El Ministerio para la Transformación Digital ha aprobado una orden ministerial que impide realizar cualquier comunicación comercial telefónica a través de números que no comiencen por el prefijo 400. La medida, que forma parte del Plan Antiestafas, fija octubre como fecha límite para que las operadoras bloqueen cualquier intento de contacto publicitario que no utilice esta nueva numeración.

“En el día de hoy hemos publicado en el BOE una instrucción que va a obligar a que todas las operadoras telefónicas obliguen a todas las empresas a hacer las llamadas comerciales, siempre con un número 400”, ha detallado el ministro Óscar López este martes en un evento de AMETIC, la patronal tecnológica. “Esta medida entrará en vigor a partir de octubre y por lo tanto, todos los ciudadanos que sepan que a partir de octubre solo podrán recibir llamadas comerciales que entren de un número 400 y el resto serán bloqueadas”.

Los nuevos números 400 serán unidireccionales. Esto significa que los ciudadanos podrán recibir la comunicación, pero el sistema les impedirá devolver la llamada a ese mismo número. Con esta restricción, el Gobierno busca neutralizar las estafas de rellamada, en las que los ciberdelincuentes intentan que la víctima contacte con números de tarificación especial dejándole un gancho en un primer contacto.

Además de la imposición del nuevo prefijo, las operadoras de telecomunicaciones también deberán permitir que sus clientes restrinjan totalmente cualquier contacto comercial vinculado a los números 400.

Registro de nombres contra el fraude por SMS

El paquete de medidas también incluye la mensajería móvil. Con el objetivo de frenar las suplantaciones de identidad de empresas e instituciones a través de SMS, la Comisión Nacional de los Mercados y la Competencia (CNMC) creará un registro oficial donde todos los organismos deberán inscribir los códigos alfanuméricos que utilizan como remitentes.

“A partir de junio, se acabaron los SMS suplantando la personalidad de compañías”, ha afirmado López, señalando que el objetivo es conseguir que “solamente las empresas y las entidades que estén en ese registro de la CNMC podrán hacer esos envíos masivos”. A partir del 7 de junio, las operadoras tienen la orden de bloquear cualquier mensaje cuyo remitente no figure en esta base de datos verificada.

Estas medidas se suman a un protocolo previo que, desde marzo de 2025, prohíbe el uso de numeración móvil para servicios de atención al cliente, obligando al uso de números cortos, fijos locales o rangos gratuitos (800 y 900).

El ministro ha defendido que esas primeras medidas han servico para frenar millones de contactos publicitarios y estafas. “Con las medidas que hemos puesto hasta ahora, hemos conseguido bloquear ya 192 millones de llamadas y 17 millones de SMS”. Según datos del sector, compañías como Telefónica interceptan actualmente cerca de 500.000 llamadas fraudulentas cada día antes de que lleguen al terminal del usuario final.

La nueva normativa se aplicará a todas las compañías, con la única excepción de las pequeñas operadoras de luz, gas y teléfono que posean menos de un 5% de cuota de mercado, cuenten con menos de 250 trabajadores o facturen menos de 50 millones de euros anuales. En caso de incumplimiento tras la entrada en vigor, los ciudadanos podrán denunciar directamente ante la Oficina de Atención al Usuario de Telecomunicaciones (OAUT) o la CNMC.

La cadena de gimnasios Basic-Fit ha sufrido un robo de la información que afecta a aproximadamente un millón de sus socios en Europa. Entre los afectados hay clientes de sus gimnasios en España, Francia, Alemania y Países Bajos. Los datos sustraídos incluyen nombres y apellidos, direcciones, correos electrónicos, números de teléfono, fechas de nacimiento, números de cuenta bancaria e información sobre su membresía y consumo, según ha informado Basic-Fit a las víctimas a través de correo electrónico.

“Concretamente, incluye el tipo de membresía, el saldo de pagos, el número de pase de Basic-Fit, un identificador interno, los horarios y clubs de tus visitas recientes”, desglosa la empresa sobre este último punto. Los ciberdelincuentes también han accedido al tipo de dispositivo que los socios utilizaron para validar esas últimas visitas, como por ejemplo la marca del teléfono. Las contraseñas del servicio no se han visto afectadas, según la comunicación.

El acceso a los datos se produjo el pasado 8 de abril en el sistema encargado de registrar las visitas de los socios a los centros deportivos. El operador, que presta servicio a más de 4,5 millones de clientes en seis países europeos, ha detallado que sus herramientas de monitorización detectaron la intrusión y bloquearon el acceso. El sistema que gestiona su modelo de franquicias en otros países europeos opera de manera independiente y no se ha visto afectado por la filtración.

“Los hackers encontraron una vulnerabilidad en la seguridad de nuestro sistema”, ha explicado un portavoz de Basic-Fit a elDiario.es. “La solucionamos minutos después de detectar la brecha. Lamentablemente, la seguridad 100% no existe, tal y como confirma el NCSC (la agencia nacional de ciberseguridad del Reino Unido), que aconseja a las empresas que trabajen en su resiliencia”, añaden las mismas fuentes: “Los hackers no se han puesto en contacto con nosotros y, por lo que sabemos, los datos no se han publicado en ningún lugar”.

Ataques de suplantación de identidad

La empresa comunica a los afectados que no es “necesario” que tomen “ninguna medida inmediata”. No obstante, avisa que deben tener “cuidado con los posibles intentos de phishing”, una modalidad de ataque en la que los ciberdelincuentes suplantan la identidad de empresas e instituciones para ganarse la confianza de las víctimas y robar sus datos financieros o su dinero.

La acumulación de datos personales como las sustraídas en este tipo de incidentes, como cuentas bancarias, números de teléfono y fechas de nacimiento, facilita el diseño de los ganchos para engañar al objetivo. Los ciberdelincuentes utilizan detalles específicos como nombres completos o registros de actividad para generar un “sesgo de autoridad” y una sensación de urgencia que impida que sospeche de la interacción.

Además, el volumen de información filtrada permite la profesionalización de las estafas mediante centros de llamadas, donde los datos son vendidos a terceros o empleados para cometer fraudes financieros posteriores.

En caso de sospecha de haber clicado en un enlace fraudulento o de haber introducido datos bancarios en páginas que podrían estar operadas por ciberestafadores, la recomendación de las fuerzas de seguridad es comunicar lo sucedido de inmediato al banco y denunciar los hechos a la Policía. El Instituto Nacional de Ciberseguridad dispone del número gratuito 017 y del teléfono de WhatsApp 900 116 117 para resolver dudas de seguridad. Atiende a ciudadanos, empresas y profesionales y es confidencial.

Booking ha notificado a sus usuarios una brecha de seguridad que ha permitido el robo de información personal vinculada a sus reservas. En un correo enviado a los afectados, la compañía ha confirmado que los datos expuestos incluyen nombres, correos electrónicos, números de teléfono y cualquier detalle que el cliente haya compartido directamente con el alojamiento.

En una primera comunicación, la plataforma ha informado a las víctimas de que sus direcciones físicas también se habían filtrado. No obstante, Booking ha explicado posteriormente a elDiario.es que se trataba de un error en la redacción del aviso que esos datos no se han visto afectados. Este medio ha preguntado a la empresa por el número de afectados y la vía en que los ciberdelincuentes se han hecho con la información, pero esta no ha contestado a las preguntas.

En su respuesta a elDiario.es, Booking reitera lo comunicado a las víctimas: tras detectar “actividad sospechosa”, Booking ha actualizado los números de PIN de las reservