituto Nacional de Ciberseguridad (INCIBE), los atacantes suelen presentarse falsamente como expertos auditores o incluso como abogados de gran prestigio. El contacto inicial con la potencial víctima se realiza de forma proactiva mediante llamadas telefónicas, correos electrónicos o mensajes privados en redes sociales. La narrativa construida por estos grupos criminales es extremadamente convincente, utilizando un lenguaje técnico que simula una solvencia profesional totalmente inexistente. 

Al dirigirse a víctimas de fraudes previos, los estafadores suelen conocer detalles específicos sobre el engaño original que sufrió el afectado en el pasado. Esta información privilegiada les permite generar una falsa pero potente sensación de confianza y legitimidad desde el primer momento de la charla. Sin embargo, el objetivo final es siempre el mismo: solicitar el pago de cantidades adicionales bajo conceptos que son totalmente inventados.

La OCU subraya con firmeza que ninguna entidad legítima o despacho de abogados serio solicita nunca pagos por adelantado para realizar estas gestiones. Los estafadores justifican estas peticiones de dinero alegando supuestos gastos administrativos, tasas legales de última hora o impuestos de salida pendientes. También es sumamente común que mencionen comisiones bancarias internacionales o costes específicos necesarios para el desbloqueo de los fondos recuperados. Todos estos argumentos carecen de cualquier tipo de base real y forman parte del guion diseñado para extraer el máximo capital posible. 

Una vez que la víctima realiza la transferencia solicitada, los delincuentes suelen desaparecer de forma inmediata rompiendo cualquier vía de contacto. En otras ocasiones, si detectan que el afectado aún posee recursos disponibles, inventan nuevas incidencias burocráticas para seguir pidiendo más fondos. Este ciclo de extorsión económica puede prolongarse mientras la víctima mantenga la esperanza de recuperar su inversión inicial. Es fundamental desconfiar sistemáticamente de cualquier persona que prometa resultados garantizados en la recuperación de estafas digitales complejas.

Para dotar al engaño de una apariencia altamente profesional, los grupos criminales utilizan identidades suplantadas de empresas reales y organismos oficiales. El INCIBE advierte que es habitual el uso fraudulento de logotipos reales, sellos institucionales falsificados y páginas web con un diseño muy sofisticado. Estas plataformas fraudulentas a menudo incluyen testimonios de éxito e historias de recuperación que son completamente ficticias y manipuladas. Los delincuentes también pueden llegar a hacerse pasar por representantes de las fuerzas de seguridad del estado o de agencias gubernamentales. Esta táctica busca intimidar a la víctima o hacerle creer de forma errónea que el proceso cuenta con un respaldo legal oficial. 

La presión psicológica sobre el usuario se intensifica mediante el uso de plazos cortos y una falsa sensación de extrema urgencia. Se advierte al ciudadano que la celeridad demandada es solo un método para forzar decisiones impulsivas y evitar que reflexione. La verificación independiente de la existencia de estas empresas es un paso crítico que nunca debe ser omitido por el consumidor. Existen variantes de esta estafa que van mucho más allá de la simple petición de dinero. En algunos casos, los atacantes solicitan a la víctima que instale software de acceso remoto en sus dispositivos personales bajo pretextos técnicos. El INCIBE señala que esta maniobra permite a los delincuentes observar contraseñas en tiempo real y vaciar las cuentas bancarias directamente. 

También es frecuente que pidan la creación de nuevas billeteras digitales con la excusa de recibir en ellas los supuestos fondos rescatados. En realidad, los estafadores mantienen el control total sobre estas carteras y se apropian de cualquier ingreso que se realice en ellas. Este tipo de intrusión maliciosa compromete no solo las finanzas, sino también toda la seguridad digital y la privacidad del usuario afectado. Los expertos recomiendan encarecidamente no permitir nunca el acceso de terceros desconocidos a ordenadores o teléfonos móviles personales. La protección de las claves privadas y las credenciales bancarias es siempre la última línea de defensa ante estos ataques.

Cortar y bloquear, lo primero

Ante la recepción de una oferta de este tipo, las recomendaciones de los especialistas son claras, directas y eminentemente preventivas para el usuario. En primer lugar, se debe proceder a cortar cualquier tipo de comunicación de forma inmediata con el remitente de la propuesta. No se debe facilitar bajo ningún concepto documentos personales, contraseñas bancarias ni realizar pagos por supuestas tasas o comisiones de gestión. Nunca se debe confiar ciegamente en los datos de contacto o enlaces proporcionados por la misma persona que ha iniciado el contacto. Es prudente bloquear los números de teléfono, los perfiles en redes sociales y marcar los correos electrónicos sospechosos como basura. Además, si se ha llegado a instalar algún programa sugerido por los estafadores, es estrictamente necesario revisar técnicamente el dispositivo. Por último, el cambio inmediato de todas las contraseñas expuestas y la activación de la doble autenticación son ahora pasos de seguridad obligatorios.

La colaboración ciudadana y el reporte activo de estos incidentes son elementos esenciales para combatir la actual impunidad de estas redes. El INCIBE pone a disposición de todos los ciudadanos su Línea de Ayuda en Ciberseguridad gratuita a través del número marcado como 017. Este servicio ofrece una orientación especializada y confidencial para gestionar correctamente situaciones de fraude, robo de datos o extorsión. Es fundamental recopilar todas las pruebas posibles del contacto, como capturas de pantalla de chats, correos recibidos y justificantes de pago. Esta documentación será de vital importancia al presentar la denuncia formal ante las Fuerzas y Cuerpos de Seguridad del Estado. Denunciar permite a las autoridades rastrear los patrones delictivos y bloquear los recursos financieros que utilizan habitualmente los estafadores.

La presente campaña de la Declaración de la Renta, iniciada oficialmente el pasado 8 de abril, representa un periodo crítico tanto para contribuyentes… como para los profesionales de la ciberdelincuencia que buscan lucrarse ilícitamente. Durante estas semanas de trámites fiscales, los ataques de phishing y smishing se multiplican aprovechando el volumen de comunicaciones oficiales y la urgencia de los ciudadanos por cumplir con sus obligaciones. Solo en la campaña anterior, instituciones como el INCIBE gestionaron decenas de miles de incidentes relacionados con fraudes online, confirmando que estas fechas son un señuelo recurrente. Los expertos advierten que la presión psicológica es el arma principal para que el usuario actúe rápido y sin cuestionar la veracidad del mensaje recibido. 

Desde organismos como INCIBE insisten en que es fundamental entender que el engaño puede comenzar con un simple correo electrónico que parece legítimo, pero que en realidad busca robar credenciales de acceso fiscales. Se trata de uno de los cebos más efectivos en la actualidad, un mail que simula una “nueva notificación electrónica”, utilizando un lenguaje administrativo muy convincente. Estos mensajes suelen incluir asuntos alarmistas sobre referencias de expedientes que invitan a una reacción inmediata para evitar supuestos problemas legales. Los ciberdelincuentes redirigen a las víctimas a páginas web clonadas que imitan con precisión milimétrica la sede electrónica de la Agencia Tributaria. En estos entornos fraudulentos, los usuarios introducen datos sensibles como su DNI o claves de acceso, que pasan directamente a manos de los atacantes. 

La rapidez con la que se ejecutan estas campañas dificulta muchas veces la detección por parte de los filtros de seguridad convencionales de los usuarios. Por ello, se recomienda desconfiar de cualquier comunicación que no haya sido esperada o que no siga los cauces habituales de la administración pública. La irrupción de la inteligencia artificial generativa ha elevado la sofisticación de estos ataques a niveles nunca vistos en campañas de años anteriores. Actualmente, los mensajes de fraude ya no contienen los errores gramaticales o de diseño que antes servían como señales de alerta evidentes. La IA permite crear interfaces idénticas a las oficiales y redactar textos con un tono profesional impecable, incluyendo incluso datos personalizados del contribuyente. Esto genera una falsa sensación de seguridad que facilita que incluso los usuarios más prevenidos puedan bajar la guardia ante una supuesta notificación.

Además, los ciberdelincuentes utilizan ahora ataques multicanal, coordinando correos electrónicos, SMS y llamadas telefónicas para construir una historia creíble y coherente. El objetivo final es siempre el mismo: obtener información confidencial o forzar un pago indebido bajo la apariencia de una gestión oficial necesaria. Pero afortunadamente existen señales de advertencia críticas que todo contribuyente debe aprender a identificar para proteger su información personal y bancaria durante este ejercicio fiscal. Entre ellas destaca el uso de un lenguaje alarmista que menciona bloqueos de expedientes, sanciones inminentes o embargos para provocar miedo en el receptor. También son frecuentes las promesas de reembolsos inmediatos de importes exactos, enviadas a través de enlaces acortados en mensajes de texto SMS. 

Desde Hacienda se recuerda de forma insistente que la Agencia Tributaria nunca solicita pagos urgentes ni datos bancarios a través de medios no seguros como el correo electrónico. Es vital revisar siempre el dominio del remitente, buscando variaciones sutiles que intentan imitar la dirección oficial agenciatributaria.gob.es de forma fraudulenta. Cualquier mensaje que incite a descargar archivos adjuntos, como supuestas facturas o PDFs de notificaciones, debe ser tratado con extrema precaución.

La Organización de Consumidores y Usuarios (OCU) también ha alzado la voz para alertar a los ciudadanos sobre la proliferación de estos engaños estacionales. Según la OCU, los argumentos de los estafadores cambian periódicamente, pasando de requerimientos de pago a peticiones de documentación imprescindible para recibir una devolución. La organización insiste en que la primera pista de fraude es el propio mensaje, especialmente si promete una devolución de dinero totalmente inesperada. Recomiendan encarecidamente no hacer clic en los enlaces recibidos y, en su lugar, pasar el cursor por encima para verificar la dirección de destino real. Si la dirección web no coincide con los dominios oficiales del Estado, se debe eliminar el mensaje de inmediato sin interactuar con él. La OCU recalca que mantenerse alerta es la mejor defensa ya que, una vez introducidos los datos, el proceso de reclamación puede ser complejo.

Para operar con total seguridad, es imprescindible conocer cuáles son los únicos dominios y canales oficiales que utiliza la Agencia Tributaria en sus comunicaciones. Las direcciones web legítimas incluyen siempre dominios como sede.agenciatributaria.gob.es o variantes que finalizan estrictamente en aeat.es o agenciatributaria.es. Además, la administración utiliza sistemas de identificación robustos y oficiales como el certificado digital, el DNI electrónico o el sistema Cl@ve Móvil. Hacienda ha dejado claro que nunca utiliza servicios de mensajería instantánea ni solicita información económica personal a través de plataformas como Bizum. Por otro lado, las llamadas telefónicas de supuestos agentes solo se producen si el contribuyente ha solicitado previamente una cita para ser atendido. Cualquier llamada inesperada que solicite datos bancarios o presione para realizar un trámite en el momento debe considerarse un intento de fraude telefónico o vishing.

Rapidez y pruebas

Otros métodos de engaño incluyen la oferta de servicios de pago para gestionar citas previas que, en realidad, son trámites totalmente gratuitos. Páginas web fraudulentas se presentan como intermediarios para aprovechar la saturación del sistema y la urgencia de los usuarios por resolver su situación. Igualmente, la presencia de formularios excesivamente simples que solicitan la contraseña del correo electrónico es una señal inequívoca de que se trata de una estafa. Ningún organismo oficial pedirá jamás las claves de acceso a servicios personales de mensajería o redes sociales bajo ningún concepto. Los delincuentes también utilizan documentos adjuntos maliciosos que, al ser abiertos, instalan malware en el dispositivo de la víctima para monitorizar su actividad bancaria. 

Ante cualquier duda sobre la autenticidad de un documento, lo más seguro es acudir directamente a la sede electrónica para cotejarlo mediante el código seguro de verificación. En el caso de que un ciudadano sospeche que ha podido caer en la trampa o haya introducido datos en un enlace sospechoso, debe actuar con rapidez. Lo primero es recopilar todas las pruebas posibles, como capturas de pantalla, enlaces y mensajes recibidos, para facilitar una posterior denuncia. Es fundamental cambiar de inmediato las contraseñas comprometidas y contactar con la entidad bancaria para solicitar el bloqueo preventivo de tarjetas o cuentas. El incidente debe reportarse a las Fuerzas y Cuerpos de Seguridad del Estado y a la propia Agencia Tributaria a través de sus canales de denuncias. Además, el INCIBE pone a disposición de los usuarios la Línea de Ayuda en Ciberseguridad (017) para recibir orientación experta sobre cómo proceder tras el ataque. La celeridad en estas acciones, insisten, es determinante para minimizar el impacto financiero y evitar que los delincuentes hagan un uso extensivo de la información robada. 

Anthropic, la startup que compite con OpenAI por el liderazgo de la inteligencia artificial, afirma que ha desarrollado un modelo demasiado peligroso para ser liberado al público. La compañía ha anunciado esta semana que su nueva tecnología, denominada Claude Mythos, posee una capacidad sin precedentes para identificar y explotar vulnerabilidades de ciberseguridad. Según sus datos internos, el sistema ha localizado miles de fallos en los principales programas, incluyendo todos los grandes sistemas operativos y navegadores web.

La startup ha expresado en un comunicado que teme que si publica el modelo en abierto este pueda ser utilizado por grupos de ciberdelincuentes para aprovecharse de agujeros en el código que hasta ahora habían pasado inadvertidos. Claude Mythos es un modelo general que también puede generar texto como los chatbots más conocidos, pero han sido su capacidad de analizar software lo que lo que ha desatado las alarmas.

“Los modelos de IA han alcanzado un nivel de capacidad de codificación que les permite superar a todos, salvo a los humanos más habilidosos, a la hora de encontrar y explotar vulnerabilidades de software”, asegura Anthropic en su comunicado.

Los modelos de IA han alcanzado un nivel que les permite superar a todos, salvo a los humanos más habilidosos, a la hora de encontrar y explotar vulnerabilidades de software

Anthropic

Entre los hitos del modelo, presume Anthropic, está el descubrimiento de una vulnerabilidad de 27 años de antigüedad en OpenBSD, un sistema operativo diseñado específicamente para ser difícil de hackear. Logan Graham, responsable del equipo de pruebas de la empresa, ha calificado el avance como “un punto de inflexión” para la industria tecnológica.

Ante el temor de que la herramienta sea utilizada por los ciberdelincuentes, Anthropic ha optado por un despliegue restringido a través de una iniciativa llamada Project Glasswing. Se trata de una coalición de 40 organizaciones, entre las que se encuentran gigantes como Apple, Amazon, Microsoft, Google y la Linux Foundation, a los que ha dado acceso al modelo para que parcheen las posibles brechas que Claude Mythos pueda detectar en sus sistemas.

A pesar del revuelo generado en torno a las capacidades de esta nueva IA en las últimas horas, por el momento ninguna de estas compañías ha desmentido las capacidades de las que presume Anthropic. Amazon, Google y Microsoft son inversores oficiales de la startup, mientras que Apple y la Linux Foundation colaboran estrechamente con la empresa.

El secretario del Tesoro reúne a los bancos

El debate en torno a Claude Mythos ha escalado fuera de las fronteras de la industria tecnológica este viernes. Varios diarios económicos, entre ellos el Financial Times, han informado de que el secretario del Tesoro de Estados Unidos, Scott Bessent, convocó esta semana a los máximos responsables de algunos de los mayores bancos del país para abordar los riesgos asociados a esta IA.

Según el citado medio, que cita fuentes conocedoras del encuentro, a este asistieron directivos de Bank of America, Citigroup, Goldman Sachs, Morgan Stanley y Wells Fargo. También participó el presidente de la Reserva Federal, Jay Powell. El consejero delegado de JPMorgan Chase, Jamie Dimon también había sido invitado, aunque finalmente no pudo asistir.

Había sido precisamente Dimon el que, en su carta anual publicada esta semana, había escrito que los ciberataques “siguen siendo uno de nuestros mayores riesgos”, que “la IA casi con seguridad lo agravará” y que será necesaria una inversión significativa en defensa.

Según ha informado Anthropic, ya antes de esta reunión con los principales bancos, sus responsables habían iniciado conversaciones con el gobierno estadounidense para hablar de los riesgos de Claude Mythos para la seguridad nacional. La salida a la luz del modelo pilla a la startup en medio de una guerra abierta con la Casa Blanca: Donald Trump ordenó calificar a la empresa como un “riesgo para la cadena de suministro” después de que esta se negara a levantar algunas salvaguardas de seguridad en el uso de su IA en la guerra de Irán.

La sombra de una estrategia comercial

Sin embargo, no todos los expertos comparten el clima de pánico. El analista Gary Marcus, uno de los mayores críticos con el “autobombo” que rodea a la industria de la IA, ha señalado que el anuncio de Anthropic podría estar “inflado” y responder más a una maniobra de marketing que a una amenaza inmediata.

Marcus advierte que, en las pruebas de explotación del navegador Firefox presentadas por la empresa, se desactivó el “sandboxing” (un mecanismo de aislamiento de seguridad), lo que facilitó enormemente la tarea del modelo y lo convirtió más en una “prueba de concepto” que en un peligro real.

Además, Marcus subraya que modelos de código abierto mucho más pequeños y económicos ya han demostrado ser capaces de realizar análisis de vulnerabilidades similares a los de Mythos. Para el analista, el modelo está “en la tendencia” de evolución de la industria, pero no representa un salto fuera de los gráficos respecto a sus competidores.

El apartamento vacacional cerca de las ruinas romanas de Pompeya era “asqueroso” y olía a “una mezcla de humedad y alcantarilla”, según un usuario en Google Maps. Yo nunca lo visité, pero le puse cinco estrellas.

Hice lo mismo con un hotel DoubleTree de Hilton al otro lado del Támesis, un hotel Ibis budget en el este de Londres que forma parte del grupo Accor, un Travelodge céntrico y el cercano Hyatt Place; algunas de las marcas hoteleras más conocidas del mundo. Entre medias se mezclaban solicitudes de reseñas para hostales y pensiones en Génova, Nápoles, Maastricht, Cracovia y Bruselas. Durante unos días tuve un nuevo trabajo: escribir reseñas falsas en Google Maps a cambio de criptomonedas.

Todas las marcas hoteleras que respondieron a una solicitud de comentarios para este reportaje afirmaron que no tenían nada que ver con las reseñas y, de hecho, aseguraron no haber visto nunca nada parecido. Entonces, ¿qué está pasando? La respuesta parece ofrecer una pequeña pincelada sobre la enorme y creciente industria de las estafas online, que está socavando la confianza en las valoraciones de los clientes —una parte vital del comercio electrónico— y costando a los consumidores miles de millones de euros al año.

Pero las reseñas de hoteles podrían no ser el objetivo principal de la estafa: de hecho, el blanco principal de los estafadores era probablemente yo, al igual que todas las demás personas tentadas a escribir las reseñas.

“Es un placer conocerte”, fue el primer mensaje de “Sharon Roberts”, una cuenta de Telegram ya eliminada que era, casi con toda seguridad, un seudónimo. No era el primer mensaje que recibía: mi número está en alguna lista de víctimas potenciales, por lo que me llegan dos o tres ofertas de trabajo al mes. Esta vez decidí comprobar si las promesas de ganar hasta 800 libras (unos 916 euros) al día eran ciertas.

Tras responder, siguieron nueve días de insistencia, instrucciones y mensajes motivadores para intentar convencerme de que aceptara el trabajo. “¿Es esto legal?”, pregunté. La confusa respuesta de Sharon, en un inglés que no parecía propio de un hablante nativo, fue: “Colaboramos con operadores de SMS a través de la publicación de ofertas de trabajo en Telegram y SMS”.

Pero Sharon era solo una reclutadora. Los estafadores más profesionalizados han adoptado la división del trabajo, asignando cada fase del engaño a un especialista. Sharon me derivó a una “recepcionista” que se hacía llamar Victoria Castillo; de nuevo, no había pruebas de que el nombre perteneciera a la persona real. Victoria me guio en el proceso de configurar un monedero de criptomonedas en una plataforma de intercambio estadounidense y en cómo aceptar pagos en USDC, una stablecoin vinculada al valor del dólar. (Según la legislación británica, los receptores de pagos en criptomonedas deben declarar su origen. “Puedes ignorar eso”, fue el consejo de Victoria cuando le pregunté por la notificación).

Las fotos de perfil de Victoria mostraban a una mujer rubia frente al perfil de una ciudad no identificada, o con un impecable traje de esquí blanco junto a una pista nevada. Dijo que vivía en Nueva York pero que había nacido en el Reino Unido. Las búsquedas inversas de imágenes sugirieron que el rostro de esa persona coincidía con fotografías de varios sitios web pornográficos.

Internet ha permitido que el fraude se convierta en una industria verdaderamente global. Investigadores de todo el mundo han detectado un aumento de este tipo de estafas operadas desde países con leyes laxas, como Camboya, Myanmar o Rusia. En algunos casos, los propios estafadores son víctimas de trata y esclavitud en centros de estafas que funcionan como prisiones. Cuando más tarde le preguntamos a Victoria si corría algún peligro, su respuesta fue: “¿Ah? Siempre estoy a salvo”. Su perfil no daba ninguna indicación de dónde se encontraba.

Serpil Hall, una consultora de fraude que lleva 20 años luchando contra los estafadores, afirma haber visto un gran aumento en el volumen de estafas online en los últimos seis o siete años, impulsado por nuevas tecnologías que facilitan a los delincuentes la suplantación de empresas oficiales. “En lo que respecta a las estafas, se están volviendo muy hábiles”, señala. “Especialmente con la IA, la IA generativa y ahora la IA agéntica”, bots que pueden operar de forma independiente y realizar acciones en el mundo real, potencialmente contra las víctimas.

Suplantación de empresas

Mis empleadores no parecían estar utilizando las herramientas más sofisticadas, pero lo compensaban con el volumen. Victoria me dirigió a un canal de Telegram independiente, con el nombre y una imagen corporativa aproximada de Quad Marketing Agency, una gran empresa que cotiza en la bolsa de Nueva York.

Un portavoz de Quad declaró: “Quad no tenía información sobre este canal y no está afiliada a él de ninguna manera. Estamos revisando este asunto y tomaremos las medidas justificadas y apropiadas con respecto a este uso no autorizado del nombre de Quad y la consiguiente imitación de nuestro logotipo”.

El canal que pretendía ser Quad, fácilmente accesible para cualquier persona en Telegram, tiene 16.800 suscriptores, mientras que otro canal casi idéntico cuenta con 14.700, lo que permite vislumbrar la escala industrial de la operación. Un portavoz de Telegram afirmó que cuentan con un “robusto sistema antispam” que previene muchas estafas antes de que comiencen.

“Aunque lamentablemente las estafas están presentes en todas las redes sociales, Telegram elimina rutinariamente este tipo de fraudes de su plataforma como parte de sus procesos normales de moderación”, señaló el portavoz. “Los moderadores, apoyados por herramientas de IA personalizadas, supervisan proactivamente las partes públicas de la plataforma y aceptan denuncias para eliminar millones de contenidos dañinos cada día, incluyendo estafas de reseñas fraudulentas”.

Los moderadores, apoyados por herramientas de IA personalizadas, supervisan proactivamente las partes públicas de la plataforma y aceptan denuncias para eliminar millones de contenidos dañinos cada día

Portavoz de Telegram

Los canales publican un flujo constante de “trabajo” de 8:00 a 19:00 (hora del Reino Unido): hasta 14 reseñas, pagadas inicialmente a 5 dólares por cada una. Estas se intercalan con “tareas comerciales”, en las que el trabajador envía criptomonedas y los empleadores le devuelven la misma cantidad con una generosa comisión añadida. Desde el 12 de marzo, el canal había publicado casi 6.000 mensajes solicitando reseñas falsas.

Accor y Travelodge afirmaron que no tenían nada que ver con las reseñas falsas y que tratarían de garantizar que no se publicara ninguna. Un portavoz de Travelodge declaró: “Nos tomamos muy en serio la integridad de las valoraciones de los clientes y, como establece nuestra política, no creamos, encargamos ni publicamos reseñas falsas bajo ninguna circunstancia”. The Guardian también contactó con Hilton y Hyatt Place para obtener comentarios, pero no hubo respuesta.

Otra oferta de trabajo de reseñas falsas ligeramente diferente, también organizada a través de Telegram, utilizaba la imagen de HotelsCombined (parte del grupo Booking.com) para solicitar reseñas de hoteles en lugares tan distantes como Bucarest, Bali y Tailandia a través de un sitio web diseñado a medida por los estafadores.

Un portavoz de Booking.com señala que solo los clientes con estancias confirmadas pueden publicar reseñas, lo que sugiere que es poco probable que las falsas lleguen a publicarse. El portavoz añade: “Esas medidas, combinadas con equipos especializados y sistemas automatizados, significan que contamos con un procedimiento robusto para detectar y prevenir reseñas que no cumplan con nuestras directrices de contenido”.

Cómo utilizan a las víctimas

Había varias formas posibles en las que los estafadores podrían haber estado utilizando a víctimas como yo.

En primer lugar, las reseñas en internet han facilitado que los delincuentes vendan productos y servicios fraudulentos. La Autoridad de Mercados y Competencia del Reino Unido (CMA) descubrió en 2023 que los textos de reseñas falsas en productos causan un perjuicio anual de entre 50 y 312 millones de libras a los consumidores británicos (y eso sin incluir servicios como los hoteles). La CMA afirmó que entre el 11% y el 15% de todas las reseñas eran falsas en los productos que examinó, incluyendo auriculares Bluetooth, planchas, hervidores, sillas de escritorio, botellas de agua, esterillas de yoga y aspiradoras.

Ese es un dinero que, esencialmente, se embolsan los estafadores, lo que hace que el trabajo de los reseñadores falsos sea potencialmente valioso. Es poco probable que alguna de las grandes cadenas hoteleras haya pagado por reseñas falsas, pero el servicio está fácilmente disponible a través de búsquedas en internet y podría resultar tentador para un operador más pequeño.

Luego están las transacciones en sí mismas. Recibí 5 dólares en USDC por cada reseña falsa. Chainalysis, una firma que rastrea transacciones en blockchain —a menudo en colaboración con las fuerzas de seguridad—, señaló que los monederos que realizaron los pagos y otros vinculados a ellos siguen un patrón constante que revela la escala industrial de las estafas. Los monederos se recargan desde otros lugares antes de enviar decenas de miles de pequeños pagos, presuntamente a reclutas como yo. Estos monederos solían repartir entre 300.000 y 600.000 dólares en USDC antes de transferir el dinero restante.

Bajo las leyes introducidas en el Reino Unido el pasado abril, las plataformas web como Google que albergan reseñas deben tener políticas claras para la prevención y eliminación de valoraciones falsas e incentivadas, marcar actividades sospechosas y garantizar, en la medida de lo posible, que las reseñas publicadas sean auténticas y no engañosas.

Tras la presión de la CMA, Google acordó este año hacer más para identificar y eliminar reseñas falsas. Y, para mi tranquilidad, mi racha de valoraciones fraudulentas activó una respuesta automática. Al menos algunas parecen haber sido bloqueadas por los sistemas de Google.

Google afirmó que toma medidas rápidas contra los malos actores eliminando el contenido que infringe sus políticas, suspendiendo cuentas e incluso emprendiendo acciones legales. La empresa señaló que ha eliminado más de 240 millones de reseñas falsas desde 2024 —la gran mayoría antes de que fueran visibles— y que ha restringido 900.000 cuentas por violar sus normas.

La estafa del cerdo

Hall explica que quienes se dedican a las reseñas falsas han recurrido a “bots humanos” porque “las empresas se están adelantando y aplicando medidas” para detectar la actividad fraudulenta. Sin embargo, añadió que lo más probable es que los estafadores estuvieran haciendo un “doble juego”: usar mi trabajo, pero también utilizar los pagos para el blanqueo de capitales, antes de estafarme a mí al final del proceso.

Las criptomonedas desempeñan un papel crucial. Por diseño, los activos digitales registran todas las transacciones en una cadena de bloques pública. Pero el “tumbling” (unir dinero negro en una sola cuenta, dividirlo y recombinarlo muchas veces) puede ayudar a ocultar su origen, un servicio muy valioso para los grupos criminales.

Tras aprovecharse de mi trabajo, la atención de los estafadores se centró finalmente en sacarme dinero; una versión a menor escala de las estafas de “matanza del cerdo”, en las que los delincuentes “ceban” a sus objetivos ganándose su confianza para luego huir con grandes sumas de dinero. Victoria me dijo que la única forma de continuar sería realizar una “tarea comercial”, que consistía en pagar 50 dólares para recibir 60 de vuelta.

Una tabla publicada regularmente en el canal detallaba de forma muy útil lo que podía esperar si seguía adelante: pagos cada vez mayores reportarían beneficios cada vez más altos, alcanzando un máximo de 16.000 dólares por un desembolso inicial de 10.000.

Aunque el estafador pueda realizar unos pocos pagos iniciales para infundir confianza en las víctimas, el objetivo final es huir con los fondos

Jacqueline Burns Koven — jefa de inteligencia de ciberamenazas en Chainalysis

Jacqueline Burns Koven, jefa de inteligencia de ciberamenazas en Chainalysis, señala: “Esto parece similar a las estafas de empleo. Básicamente, un fraude donde la gente se registra para hacer 'tareas' y acumular un saldo, para luego tener que pagar si quieren retirar ese dinero o 'actualizar' su cuenta. Aunque el estafador pueda realizar unos pocos pagos iniciales para infundir confianza en las víctimas, el objetivo final es huir con los fondos”.

Victoria enviaba recordatorios motivacionales diarios para intentar que me involucrara, pero la cuenta de gastos de The Guardian no llega para enviar miles de libras a posibles estafadores, así que llegué al final del camino. Cuando le revelé que era periodista y le pregunté quién era realmente, se quejó de que estaba invadiendo su privacidad antes de dejar de responder. No contestó a una solicitud detallada de comentarios.

Gané 30 dólares por varias horas de trabajo repartidas a lo largo de semanas. Mientras tanto, un par de mensajes más han llegado a mi Telegram: mujeres jóvenes ofreciendo más trabajo.

Bankinter ha tenido que asumir la responsabilidad de una de las mayores brechas de seguridad de la banca digital reciente tras la absorción de EVO Banco. La Agencia Española de Protección de Datos (AEPD) ha impuesto a la entidad una multa de 400.000 euros como responsable última del agujero originado en EVO, aunque ha aceptado como atenuante el hecho que este se produjo con anterioridad a la fusión. Tras asumir la responsabilidad y acogerse al pago voluntario, la cuantía final ha sido de 240.000 euros.

La causa de la brecha fue un “error manual” de configuración durante un proceso de migración de software, según ha reconocido Bankinter. El fallo permitía realizar consultas masivas a la base de datos sin necesidad de credenciales válidas, algo que los sistemas de validación de la entidad no detectaron porque solo comprobaban que los datos se entregaran correctamente, pero no quién los solicitaba.

El agujero estuvo abierto desde febrero a abril de 2024. En marzo del mismo año, un ciberdelincuente descubrió la vulnerabilidad y durante cuatro días realizó hasta cinco millones de peticiones de datos. Más de 1,2 millones de esas consultas resultaron exitosas. No obstante, el informe pericial independiente citado en la resolución de la AEPD recoge que no existen pruebas de que el atacante pudiera exportar toda la información proporcionada por el sistema.

Esas fichas personales incluían números de cuenta IBAN, declaraciones de IVA del último ejercicio, ingresos mensuales, situación laboral y años trabajados de los afectados. La AEPD alerta en su resolución que esta combinación de datos permite construir un perfil “completo y detallado” de un individuo, lo que dispara las posibilidades de que sean víctimas de intentos de fraude o suplantaciones de identidad.

Sin embargo, los ciberdelincuentes no se detuvieron ahí. En una maniobra típica de estos grupos cuando tienen acceso a una brecha de alta gravedad, lanzaron una campaña de extorsión contra varios empleados del banco. Primero, publicaron los datos de 10 víctimas en un portal de la dark net como prueba de su ataque. Después, exigieron un pago a los responsables para retirar la información, entre ellos el jefe de ciberseguridad de EVO.

Al no obtener el dinero, los ciberdelincuentes cumplieron su amenaza y publicaron más paquetes de información de afectados, que incluían perfiles personales detallados de 958 clientes y cuatro trabajadores del banco.

En su resolución, la AEPD critica que la entidad careciera de medidas de cifrado o anonimizado adecuadas para este tipo de datos, lo que permitió que la información fuera visible para cualquiera que lograra acceso. “Los afectados confían en la entidad para el manejo seguro de su información personal, habiéndose erosionado la confianza y expectativas razonables de los afectados respecto al tratamiento de sus datos personales”, señala la Agencia.

Bankinter adquirió EVO Banco en 2019, pero ambas entidades continuaron operando como filiales separadas. El anuncio de la fusión definitiva llegó en abril de 2024, unas semanas después de que se produjera la brecha de seguridad ahora sancionada. La integración definitiva de los dos bancos concluyó el 14 de julio de 2025, fecha en la que EVO desapareció como entidad independiente y Bankinter asumió tanto la cartera de clientes como las responsabilidades legales derivadas de la gestión anterior.

Las víctimas de estafas digitales como el 'phishing' podrían contar pronto con una protección jurídica sin precedentes gracias a la Unión Europea. Y es que el Tribunal de Justicia de la Unión Europea (TJUE) estudia actualmente un caso que podría obligar a los bancos a agilizar las devoluciones de dinero sustraído. Según las conclusiones del Abogado General, las entidades financieras deberían realizar reembolsos automáticos incluso ante sospechas de descuido por parte del usuario afectado. Esta postura busca equilibrar la balanza en un escenario donde los ataques de ciberdelincuentes son cada vez más sofisticados y difíciles de detectar. Si el tribunal confirma este criterio, el proceso de recuperación de fondos dejará de ser una carrera de obstáculos para los ciudadanos estafados por la ciberdelincuencia.

El cambio normativo afectaría directamente a cómo los proveedores de servicios gestionan los fraudes por enlaces falsos o suplantación de identidad. En la actualidad, el principal escollo para los usuarios es que los bancos suelen rechazar sistemáticamente el reembolso alegando una supuesta negligencia grave del cliente. Esta práctica obliga a la parte más débil del contrato a soportar el golpe económico inicial y a iniciar procesos judiciales costosos. Muchas personas terminan renunciando a su dinero debido al desgaste emocional y al tiempo que conlleva litigar contra una gran entidad financiera. Organizaciones de consumidores como la OCU denuncian que las entidades usan este argumento de forma genérica y sin aportar pruebas concretas de la falta de cuidado.

Este vacío legal permite en la actualidad que los bancos desplacen la responsabilidad al consumidor desde el primer momento de la reclamación. La futura sentencia europea pretende acabar con esta indefensión estructural permitiendo que el afectado recupere su liquidez de forma inmediata y sencilla. El Abogado General del TJUE, Athanasios Rantos, ha defendido concretamente y con claridad que el reembolso debe ser la prioridad absoluta tras una estafa. Sus conclusiones, aunque no son vinculantes para el tribunal, suelen marcar la línea que seguirá la sentencia definitiva en los próximos meses. Rantos sostiene que la normativa europea de servicios de pago exige que el banco devuelva el importe el mismo día hábil de la queja. 

Bajo esta premisa, la entidad no podría bloquear el dinero basándose únicamente en su propia sospecha subjetiva sobre el comportamiento del usuario. Se trata de un cambio de paradigma: primero se restablece el saldo de la cuenta y después se discute la culpabilidad. Esta interpretación refuerza los derechos financieros de los consumidores frente a la creciente ola de fraudes en la banca electrónica actual. El origen de esta controversia legal se encuentra en un juzgado de Polonia que elevó una cuestión prejudicial al alto tribunal comunitario. El caso involucra a una mujer que fue víctima de un engaño tras recibir un enlace falso que imitaba a su entidad bancaria. Los estafadores consiguieron sus claves de acceso y realizaron un pago no autorizado que el banco se negó a cubrir inicialmente.

La entidad argumentó que la divulgación de las credenciales, incluso bajo engaño, constituía una infracción grave de las obligaciones de seguridad. La afectada defendió ante los tribunales que solo el fraude propio o la mala fe probada deberían impedir el reintegro inmediato. Esta disputa ha servido para que el TJUE defina si la negligencia es motivo suficiente para retener fondos sustraídos fraudulentamente. La tesis defendida por el Abogado General distingue nítidamente entre la devolución inmediata y la responsabilidad final del incidente económico. El banco debe reintegrar el dinero sin dilaciones, pero esto no significa que el cliente quede exento de toda responsabilidad posterior. 

Es decir, si más adelante se demuestra que el usuario actuó con un descuido inexcusable, el banco podrá reclamar legalmente el importe devuelto. Este mecanismo evita que la simple acusación de negligencia sirva como excusa automática para que el banco no pague desde el inicio. El objetivo es que el usuario no cargue con la pérdida inicial mientras se resuelve la compleja investigación técnica del fraude. Es una estrategia de “reembolsar primero y discutir después” que garantiza la liquidez inmediata de las víctimas de estos delitos.

Futuro precedente obligatorio

Según el Derecho europeo, solo existe una excepción válida para que un banco frene el reembolso automático de una operación no autorizada. La entidad solo podría negarse si tiene motivos razonables para sospechar un fraude cometido por el propio usuario de la cuenta. En tal caso, el banco está obligado a comunicar sus sospechas por escrito al organismo supervisor nacional, como el Banco de España. Fuera de este supuesto, la sospecha de haber pinchado en un enlace malicioso no bastaría para retener el dinero. La carga de la prueba recae sobre la institución financiera, que debe demostrar ante un juez la negligencia específica del cliente. De este modo, se protege a los autónomos y consumidores de la indefensión que supone enfrentarse a algoritmos bancarios opacos.

En España, la situación es crítica debido al aumento exponencial de casos de 'phishing' que terminan en largas disputas sin resolución rápida. La OCU señala que muchas entidades rechazan los reembolsos de forma automática, obligando a los afectados a acudir al Banco de España. Sin embargo, el supervisor nacional reconoce a menudo que determinar la existencia de negligencia grave excede sus competencias administrativas. Esto deja a los ciudadanos en un callejón sin salida legal que solo se resuelve mediante demandas judiciales lentas y costosas. La futura sentencia del TJUE sentará un precedente obligatorio que todos los juzgados de la Unión Europea deberán acatar y aplicar. Los protocolos internos de las cajas y bancos españoles tendrán que ser revisados profundamente para cumplir con el nuevo marco protector.

Una nueva campaña de ciberestafa ha puesto en alerta a las autoridades españolas tras detectarse una suplantación masiva de Mi Carpeta Ciudadana, el portal administrativo oficial. El Instituto Nacional de Ciberseguridad (INCIBE) y la Guardia Civil han denunciado este fraude, que utiliza un reclamo económico muy tentador para engañar a miles de usuarios: los estafadores envían correos electrónicos que notifican un supuesto ingreso de 552,97 euros a favor del ciudadano, generando una sensación de urgencia y curiosidad inmediata en el receptor. Este gancho emocional está diseñado específicamente para que la víctima actúe de forma impulsiva y pinche en el enlace de acceso sin verificar la veracidad del mensaje.

El objetivo final de los profesionales de la ciberdelincuencia es obtener información personal y bancaria altamente sensible de ciudadanos que creen estar gestionando un trámite legítimo. La importancia de esta alerta es alta, debido a la sofisticación del engaño y al uso de logotipos oficiales que confunden a la población. Y es que Mi Carpeta Ciudadana es el espacio digital del Gobierno que permite a los ciudadanos consultar sus datos y realizar trámites administrativos en un único lugar de forma cómoda. Debido a la gran utilidad de este servicio, que evita desplazamientos físicos a las oficinas públicas, los atacantes han visto una oportunidad para camuflar sus peligrosos engaños. 

El portal oficial facilita la gestión de expedientes, citas previas y notificaciones de diversas administraciones, lo que otorga una apariencia de seriedad a cualquier mensaje recibido. Los estafadores se aprovechan de esta confianza institucional para lanzar ataques de tipo ‘phishing’ de forma indiscriminada a una enorme cantidad de correos electrónicos. Resulta fundamental comprender que este servicio administrativo nunca enviará comunicaciones solicitando datos bancarios privados a través de un simple mensaje de correo electrónico. La seguridad de la administración pública se basa en sistemas de identificación mucho más robustos y protegidos que un simple enlace directo.

El diseño del mensaje fraudulento es sumamente engañoso, ya que incluye el logotipo oficial de Mi Carpeta Ciudadana para proyectar una imagen de autenticidad y confianza absoluta. Además, los delincuentes utilizan un lenguaje técnico y legal, mencionando leyes como la 39/2015 y referencias de expedientes ficticios para intimidar a la posible víctima. El asunto del correo suele ser “Notificación de ingreso disponible”, un mensaje directo que busca la interacción inmediata del usuario antes de analizar los detalles. Otra señal sospechosa es que el texto invita a responder directamente al correo electrónico en caso de duda, algo que los sistemas oficiales nunca harían. Las notificaciones administrativas reales son unidireccionales y se gestionan exclusivamente a través de las sedes electrónicas oficiales tras una identificación de seguridad. 

Para identificar este fraude, el primer paso esencial es fijarse detenidamente en la dirección de correo electrónico del remitente, que suele ser la señal más reveladora. En este caso concreto, el correo proviene del dominio “info.com.es”, mientras que la Administración General del Estado siempre utiliza dominios terminados en “.gob.es”. Cualquier comunicación administrativa que llegue desde extensiones como .com, .net o .info debe ser tratada automáticamente como una amenaza potencial de ciberseguridad. Los expertos recomiendan pasar el ratón por encima de los enlaces sin pulsar para ver la dirección URL real a la que pretenden redirigir al usuario. Si la página de destino no comienza exactamente por la dirección oficial “micarpetaciudadana.gob.es”, se trata inequívocamente de un sitio web malicioso controlado por criminales. 

Cuando una persona pulsa en el botón de “Acceder ahora”, es redirigida a una página web que imita a la perfección el diseño del portal gubernamental para engañar. En este sitio falso, se le solicita al usuario que inicie un proceso de supuesta verificación y reidentificación para poder recibir el ingreso económico prometido. El formulario exige la introducción de datos personales críticos como el nombre completo, apellidos, fecha de nacimiento, número de teléfono y el número del DNI. Es en este momento cuando la víctima comienza a entregar las llaves de su identidad digital a los atacantes, primer paso de una estafa que busca posteriormente acceder a las cuentas bancarias.

Tras capturar la información personal, la web fraudulenta solicita al usuario que introduzca su número de cuenta bancaria o IBAN para efectuar el supuesto ingreso de dinero. Inmediatamente después, aparece una pasarela de pago ficticia que pide la contraseña de acceso a la banca electrónica del usuario bajo un falso pretexto de seguridad. Es vital recordar que ningún organismo público solicitará jamás una contraseña de acceso bancario a través de un enlace enviado por un correo electrónico. Una vez que el usuario facilita estas credenciales, los ciberdelincuentes obtienen el control total para realizar transferencias o contrataciones no autorizadas en su nombre. 

La mejor forma de evitar caer en estas trampas es recordar que para cualquier gestión oficial se requiere obligatoriamente el uso del sistema Cl@ve o certificado digital. Si al acceder a una supuesta web de la administración no se solicita uno de estos métodos de identificación oficial, es una señal inequívoca de un posible fraude. Nunca se deben seguir enlaces contenidos en mensajes sospechosos, especialmente aquellos que prometen inesperados ingresos de dinero. Si ya se han facilitado datos personales o bancarios en la web falsa, es imperativo actuar con la máxima celeridad para minimizar los posibles daños económicos futuros. 

Obtener pruebas y denunciar

El primer paso debe ser contactar inmediatamente con la entidad bancaria para bloquear las cuentas, tarjetas y cambiar las claves de acceso a la banca digital. Es fundamental guardar todas las evidencias posibles del fraude, como capturas de pantalla del correo y de la web maliciosa. Con estas pruebas, se debe acudir a una comisaría de la Policía Nacional o de la Guardia Civil para interponer la denuncia correspondiente lo antes posible. También se recomienda cambiar las contraseñas de otros servicios digitales. La rapidez en la respuesta es determinante para que el banco pueda intentar recuperar los fondos y para proteger la identidad.

Para una protección a largo plazo, las autoridades recomiendan realizar prácticas de “egosurfing” periódicamente para detectar si nuestros datos personales han sido filtrados en internet. Existen herramientas y buscadores especializados que notifican si una dirección de correo o un número de teléfono aparecen en bases de datos de ciberataques previos. Ante cualquier duda sobre la veracidad de una comunicación oficial, los ciudadanos tienen a su disposición el número gratuito 017 de Ayuda en Ciberseguridad. Este servicio del INCIBE ofrece asesoramiento personalizado para confirmar si un mensaje es legítimo o si forma parte de una campaña de ‘phishing’ activa. 

LeakBase, uno de los principales mercados mundiales de compraventa de datos personales y contraseñas robadas, ha sido clausurado en una operación internacional en la que han participado la Policía Nacional y la Guardia Civil. La intervención se ha ejecutado de forma simultánea en 14 países para tumbar una plataforma que acumulaba más de 142.000 usuarios registrados desde su creación en el año 2021 y era accesible desde la web abierta.

La Policía describe a LeakBase como “un centro clave en el ecosistema del cibercrimen, especializado en el comercio de bases de datos filtradas”, así como en “los llamados stealer logs”, que son archivos de contraseñas y otras credenciales robadas programas maliciosos instalados en dispositivos infectados.

La información comercializada procedía fundamentalmente de brechas de seguridad en grandes compañías y del volcado de datos de equipos domésticos infectados con este tipo de malware. Los paquetes de datos expuestos incluían nombres de usuario, contraseñas y otros identificadores personales que posteriormente eran adquiridos por otros ciberdelincuentes “para ejecutar fraudes, suplantaciones de identidad o nuevos ciberataques”.

LeakBase había tenido un crecimiento exponencial desde 2024, cuando cayó otro foro similar llamado BreachForums. A finales de 2025 acumulaba ya unos 32.000 hilos públicos activos y 215.000 mensajes privados a diciembre 2025, según la información de diversos analistas de ciberseguridad. Su archivo maestro acumulaba cientos de millones de contraseñas robadas, incluyendo compilaciones como RockYou2024 (que agrupaba más 10.000 millones de contraseñas), que LeakBase revendía en paquetes segmentados por país o tipo de cuenta.

La plataforma surgió en 2021 como alternativa “fiable” a foros rusos como Exploit.in, posicionándose en la web para atraer a criminales no tan especializados en los ciberataques. “Entre sus normas internas destacaba la prohibición expresa de vender o publicar datos relacionados con Rusia”, recalca la Policía, una regla diseñada a evitar los contraataques de los grupos procedentes del país y hacer de LeakBase un “puerto seguro” para ciberdelincuentes occidentales.

Un detenido en España

En el despliegue realizado en España los agentes identificaron a dos personas y detuvieron a una de ellas. Estos individuos habían, presuntamente, “implementado complejos sistemas de anonimización y desarrollado técnicas avanzadas para ocultar su huella digital y dificultar su localización”. También se han efectuado dos registros domiciliarios en las provincias de A Coruña y Vizcaya, durante los que se ha intervenido abundante material informático y documentación relacionada con la gestión del portal.

“Como parte de la investigación, las autoridades incautaron la base de datos del foro, lo que permitió la desanonimización de numerosos usuarios que creían operar de manera anónima. Los agentes continúan rastreando activamente las huellas digitales para identificar a más infractores y establecer sus identidades en el mundo real”, detallan las autoridades.

Además de España, los países participantes en la operación han sido Australia, Estados Unidos, Canadá, Bélgica, Alemania, Grecia, Kosovo, Malasia, Países Bajos, Polonia, Portugal, Rumanía y Reino Unido.

“Esta operación también sirve como recordatorio de que, cuando se produce una filtración de datos, la información robada no desaparece automáticamente, sino que puede reaparecer en plataformas ilegales, donde podría ser utilizada para estafas, suplantaciones de identidad o intentos de acceso no autorizado a cuentas”, recuerda la Policía: “Proteger los datos personales sigue siendo esencial. Emplear contraseñas fuertes y únicas, junto con la activación de la autenticación multifactor, ayuda a reducir significativamente los riesgos si la información se ve comprometida”.

Los delitos contra la libertad sexual aumentaron un 8,2% en Cantabria en 2025 al registrarse 171, frente a los 158 del año anterior. Esta subida porcentual está provocada por el ascenso de agresiones sin penetración, que se elevaron hasta las 129 (14 más que en 2024, un 12,2% más), mientras que las agresiones con penetración fueron 42 (una menos, que supone una caída del -2,3%).

Así se desprende del Balance de Criminalidad hecho público este jueves por el Ministerio del Interior, en el que también destaca el aumento de la cibercriminalidad en un 8%, al contabilizarse en 2025 7.056 infracciones de este tipo frente a las 6.536 del pasado ejercicio. La gran mayoría, 6.258, fueron estafas informáticas (+8,4%), mientras que 798 fueron otros ciberdelitos (+4,7%). En cuanto a la criminalidad convencional, se registraron 18.557 delitos entre enero y diciembre, un 1,6% más.

Así, el global de infracciones penales en Cantabria se cerró en 2025 con un 3,3% de incremento, teniendo en cuenta la cibercriminalidad y las tipologías convencionales, que suman 25.613 hechos delictivos frente a los 24.792 de 2024. De este modo, del total de infracciones penales conocidas entre enero y diciembre, un 27,5% corresponden a las cometidas a través de Internet o por medio de la red.

En cuanto al resto, en el último ejercicio aumentaron los hurtos en un 9% (5.128), los delitos graves y menos graves de lesiones y riña tumultuaria un 7% (413) y el tráfico de drogas un 6,6% (81). Por el contrario, descendieron los robos de vehículos (-13,9%, hasta los 142), los robos con fuerza en domicilios, establecimientos y otras instalaciones (-11,9%, con 1.392) y los robos con violencia e intimidación (-3,7%, con 236).

Además, no se registraron en 2025 homicidios dolosos y asesinatos consumados (en 2024 hubo tres) y las tentativas de homicidio y asesinato se redujeron un 55,6% al pasar de 18 a 8.

Por todas las infracciones penales conocidas en 2025, las Fuerzas y Cuerpos de Seguridad (Policía Nacional, Guardia Civil y policías locales) han detenido y/o investigado a 4.895 personas.

Con estos datos, la tasa de criminalidad en Cantabria se sitúa en 43,1 infracciones penales por cada 1.000 habitantes y coloca a la comunidad autónoma como la octava más segura de España, por detrás de Extremadura (34,6), Galicia (35,4), Asturias (35,7), La Rioja (36,7), Castilla y León (40,3), Castilla-La Mancha (41,2) y Aragón (41,2).

Con esa tasa de 43,1 delitos por cada 1.000 habitantes, Cantabria se encuentra más de siete puntos por debajo de la tasa de criminalidad del conjunto del país, que se situó al cierre de 2025 en 50,4.

Por otro lado, el Balance de Criminalidad recoge los indicadores de seguridad de los municipios con más de 20.000 habitantes (se tiene en cuenta la población empadronada y no la vinculada), que en el caso de Cantabria son Santander, Torrelavega, Camargo, Castro Urdiales y Piélagos.

Según la información facilitada por la Delegación del Gobierno, la capital cerró 2025 con una tasa de criminalidad de 49,8 infracciones penales por cada 1.000 habitantes, mientras que en Torrelavega se situó en 46,8; en Camargo en 54,2; en Castro Urdiales en 47,1 y en Piélagos en 31,2.

La Audiencia Nacional confirma la condena a un año de cárcel a un activista de extrema derecha que promovió un ataque informático contra la web del PSOE en 2023. Los jueces consideran probado que cometió un delito de daños informáticos al hacer un “llamamiento masivo y generalizado” para colapsar los servidores del partido y facilitar las herramientas técnicas para ello. El tribunal también le obliga a indemnizar al PSOE con 40.376, 75 euros, según recogen las sentencias del Juzgado Central de lo Penal y de la Sala de lo Penal, adelantadas por El País y a las que ha tenido acceso elDiario.es.

Los hechos se remontan a noviembre de 2023, cuando la sede federal de los socialistas en la calle Ferraz de Madrid fue objeto de protestas tras la firma del pacto de investidura entre PSOE y Junts y la ley de amnistía a los líderes del procés. El día 7 de ese mes, el condenado difundió dos mensajes a través de un perfil de X —antes Twitter— en cuya biografía aparecía el siguiente texto: “Movimiento anónimo contra de la expansión del Islam por España y Europa ”.

En el primer mensaje, difundido a las 14.42 horas, se hacía un llamamiento para atacar las páginas web vinculadas al Gobierno de España. “Buena gente si podéis hacerle llegar esto más gente sería de mucha ayuda, hemos desarrollado una herramienta para atacar y modo de protesta al Gobierno” (sic), escribió. Además, se incorporaba un enlace a un script o herramienta diseñada para la realización de peticiones masivas a dichas páginas web. En el segundo, publicado a las 21.19 horas, se hacía eco del llamamiento realizado e informaba de que “el apoyo del pueblo español” había dejado fuera de servicio la página web del PSOE. 

Menos de diez minutos después, la empresa encargada de la gestión de la infraestructura de la página web del partido detectó un funcionamiento anómalo de los servidores donde se aloja la página web, viéndose obligada a suspender el funcionamiento del servidor para evitar daños tanto el propio dispositivo como a su contenido. 

Durante el juicio, el propio acusado “reconoció” que “incitó de forma generalizada a los usuarios de la red a colapsar la página web del partido socialista y además facilitó un script que él mismo describió diciendo que todos los usuarios que entraban en él era como si entraran en la página del PSOE” y “reconociendo que se causó la saturación del servicio del PSOE”, recoge la resolución de la Sala de lo Penal del pasado 20 de noviembre. Esa sentencia confirmó una previa del Juzgado Central de lo Penal.

Los jueces subrayan que la coordinación de un sabotaje digital supera los límites de la protesta política legítima. Y recuerdan que la doctrina tanto del Tribunal Supremo como del Constitucional determinan que la libertad de expresión tiene límites cuando se trata de mensajes que incorporan amenazas o intimidaciones y que “existen líneas rojas que no se pueden traspasar”. 

“No se trata de expresiones, frases, o palabras aisladas, sino de una conducta dolosa, que además no fue realizada de forma espontánea, sino de una reiteración de tuits, colgados en las redes sociales, y que además fueron realizados y publicados de manera intencionada, voluntaria, de forma reflexiva y consciente por el acusado, en las redes sociales”, sostiene la Audiencia Nacional. 

“Solo quienes deben saberlo lo saben”. Así se describe el lugar en el que se celebrará en Barcelona, el próximo 15 de enero, el encuentro de ciberespionaje Offensive. Nadie sabe la localización exacta de la reunión: se comunicará a los asistentes a las ocho de la mañana de ese mismo día.

El reclamo para el encuentro es “Sol, marisco y ‘spyware’” y reunirá a ciberespías de todo el mundo en la capital catalana durante tres días, citados por una compañía de spyware con sede en Barcelona pero fundada por un investigador israelí. 

Son empleados y dirigentes de empresas de “ciberseguridad ofensiva”, un sector poco transparente que, sobre el papel, se dedica a identificar vulnerabilidades en sistemas informáticos y dispositivos móviles.

“Todo son eufemismos para definir lo que es un grito a voces: son empresas que venden spyware a gobiernos y a fuerzas de seguridad”, afirma un empleado del sector, que pide anonimato para hablar con elDiario.es.

El encuentro, cuyas charlas y conferencias no se podrán divulgar, pone de manifiesto hasta qué punto Barcelona se ha convertido en un hub internacional de hackers y empresas de ciberseguridad, con una notable presencia israelí.

“Barcelona se ha convertido en la capital europea de la ciberseguridad ofensiva”, afirmaba el periódico israelí Haaretz el pasado diciembre. El reportaje explicaba que al menos tres equipos de hackers de élite de ese país se habían instalado en la capital catalana, incluidos los primeros desarrolladores del programa Pegasus con el que se espió a decenas de cargos independentistas.

La reunión que se celebrará en Barcelona tiene un marcado sello israelí. La organiza la compañía Epsilon, fundada en 2024 y especializada en identificar vulnerabilidades de “día cero” —que nadie sabe que existen previamente— en teléfonos móviles. Epsilon se jacta de ofrecer productos “zero-click”. Es decir, que pueden instalarse sin que la víctima tenga que clicar en ningún enlace ni aplicación. 

Según el Registro Mercantil, uno de los socios de Epsilon es Daniel Shapiro, veterano israelí del ciberespionaje y cofundador de otra empresa de spyware en Tel Aviv llamada Bindency, cuyo producto estrella era un spyware de “zero-click” para infectar teléfonos. 

Al frente de esta compañía y como principal organizador del evento en Barcelona aparece el francés Jeremy Fetiveau, otro veterano del sector que trabajó anteriormente en Trenchant, una división de ciberseguridad del gigante de defensa estadounidense L3Harris.

Ni Fetiveau ni Epsilon han respondido a la solicitud de elDiario.es para comentar este artículo.

Otra compañía vinculada estrechamente al encuentro es la israelí Radiant Research. Con sedes en Tel Aviv y Barcelona, emplea a veteranos de la unidad de ciber inteligencia militar de élite 8200, perteneciente a las Fuerzas de Defensa de Israel, junto con antiguos trabajadores de NSO, la empresa que desarrolló el software Pegasus.

La compañía vende sus productos a actores estatales en Occidente o a través de contratistas de defensa. “Desarrollamos capacidades cibernéticas avanzadas para un grupo selecto de agencias militares, de inteligencia y de aplicación de la ley”, señalan en su web. “Asumimos los desafíos de los que otros podrían apartarse”, añaden.

También participará en la reunión Paradigm Shift, sociedad registrada en 2024 por tres socios italianos que ofrece sus servicios a agencias de seguridad y fuerzas del orden.

Todos los fundadores de Paradigm Shift son antiguos empleados de Variston, una compañía señalada en 2023 por Google por proveer desde Barcelona software espía a un grupo de hackers que atacaba a ciudadanos de Emiratos Árabes Unidos.

Una nueva vía para exportar spyware a Europa

¿Qué ha llevado a Barcelona a convertirse en la capital del spyware? ¿Por qué tantas empresas israelíes están abriendo sede en la capital catalana? 

Según datos de la Generalitat de Catalunya, entre 2020 y 2025 los empleados en empresas de ciberseguridad en Barcelona aumentaron un 50%, hasta superar los 10.000 trabajadores en más de 550 compañías a finales del año pasado. 

El sector está en auge: sólo en Catalunya el volumen de negocio alcanzó los 1.473 millones de euros en 2024.

“Los sueldos que pagan estas empresas de spyware a un investigador pueden ir de los 250.000 hasta los 500.000 euros anuales”, explica Marc Rivero, analista de ciberdelitos y coordinador del máster de ciberseguridad de la Universidad La Salle.

Rivero y otras fuentes del sector explican que un exploit —una herramienta que permite aprovechar una vulnerabilidad en un dispositivo o sistema— puede venderse por varios millones de euros. 

El pasado octubre, Apple ofreció hasta dos millones de dólares para quien detectara exploits que permitieran espiar sus dispositivos. “Hay mucho dinero y muy poca gente capaz de hacer este trabajo”, sostiene un empleado de una empresa de ciberseguridad.

Más allá del clima, la ciudad y el bajo coste de la vida en comparación a otras grandes capitales europeas, salir de Israel es otro gran reclamo para estas empresas, pues les abre la posibilidad de exportar spyware sin las restricciones que impone el Gobierno israelí ni el control a los productos de doble uso que llegan desde ese país. Haaretz también informaba el año pasado de cómo los cambios en la regulación israelí de la ciberseguridad habían llevado a muchas empresas a cerrar y reabrir en otros lugares. 

“Es un secreto a voces en el sector”, apunta la misma fuente. “Por eso hay tantas empresas israelíes que han venido aquí”. Rivero, por su parte, explica que una empresa creada en Europa puede tener más facilidades para comercializar sus productos a otros Estados miembros, pero matiza que si una agencia de inteligencia quiere un producto determinado le va a dar igual de dónde venga.

El mercado está cada vez más personalizado y los clientes ya no quieren comprar el mismo spyware que tienen otros países, sino productos desarrollados exclusivamente para ellos que generan grandes beneficios para estas compañías que investigan y localizan vulnerabilidades. 

Lo que sigue envolviendo a estas empresas es un manto de misterio: en ninguna de ellas aparece quién las dirige ni de quién son propiedad. Algunas incluso ni siquiera tienen página web y confían en el boca oreja de un sector en auge que tiene Barcelona como una de sus grandes centros operacionales. 

“Es un tema de seguridad operacional”, concluye Rivero. “No se puede saber quienes son los profesionales que han desarrollado una herramienta ofensiva para un Gobierno o agencia de seguridad”.

Durante los días previos a las explosiones, el complejo empresarial se había ido vaciando. Las bombas derribaron bloques de oficinas vacíos y demolieron comedores con cocinas de diferentes países donde todavía resonaba el eco de su actividad pasada. La dinamita derribó un hospital de cuatro plantas, silenciosos complejos de karaoke, gimnasios desiertos y dormitorios.

Así llegó el fin del KK Park, uno de los “centros de estafas” más tristemente célebres del sudeste asiático, según declararon los comunicados de prensa de la junta militar de Myanmar. Las instalaciones habían albergado a decenas de miles de personas obligadas a estafar sin descanso a gente de todo el mundo. Ahora, el complejo estaba siendo demolido pieza a pieza.

Los operadores del parque hacía tiempo que se habían marchado. Todo parece indicar que les habían alertado de una inminente redada y ya habían trasladado sus negocios ilícitos a otro lugar. Más de 1.000 trabajadores habían logrado huir a través de la frontera y otros 2.000 habían sido detenidos. Pero hasta 20.000 trabajadores, probablemente víctimas de trata y maltrato, habían desaparecido. Los centros de estafa como KK Park han seguido prosperando lejos de la mirada de la Junta.

La industria mundial de las estafas, que mueve miles de millones de euros, se ha vuelto tan monolítica que los expertos afirman que estamos entrando en la era de los “timo-Estado”. Al igual que ocurre con el narco-Estado, la expresión se aplica a países donde esta industria ilícita ha extendido sus tentáculos por las instituciones legítimas, ha remodelado la economía, ha corrompido a los gobiernos y ha generado una dependencia estructural del Estado respecto a las redes ilegales.

Las redadas en el KK Park fueron las últimas de una serie de medidas represivas ampliamente difundidas contra los centros de estafas en el sudeste asiático. Sin embargo, y a pesar de los comunicados oficiales, los expertos en la región afirman que se trata en gran medida de medidas simbólicas o dirigidas a actores secundarios. Según los analistas, se trata de un “teatro político” por parte de funcionarios que están sometidos a la presión internacional para que tomen medidas enérgicas contra estas industrias del fraude, pero que tienen poco interés en eliminar un sector tremendamente rentable.

“Es como jugar a darle al topo con el mazo [...] solo que aquí no quieren golpear al topo”

Jacob Sims — Investigador visitante del Centro Asiático de la Universidad de Harvard y experto en delitos transnacionales y cibernéticos en la región del río Mekong

“Es como jugar a darle al topo con el mazo, ese juego de las ferias en el que los topos aparecen y desaparecen sin parar y los tienes que aporrear… solo que aquí no quieren golpear al topo”, afirma Jacob Sims, investigador visitante del Centro Asiático de la Universidad de Harvard y experto en delitos transnacionales y cibernéticos en la región del río Mekong. Las estafas han pasado de ser “pequeñas redes de fraude por Internet a una economía política operada a escala industrial en los últimos cinco años, según Sims.

El experto afirma que “en términos de PIB bruto, es el motor económico dominante de toda la subregión del Mekong”. “Y eso significa que es uno de los motores políticos dominantes, si no el que más”, concluye.

Los portavoces de los Gobiernos de Myanmar, Camboya y Laos no han respondido a las preguntas de The Guardian, pero el ejército de Myanmar sí ha señalado en anteriores ocasiones que está “trabajando para erradicar desde la raíz y por completo las actividades fraudulentas”. El Gobierno camboyano también ha calificado de “infundadas” e “irresponsables” las acusaciones de que es la sede de una de “las redes de ciberdelincuencia más grandes del mundo, respaldada por los poderosos”.

En menos de una década, esta industria ha pasado de los correos electrónicos plagados de faltas de ortografía y de adinerados e inverosímiles príncipes nigerianos a convertirse en un sistema vasto y sofisticado que extorsiona decenas de miles de millones de euros a víctimas de todo el mundo.

El timo de la matanza del puerco

En su núcleo se encuentran las estafas de “pig-butchering” (estafa del cebo y engorde del cerdo o shazhupan, en mandarín); un timo en el que los delincuentes se trabajan la confianza de la víctima durante semanas o meses antes de convencerla para que les mande dinero, a menudo bajo el engaño de una “inversión” en criptomonedas. Los estafadores se han aprovechado de la creciente sofisticación de la tecnología para engañar a sus víctimas: utilizan la inteligencia artificial generativa para traducir y dirigir conversaciones, la tecnología deepfake para realizar videollamadas y sitios web que calcan a las bolsas de inversión reales. Según se desprende de una encuesta, las víctimas de la estafa perdieron, de media, unos 134.000 euros. La mayoría declaró haber perdido más de la mitad de su patrimonio neto.

Esos enormes beneficios potenciales han impulsado la industrialización del sector de las estafas en Internet. Las estimaciones del tamaño global de este sector oscilan ahora entre 60.000 millones y cientos de miles de millones de euros, unas dimensiones que lo situaría a la par con el tráfico internacional de drogas. Los centros suelen estar dirigidos por redes criminales transnacionales, a menudo originarias de China, pero su punto de partida ha sido el sudeste asiático.

Las operaciones de estafa cibernética en los países del Mekong generaban a finales de 2024 unos 38.000 millones de euros anuales, lo que equivale a aproximadamente el 40% de la economía formal en su conjunto. Se trata de una estimación a la baja y que continúa aumentando. “Se trata de un sector que crece de forma masiva” confirma Jason Tower, de la Iniciativa Global contra el Crimen Organizado Transnacional. “Este mercado ilícito no empezó a tomar forma global hasta 2021 y ahora estamos hablando de que mueve más de 60.000 millones de euros al año. Si nos remontamos a 2020, el tamaño era considerablemente menor”, compara.

En Camboya, una empresa acusada por el Gobierno de Estados Unidos de dirigir complejos fraudulentos en todo el país tenía 12.900 millones de euros en criptomonedas, que fueron incautados por el Departamento de Justicia el mes pasado: unos fondos equivalentes a casi la mitad de la economía del país.

Que esto ocurra de forma tan pública y visible demuestra el nivel extremo de impunidad y hasta qué punto los Estados no solo lo toleran, sino que, de hecho, estos delincuentes se están integrando en el Estado

Jason Tower — Iniciativa Global contra el Crimen Organizado Transnacional

Con unos beneficios potenciales tan enormes, la infraestructura necesaria para sostener estos centros de estafa ha proliferado con rapidez. Prosperan en zonas de conflicto y en áreas fronterizas sin ley o con una regulación muy débil. Medios locales de Laos citan a funcionarios según los cuales hay unos 400 de estos complejos operando en la zona económica especial del Triángulo Dorado —entre las zonas fronterizas de Myanmar, Laos y Tailandia—.

Cyber Scam Monitor —un colectivo que rastrea canales de Telegram dedicados a las estafas, informes policiales, medios de comunicación y datos satelitales para identificar estos complejos— ha localizado 253 emplazamientos sospechosos solo en Camboya. Muchos tienen grandes dimensiones y operan a la vista del público.

Como señalan los expertos, la magnitud de los complejos es en sí misma un indicio de hasta qué punto se han visto comprometidos los Estados que los acogen.

“Se trata de infraestructuras enormes, construidas de forma muy visible. Se pueden ver desde la frontera. Incluso se puede entrar en algunas de ellas”, afirma Tower. “El hecho de que esto ocurra de forma tan pública y visible demuestra el nivel extremo de impunidad y hasta qué punto los Estados no solo lo toleran, sino que, de hecho, estos delincuentes se están integrando en el Estado”, plantea.

Corrupción política a la vista de todos

El viceministro de Finanzas de Tailandia dimitió en octubre tras recibir acusaciones de tener vínculos con operaciones fraudulentas en Camboya, que él niega. Chen Zhi, recientemente sancionado por el Reino Unido y Estados Unidos por ser presuntamente el cerebro de la red fraudulenta Prince Group, era asesor del primer ministro de Camboya. Prince Group ha afirmado que “niega categóricamente” las acusaciones de que la empresa o su presidente hayan participado en actividades ilegales. En Myanmar, los centros de estafa se han convertido en una fuente de ingresos clave para los grupos armados. En Filipinas, Alice Guo, exalcaldesa de una localidad al norte de Manila, dirigió un enorme centro de estafas mientras ocupaba el puesto; acaba de ser condenada a cadena perpetua por trata de personas. Guo es una ciudadana china que se hizo pasar por filipina para llegar al cargo.

En todo el sudeste asiático, los cerebros de las estafas “operan a un nivel muy alto”: obtienen credenciales diplomáticas, se convierten en asesores... Es algo enorme en términos de nivel de implicación y cooptación del Estado“, afirma Tower.

En este sentido, señala que “es bastante inaudito que exista un mercado ilícito de esta naturaleza, que está causando un daño a escala mundial, con una impunidad flagrante, y que esté ocurriendo de esta manera pública”.

Suena el teléfono. Al otro lado, llegan malas noticias: la tarifa que está utilizando este número de teléfono ha caducado y la compañía de telecomunicaciones va a subir el contrato de 65 a 92 euros. El cliente tiene tres opciones: pagar el aumento, dar de baja el número o acogerse a un nuevo proceso de “liberalización” de la línea tutelado por la Organización de Consumidores y Usuarios (OCU). Si escoge la tercera, empieza la función.

La ciberdelincuencia se profesionaliza. Las estafas se parecen cada vez más a coreografías de alta precisión. Una campaña activa en España detectada por elDiario.es está empleando un esquema de múltiples pasos, con varias llamadas telefónicas coordinadas desde un call center y contactos por WhatsApp para ganarse la confianza de la víctima. Todo para robar sus datos personales y, presuntamente, venderlos a otra compañía para lograr una comisión por llevarle nuevos clientes.

El modus operandi es una evolución del clásico “timo de la doble llamada”. Este se basa en un primer contacto realizado por los ciberdelincuentes que sirve para anunciar una subida de precio o cambios negativos en el contrato, a la que sigue otra llamada ofreciendo la salvación. En esta nueva variante, sin embargo, el engaño muta hacia lo que las propias víctimas describen como un “mercado persa”. Apenas cuelga el falso operador de la compañía original, que informa de la citada subida en la tarifa, el teléfono del objetivo se convierte en un hervidero.

Diferentes números, tanto fijos que simulan llegar desde diferentes puntos de España como móviles particulares, llaman sucesivamente. Se hacen pasar por la supuesta terna de compañías “habilitadas” (en este caso Movistar, Yoigo y Orange) que compiten en tiempo real por ofrecer la mejor tarifa al cliente.

Todo presuntamente amparado por la OCU, cuya mención no es casual. Enrique García, portavoz de la entidad, confirma a este medio que el uso de su nombre busca generar un “sesgo de autoridad” que desactive las defensas del consumidor. Pero existe un trasfondo regulatorio más perverso: al aceptar entrar en ese supuesto proceso de “liberalización”, la víctima está, sin saberlo, dando su consentimiento verbal para recibir llamadas comerciales que, de otro modo, estarían prohibidas por la Ley General de Telecomunicaciones, avisa García.

Hora de decidir

La estafa se cierra con un hackeo psicológico diseñado para anular el juicio crítico de la víctima: la sensación de urgencia. Tras la cadena de llamadas, los estafadores reintroducen al actor inicial (la falsa operadora de origen, un rol en el que en este caso suplantan a Vodafone) para lanzar el ultimátum. “Tenía que decidir antes de las 20:50 horas o se prorrogaba mi contrato, pero a 99 euros”, relata una afectada a elDiario.es.

Esta presión artificial está diseñada para que la víctima dé el paso: termina enviando su DNI, recibos bancarios y facturas a la supuesta operadora que le había hecho la oferta más convincente, que previamente había contactado con ella a través de WhatsApp. Datos que funcionan como las llaves de su identidad digital.

En este caso, la estafa no termina en desfalco. Fue la propia víctima la que se dio cuenta del engaño cuando le estaba contando lo sucedido a sus compañeros de trabajo. Al resumir los hechos en voz alta, se percató de que nada encajaba. Ese proceso, ya con la cabeza fría y alejada la sensación de urgencia inoculada por los ciberdelincuentes, es el que activa las defensas.

“No es que tu cerebro te traicione, es que está programado para funcionar así y ser capaz de tomar decisiones rápidas de manera intuitiva”, explicaba en un reportaje sobre este proceso Pilar Bringas, experta certificada en mecanismos de influencia y persuasión ética. “Es el resultado de miles de años de evolución en entornos hostiles. Pero tenemos que ser conscientes de que se puede utilizar contra nosotros”.

Robo de clientes

La afectada borró los datos que suministró a los ciberdelincuentes, denunció los hechos ante la Policía y avisó a su banco de lo ocurrido. Actuó antes de que pudieran terminar su plan, por lo que no es posible conocer si este consistía en intentar aprovechar sus datos bancarios para llevar a cabo un robo en su cuenta, o si pretendían vendérselos a una operadora real para llevarse una comisión.

Tanto la OCU como Vodafone avisan de que se trata de un timo habitual. “Vodafone no avisa de cambios de tarifas por teléfono, ni las tarifas caducan. Este tipo de fraudes tienen por objeto conseguir que el usuario se cambie de compañía sin su consentimiento. Vodafone notifica cualquier actualización de precios o cambio en los servicios en la factura o por SMS y en caso de duda recomienda contactar por los canales oficiales”, explica un portavoz de la operadora, que ya detectó una artimaña como esta, aunque menos compleja, en julio.

La OCU denomina a las organizaciones que se dedican a lanzar este tipo de estafas como “empresas champiñón”. Son “intermediarios que aparecen y desaparecen”, a menudo operando desde países de Latinoamérica para dificultar la acción policial, explica la organización. Cobran comisiones por captar clientes o buscan directamente el robo de datos para cometer fraudes financieros posteriores. Además de con las operadoras de telefonía, también operan haciéndose pasar por compañías energéticas.

Los call center del crimen

Hace un año, la Policía Nacional desmanteló una organización que operaba desde Perú a través de tres call centers dedicados a lanzar estafas en España. Fue una de las mayores operaciones hasta la fecha contra estas estructuras. Hubo 35 detenciones en Madrid, Vigo, Barcelona, Mallorca y Salamanca, y otras 48 en el país andino. “El caso es que yo oía a otras personas hablando al fondo”, confirma la afectada por esta nueva campaña al ser informada de esta situación, “y en todas las llamadas, los operadores tenían acento latinoamericano”.

Son instalaciones que funcionan como las de una empresa tradicional, pero dedicadas al crimen. “En Perú se encontraba el líder de la organización, que tenía bajo su mando a tres personas que controlaban cada uno de los centros de llamadas”, informó entonces la Policía. “Estos contaban con carteles de frases motivacionales para animar a los empleados, llegando a celebrar las primeras estafas de los trabajadores de reciente incorporación”.

La organización llegó a realizar miles de llamadas diarias desde los tres call centers, donde trabajaron hasta 50 personas simultáneamente. Como en la estafa ahora activa, utilizaban diferentes técnicas para camuflar el origen real de los contactos. Desde la OCU detallan que han interpuesto varias denuncias para evitar el uso de su nombre en estos fraudes.

Algunos afectados también han presentado reclamaciones ante la Agencia Española de Protección de Datos (AEPD). Tanto por el uso irregular de su información como por haber sido contactados estando inscritos en la Lista Robinson, en la que se expresa la oposición a recibir llamadas comerciales de empresas con las que el usuario no tiene relación. Una inscripción que estas organizaciones no tienen en cuenta.

En la mayoría de ocasiones, la Agencia se ve obligada a archivar estas reclamaciones al no poder identificar un culpable. “Apunta Telefónica la posibilidad de que terceras empresas estén realizando prácticas fraudulentas consistentes en suplantar su identidad”, explica el organismo en una resolución reciente en la que los estafadores se hacían pasar por esta teleco.

Un código para acabar con el 'spam'

Para intentar poner coto a este tipo de prácticas abusivas, el Congreso de los Diputados ha aprobado recientemente la Ley de Servicios de Atención a la Clientela. La norma incluye una medida directa contra el bombardeo telefónico: obligará a las empresas a identificar sus llamadas comerciales con un código numérico específico (un prefijo), permitiendo a las operadoras bloquear aquellas que no lo utilicen. Además, la ley declara nulos los contratos que se cierren en llamadas no consentidas, atacando directamente la rentabilidad de las “empresas champiñón” que basan su negocio en presionar al usuario para obtener un “sí” rápido y viciado.

Desde el Instituto Nacional de Ciberseguridad insisten en que la mejor defensa ante estas maniobras es desconfiar de cualquier llamada inesperada que invoque urgencias o subidas inminentes. El organismo recuerda que no deben facilitarse datos personales ni bancarios por teléfono o mensajería, ni aceptar grabaciones de voz que puedan utilizarse para tramitar contratos no autorizados. Ante la mínima sospecha, recomiendan colgar, contactar directamente con la compañía y, si ya se han entregado documentos o información sensible, avisar al banco, recopilar pruebas y solicitar asesoramiento inmediato a través de su línea 017, un teléfono de ayuda gratuito y confidencial.

Inteligencia artificial que comanda ciberataques y envía órdenes a los virus que lo llevan a cabo, haciéndolos mutar en tiempo real para sortear las barreras de ciberseguridad. Es la alerta que el Grupo de Inteligencia de Amenazas de Google (GTIG) ha enviado este miércoles, tras detectar que los ciberdelincuentes ya no solo utilizan esta tecnología como un asistente, sino como un cerebro autónomo que las potencia para hacerlas más dañinas e indetectables mientras el ataque se lleva a cabo.

Por primera vez, Google describe una nueva generación de virus (o malware, como se los denomina en el sector) que reescribe su propio código para adaptarse a las defensas, atacar sus puntos débiles y esconder los patrones que podrían disparar los sistemas de alerta, volviéndose más difíciles de detectar. Lo hace a través de una conexión directa con modelos de lenguaje como Gemini, la IA de la multinacional.

“Agentes que actúan respaldados por gobiernos y otros ciberdelincuentes están integrando IA y experimentando con ella en distintos sectores y a lo largo de todo el ciclo de vida de los ataques”, advierte.

El informe avisa que aunque todavía está en una etapa inicial, esto supone “un cambio de fase operacional” en el uso ofensivo de la IA. Los ciberdelincuentes y los grupos respaldados por estados —entre los que Google cita a China, Rusia, Irán y Corea del Norte— han dejado de recurrir a esta tecnología como un simple apoyo técnico. Algo que fue documentado poco después de la aparición de ChatGPT y permitió a los ciberdelincuentes desterrar errores que antes los delataban, como las faltas de ortografía o las malas traducciones, pero que ha escalado a un nuevo nivel.

Ahora, la IA ha pasado a ser una parte integral del ataque y multiplica su peligrosidad. “Estas herramientas son capaces de generar scripts maliciosos de forma dinámica, ofuscar su propio código para eludir la detección y hacer uso de modelos de IA para crear funciones maliciosas a demanda, en lugar de incluirlas en el código del malware”, destacan los investigadores.

Estos cambios dinámicos suponen un punto de inflexión también para el sector de la ciberseguridad. De manera similar a lo que ocurre con los virus biológicos, hasta ahora los investigadores analizaban el código del malware utilizado en los ataques para crear defensas específicas para bloquearlo. Pero si esas modificaciones se dan en tiempo real, los antivirus no pueden adaptarse a ellas previamente.

La IA, ¿engañada?

Técnicamente, modelos como Gemini deberían negarse a satisfacer este tipo de requerimientos. Su programación les impide participar en actividades delictivas o dañinas para las personas. No obstante, Google ha detectado que los ciberdelincuentes han encontrado una manera de saltarse ese veto. “Están utilizando argumentos que recuerdan a la ingeniería social”, explica, haciendo referencia a las técnicas de manipulación psicológica que buscan engañar a personas para que revelen información o realicen acciones que comprometan su seguridad.

La clave es que esos engaños funcionan también con la inteligencia artificial. “Se han podido observar agentes que se hacen pasar por estudiantes que hacen ejercicios tipo 'captura la bandera' o por investigadores en ciberseguridad. En ambos casos, tratan de persuadir a Gemini para que les facilite una información que, en otras circunstancias, estaría bloqueada, y que necesitan para desarrollar determinadas herramientas”, reconoce el informe de Google.

La multinacional afirma que ya ha cancelado las cuentas y proyectos asociados a este tipo de actividades y que está tomando medidas para intentar evitar este tipo de usos indebidos. “Google ha asumido el compromiso de desarrollar la IA de forma responsable y toma medidas preventivas para impedir la actividad maliciosa”, destaca. Como parte de ese compromiso, también ha divulgado estos hallazgos “para dar herramientas a los equipos de seguridad y para promover protecciones más sólidas en todo el ecosistema”.

Esto se considera una buena práctica clave en el sector de la ciberseguridad, ya que permite a los especialistas prepararse ante las nuevas técnicas de los atacantes.

Un mercado de la IA criminal

Al igual que la IA está avanzando por el resto de sectores económicos y sociales, también lo hace su uso para actividades delictivas. “A lo largo de este año, el mercado negro de herramientas de IA ilícitas ha madurado”, recoge el informe de Google. Su equipo ha identificado “ofertas de herramientas multifuncionales diseñadas para facilitar actividades de phishing, desarrollo de malware e investigación de vulnerabilidades” durante la investigación.

Un ejemplo reciente de este “mercado negro” de herramientas de IA ilícitas es el caso de Xanthorox, una inteligencia artificial sin restricciones diseñada explícitamente para ayudar a ciberdelincuentes novatos. Esta “IA para hackers”, que se vendía por 200 dólares, presumía de poder generar ransomware capaz de eludir antivirus y facilitar ataques complejos. Sin embargo, la vanidad de su creador, un estudiante de ingeniería bangladesí de 23 años, le llevó a cometer errores fatales de seguridad, como alojar los servidores en su propio domicilio. Investigadores de la firma de ciberseguridad española Zynap siguieron estas pistas hasta identificarlo, obligándole a retirar su creación de la circulación.

Se trata de “herramientas que reducen las barreras de entrada para los agentes menos sofisticados”, destaca la multinacional. Una tendencia que se está percibiendo a nivel general, con cada vez más actores que se dedican específicamente a hacer que los ciberataques sean accesibles para bandas que hasta ahora no contaban con los conocimientos adecuados para llevarlos a cabo de manera exitosa. Recientemente, la Guardia Civil ha detenido a un hacker acusado de lucrarse con estas actividades, alquilando herramientas ofensivas que empaquetaba como “kits de estafa”.

¿Quiere clonar la página web oficial de Hacienda para robar datos fiscales? Perfecto, este es nuestro porfolio. ¿Prefiere suplantar a cualquiera de los principales bancos de España y acceder directamente a las cuentas de sus clientes? Podemos personalizarlo para usted. ¿Le ha surgido algún problema a la hora de utilizar nuestras herramientas? Disponemos de un servicio técnico para ayudarle. Y no se preocupe si lo que necesita es asesoramiento para “robarle todo a las abuelas”: tenemos un canal específico para ello.

Parece ficción, pero es exactamente la lista de servicios de la última red de ciberdelincuentes detenidos en España. Al mando estaba un desarrollador conocido como GoogleXcoder, un ciudadano brasileño de 25 años que se convirtió en el posibilitador, sospecha la Guardia Civil, de muchas de las campañas de phishing que se han lanzado a nivel nacional desde 2023. Campañas que “han derivado en una cantidad importante de denuncias de personas afectadas, millones de euros sustraídos y el origen de una incipiente alarma social”, destacan los investigadores.

El phishing, como se conoce a los ataques de suplantación de identidad de empresas e instituciones públicas para engañar a las víctimas y quedarse con sus contraseñas o datos bancarios, se ha convertido en una de las ciberestafas más comunes. Son rápidas, relativamente sencillas y gracias a organizaciones como la de GoogleXcoder, muy accesibles para todo tipo de bandas.

Se puede definir como una empresa que se dedicaba a dar servicios criminales, en forma de kits para estafar

Alberto Rodao — jefe del Departamento Contra el Cibercrimen de la Unidad Central Operativa (UCO) de la Guardia Civil

“Es la representación perfecta del crimen como servicio”, explica a elDiario.es Alberto Rodao, jefe del Departamento Contra el Cibercrimen de la Unidad Central Operativa (UCO) de la Guardia Civil. “Se puede definir como una empresa que se dedicaba a dar servicios criminales, en forma de kits para estafar”.

Un modus operandi que refleja cómo ha evolucionado el crimen en España y aleja la imagen del solitario encapuchado frente a un ordenador. Los nuevos grupos utilizan tácticas profesionales para el ciberdelito, dejando atrás las campañas de phishing descuidadas y llenas de faltas de ortografía.

Crimen empaquetado

Los kits de estafa en los que se especializó esta organización eran, en la práctica, paquetes con todo lo necesario para llevar a cabo un ciberataque de phishing. Incluían los programas capaces de clonar los portales oficiales de cualquier organismo, diseñados para el robo de datos y contraseñas, así como herramientas para el envío masivo de mensajes (SMS y correos electrónicos). El objetivo era que cualquiera, aun con mínimos conocimientos técnicos, pudiera llevar a cabo estas estafas.

Su método para ponerlo a disposición de sus clientes también copiaba estrategias profesionales. “Él te hacía un paquete personalizado según lo que necesitaras. Era un experto en phishing, pero también hacía otros tipos de malware. Te ofrecía todo lo que un criminal podía necesitar para una campaña de phishing y lo cobraba como si fuera una licencia de software, por días. Tres días podían valer entre 200 y 300 euros”, revela Rodao.

En su cara más visible, estos programas incluían réplicas muy cuidadas de páginas oficiales (formularios, logos, textos) y un panel web desde el que los clientes de GoogleXcoder podían generar enlaces falsos, personalizar mensajes y seguir en tiempo real las credenciales y datos que iban llegando. No obstante, también incluían una parte oculta, ya que los datos que sus herramientas recogían también se desviaban hacia bases de datos bajo control del desarrollador.

“No era su negocio principal”, detalla el mando de la UCO, pero le eran de utilidad para mantener su anonimato. Gracias a los datos robados, utilizaba la identidad de las víctimas para contratar sus propias líneas de teléfono o tarjetas bancarias para disfrazar sus movimientos. También se desplazaba frecuentemente junto a su familia por distintas ubicaciones de España con el fin de “evitar su localización”.

Una operación de arriba a abajo

GoogleXcoder ofrecía sus servicios en Telegram, “el gran mercado del cibercrimen en los últimos años”, recuerda Rodao. La app ofrece anonimato y escasa colaboración con las autoridades, mientras que los canales donde la organización ofrecía sus herramientas de ciberataque eran de acceso privado. Sin embargo, con una cartera de clientes creciente, sus actividades empezaron a llamar la atención.

La UCO obtuvo “noticias de que el nick de esta persona estaba anunciando estos servicios” a través de varias fuentes. La repetición de “GoogleXcoder” en las declaraciones de los investigados llevó a los agentes a modificar el flujo tradicional de sus pesquisas. “Lo habitual es empezar por las víctimas”, aclara Rodao. Normalmente, una denuncia particular inicia el seguimiento del dinero, un rastro que permite “subir en la escala criminal” desde los escalones más bajos —las 'mulas' que reciben las transferencias— hasta los ejecutores.

En este caso, la UCO actuó “de arriba a abajo”. En lugar de perseguir las cientos de estafas individuales que emanaban de sus herramientas, decidieron ir directamente a por la fuente del problema. El objetivo era neutralizar al “cerebro”, al “desarrollador del malware” que proveía a todos los demás grupos. “Nos costó llegar hasta él y averiguar la persona que se escondía detrás del nick”.

Tras la detención, los agentes emprendieron el camino inverso. “Hemos intentado llegar a las víctimas”, confirma Rodao. El análisis de los dispositivos del detenido reveló la magnitud de su actividad. “En muchos casos, cuando contactamos con las personas cuyos datos habían sido robados, ni siquiera eran conscientes de ello”.

La operación, coordinada por el Juzgado de Instrucción número 1 de San Vicente de la Barquera (Cantabria), culminó con la realización de seis registros en domicilios en Valladolid, Zaragoza, Barcelona, Palma de Mallorca, San Fernando y La Línea de la Concepción. Actualmente, la investigación continúa abierta y no se descartan nuevas actuaciones.

“Robarle todo a las abuelas”

El nombre de uno de los canales de mensajería de GoogleXcoder resume la filosofía de la organización: “Robarle todo a las abuelas”. Es “llamativo”, admite Rodao. Es la definición de una estrategia de negocio. Las personas mayores son “víctimas principales” por una razón puramente mercantil: su brecha digital las convierte en el objetivo perfecto. “Están mucho menos familiarizadas” con el entorno digital y, por tanto, “son más fáciles de engañar”, explica el jefe del cibercrimen de la UCO.

Esta vulnerabilidad tiene un precio en el mercado negro. “Los paquetes de datos de personas mayores siempre están más cotizados”, revela el guardia civil.

Las estafas informáticas se han duplicado desde 2019. Aunque en el año 2024 fue el primero de la última década en que esta tipología de delito se redujo respecto al ejercicio anterior, este 2025 ha vuelto a aumentar. En suma, los ciberdelitos ya representan más de un 20% de toda la criminalidad que se da en España.

“La gente que se dedica a esto no tiene ninguna piedad”, sentencia Rodao. “No se cortan nada ni con las personas vulnerables, ni mayores, ni nada”. El único objetivo es el beneficio, sin importar las consecuencias para la víctima: “Aquí es el dinero y me da igual quién seas, cómo seas o en qué situación estés. El objetivo es sacar siempre el máximo dinero”.

Los especialistas recomiendan mantener la cabeza fría ante cualquier comunicación sospechosa. Los estafadores suelen aprovechar que las defensas de la víctima se relajan ante situaciones de urgencia. Ataques que cada vez cuentan con un mayor grado de perfección gracias a los datos personales robados. “Cuando tú sabes todo de una persona, en qué banco tiene contraseña, qué edad tiene, dónde, etc., te permite ejecutar un ataque muy elaborado”, recuerda el mando de la UCO.

En caso de sospecha de haber clicado en un enlace fraudulento o de haber introducido datos bancarios en páginas que podrían estar operadas por ciberestafadores, la recomendación de las fuerzas de seguridad es comunicar lo sucedido de inmediato al banco y denunciar los hechos a la Policía. El Instituto Nacional de Ciberseguridad dispone del número gratuito 017 y del teléfono de WhatsApp 900 116 117 para resolver dudas de seguridad. Atiende a ciudadanos, empresas y profesionales y es confidencial.

La Dirección General de Tráfico (DGT) ha alertado de una estafa por la que se trata de suplantar la identidad del organismo, comunicando una supuesta multa por estacionar en una zona restringida con la consiguiente multa y pidiendo el abono de la misma, redirigiendo a la víctima a una plataforma de pago en la que se le piden sus datos bancarios. 

Según explica Tráfico a través de una publicación en X (antes Twitter), actualmente circula un correo electrónico en el que se le comunica al conductor que ha cometido una infracción por aparcar en una zona no permitida, lo que le acarrea una multa de 100 euros, que se reducirá a la mitad si se abona en 24 horas. 

Las amenazas de los ciberdelincuentes van a más e intentan asustar en todo lo posible a su víctima, anunciándole consecuencias mayores si no abonan la multa: “Para evitar que el importe se incremente y se inicien acciones legales, le rogamos que proceda con el pago lo antes posible”.

A continuación, según la imagen compartida por Tráfico en sus redes sociales, aparece un mensaje en el que se le insta a acceder “de forma segura” a una plataforma de pago. Es más, se especifica que el enlace le dirigirá a la “plataforma oficial de la DGT, donde podrá completar el pago de manera rápida y segura” con la tarjeta de crédito. 

Sin embargo, se trata de un fraude, recuerda el organismo. “Recuerda que la DGT no notifica nunca sanciones vía email ni mensaje de texto”, escribe en su publicación. Ante mensajes de este tipo, su consejo es claro: no responder ni comunicar ningún dato personal ni bancario, la única manera en la que los ciberdelincuentes pueden extorsionarnos. 

Último ejemplo de phishing

Este es el último ejemplo de phishing, una técnica que, según el Instituto Nacional de Ciberseguridad (Incibe), consiste en el envío de un correo electrónico por parte de un ciberdelincuente a un usuario simulando ser una entidad legítima con el objetivo de “robarle información privada, realizarle un cargo económico o infectar el dispositivo”. 

En este caso, el recorrido es el siguiente: simular que es una multa de la DGT, mandar un aviso de pago urgente de una sanción y pedir los datos de la tarjeta para abonar la misma. 

Si caemos en la estafa, los especialistas del Incibe recomiendan seguir los siguientes pasos: 

La Guardia Civil de Cantabria ha alertado a empresas de la comunidad autónoma de tentativas de ciberestafas para evolucionar con una gran multinacional. Agentes del Cuerpo están investigando una nueva modalidad del denominado tipo BEC (Busines Email Compromise) tras detectar que pymes de la región estarían recibiendo correos electrónicos en nombre de multinacionales con las que mantienen relaciones comerciales para conseguir dinero -peticiones de hasta 20.000 euros- y documentación para nuevas estafas.

En esos emails se invita a los receptores a seguir trabajando en un ambicioso proyecto con la creación de una red de proveedores cántabros, promocionando la expansión de las empresas locales. Y, para sumarse a la iniciativa, se indica la remisión a la multinacional de documentos con datos “relevantes” de la sociedad afectada e ingresar en concepto de depósito y con la excusa de ser devueltos alrededor de 20.000 euros.

Los correos remitidos utilizaban la imagen corporativa de la multinacional, con el fin de dar una apariencia real, según ha informado la Benemérita en un comunicado.

Efectivos del equipo @Cantabria, especializado en ciberestafas, han determinado que se trata de una modalidad de estafa tipo BEC, en la que los estafadores suplantan el correo electrónico de la multinacional, remitiendo correos a empresas subcontratadas con la misma con el objetivo de recibir transferencias económicas o apoderarse de documentación con las que cometer otras estafas.

Consejos

Desde el instituto armado se aconseja que antes de mandar documentos o hacer cualquier ingreso de dinero “no imprescindible” y aunque se mantenga una relación contractual con el supuesto solicitante, se pongan en contacto con esta empresa, por medios telefónicos o telemáticos que hayan sido verificados como legítimos de la multinacional, para comprobar si realmente el mensaje es suyo.

La Guardia Civil ha advertido de un método para robar cuentas de WhatsApp a través de videollamadas, una suplantación de identidad por poco tiempo que los ciberdelincuentes aprovechan para sacar rédito económico, pidiendo Bizum a los contactos de esa persona, según varios casos reportados al Instituto Nacional de Ciberseguridad (Incibe).

De acuerdo con el Incibe, los afectados explican que recibieron una videollamada de un contacto en la que solo se veía oscuridad. Aprovechando esta situación, el ciberdelincuente lo justifica argumentando que tiene un problema con su dispositivo. Lo mejor y lo que pide: compartir pantalla con él para solucionar el problema.

“En ese momento recibió una notificación en la parte superior de la pantalla, tratándose de un SMS de WhatsApp con su código de seguridad. Al estar compartiendo pantalla, este código fue visible para su interlocutor”, señalan desde el instituto nacional en su página web.

Ese es el principal error, aseguran los especialistas y las fuerzas de seguridad del estado: tras compartir pantalla y visualizar el código, inmediatamente se cierra la aplicación, “siendo imposible volver a acceder”.

De acuerdo con el Incibe, los ciberdelincuentes aprovechan esa suplantación momentánea para pedir dinero a algunos contactos a través de Bizum “de manera urgente”. En otros casos reportados al Incibe, se les solicitaba un código que acababan de recibir a través de SMS.

¿Qué hacer en caso de estafa por videollamada?

En caso de ser uno de los afectados, el instituto de ciberseguridad ofrece las siguientes pautas:

Si no consigue recuperar la cuenta, el Incibe recomienda ponerse en contacto con el Delegado de protección de datos de WhatsApp. Además, de forma preventiva aconseja establecer la verificación en dos pasos, no compartir pantalla sin estar seguro con quien se habla y no compartir ningún código que recibiese, ya que estos son personales e intransferibles.

Dos asturianos han sido detenidos en una macrooperación policial contra la posesión y distribución de material de explotación sexual infantil que se ha desarrollado en una docena de provincias españolas y que ha contado con la colaboración de la Oficina Federal de Investigaciones (FBI) de Estados Unidos.

El balance provisional de arrestados asciende a 16, de los que dos han ingresado ya en prisión provisional. Otras cinco personas han sido investigadas.

La actuación policial ha permitido la intervención de miles de archivos de imágenes y vídeos que contenían graves agresiones sexuales a menores de edad, así como otras prácticas que la propia Policía Nacional ha calificado como “degradantes y vejatorias para las víctimas”.

La propia Policía Nacional ha calificado las agresiones sexuales sufridas por los menores como "degradantes y vejatorias para las víctimas

Las detenciones

Además del arresto de los dos asturianos se han producido detenciones en Girona (2), Barcelona (1), Cáceres (1), Castellón (1), Las Palmas (2), Lugo (1), Madrid (1), Guipúzcoa (2), Cantabria (1), Valencia (1) y Pontevedra (1).

Otras cinco personas han sido sometidas a investigación, pero finalmente no han sido detenidas. Residen en Madrid (1), Málaga (1), Navarra (2) y Valladolid (1).

Un profesor, entre los detenidos

Entre los detenidos figuran un profesor de secundaria en Barcelona, mientras que las dos personas que ingresaron ya en prisión fueron arrestadas en Cáceres y Lugo.

Su situación procesal ha sido diferente a la del resto de arrestados debido a la “gravedad y crudeza” de las agresiones sexuales contenidas en los archivos que compartían, según ha ratificado la Policía en un comunicado oficial.

Fotografiaba a menores desde casa

La Policía calcula que uno de los arrestados en Girona es el presunto responsable de la distribución de más de 85.000 archivos.

A este detenido se le imputa además de la difusión de imágenes su captación. Al parecer, “observaba y fotografiaba desde su domicilio a menores mientras estaban en el patio del colegio”. En el registro efectuado en su domicilio se localizaron unos prismáticos.

El apoyo del FBI

Los agentes han logrado desarticular esta red con la colaboración policial internacional. La Policía Nacional española ha destacado especialmente el trabajo conjunto que se ha desarrollado con la Oficina Federal de Investigaciones (FBI) de Estados Unidos.

A su juicio, su colaboración ha sido “fundamental” para identificar a los 21 investigados.

La investigación

La investigación se inició cuando agentes de la Unidad Central de Ciberdelincuencia tuvieron conocimiento de la existencia de personas intercambiando material ilícito a través de redes “Peer To Peer” (P2P).

Este tipo de redes permiten poner en contacto a usuarios de cualquier parte del mundo y compartir casi cualquier tipo de archivo, entre los que se incluyen vídeos, imágenes, música, programas o documentos.

La colaboración ciudadana

La Policía Nacional recuerda que tiene habilitado el correo electrónico denuncias.pornografia.infantil@policia.es para que cualquier ciudadano que tenga información sobre la existencia de la difusión, tenencia y almacenamiento de pornografía infantil pueda comunicarlo de manera totalmente anónima y confidencial.

Además, incide en la importancia de no compartir o almacenar este tipo de imágenes de menores, ya que estarían incurriendo en la comisión de un delito.

La Audiencia Nacional investiga un supuesto ciberataque que afecta a la plataforma educativa de Cantabria (YEDRA), pesquisas que se encuentran bajo sumario. Según ha informado en un comunicado el Gobierno autonómica, el presunto hackeo se habría producido a mediados de abril del año pasado, cuando el Centro Criptológico Nacional comunicó a la Dirección General de Informática del Ejecutivo la existencia de un ataque cibernético que podría haber puesto en peligro la seguridad de dicha aplicación.

El pasado 30 de julio, funcionarios de la Policía Nacional trasladaron a la Consejería de Educación, con carácter formal, que en la actualidad hay “un número elevado de registros comprometidos”, los cuales han sido encontrados dentro de la documentación requisada a un supuesto hacker informático que está siendo investigado.

Además, dentro de la misma se han encontrado fotografías 'tipo carnet', si bien no se ha confirmado que estén relacionadas con los nombres de las personas a quienes corresponden, puesto que el archivo de muestra que se ha entregado a la Administración no contiene elementos que permitan relacionar fotos y nombres, o identificaciones personales.

Hasta el momento, el departamento que dirige Sergio Silva (PP) no tiene constancia de que los datos referidos estén circulando en internet, aunque se ha solicitado a la Dirección General del Servicio Jurídico personarse como parte perjudicada en la causa que se sigue contra el presunto hacker informático.

Secreto de sumario

Cuando se produjo el supuesto ciberataque, en abril de 2024, y el mismo fue comunicado al Gobierno cántabro ante la posibilidad de que hubiera puesto en peligro la seguridad de YEDRA, los servicios informáticos del Ejecutivo solicitaron más información a la Policía Nacional, que no facilitó más datos puesto que el eventual hackeo formaba parte de una investigación judicial bajo secreto de sumario.

Dado que la Consejería de Educación y la Dirección General de Informática no disponían de más información que la señalada y no había constancia de que los datos comprometidos estuvieran circulando por Internet, se decidió comunicar la brecha informática a la Agencia Española de Protección de Datos (AEPD).

A continuación, se procedió a su denuncia ante la Policía Nacional y se trazó un plan de modernización de la plataforma educativa, así como de refuerzo del personal dedicado a su mantenimiento y desarrollo, por parte de la Consejería y de la empresa dedicada a su mantenimiento.

En ese momento, explica ahora el Gobierno, no se consideró “oportuno” realizar un comunicado general a los usuarios de la plataforma porque “únicamente se tenía constancia de dos usuarios afectados, que ya no estaban dentro del sistema educativo no universitario de Cantabria y cuyos datos tenían una antigüedad de cinco años”.

Recomendaciones

Ante la nueva información aportada por la Policía y tras su análisis por parte de la Dirección de Informática del Gobierno de Cantabria, además de solicitar la personación como perjudicada en la causa, la Consejería ha dado traslado de la situación a la delegada de Protección de Datos del Gobierno regional para estudiar el grado de afectación del derecho a la protección de datos personales, comunicando, además, la evolución del expediente abierto en su momento ante la AEPD.

Al mismo tiempo, se ha hecho una comunicación general a los usuarios de la plataforma educativa a través del cauce habitual, aconsejando un cambio en sus claves de acceso, y se publicará en Boletín Oficial de Cantabria (BOC).

Mayor seguridad

La Consejería ha lamentado este tipo de ataques que “cada vez son más frecuentes en el ámbito público y privado” y ha asegurado que en el departamento están “completamente comprometidos con la búsqueda del máximo grado posible de seguridad digital” y por ello, explican, “se están implementando distintos procesos de mejora de la plataforma educativa”.

Asimismo, se ha solicitado la colaboración de los usuarios de esta o cualquier otra plataforma digital para que tomen medidas preventivas, “como no compartir contraseñas entre aplicativos o procesos distintos y cambiar de claves periódicamente”.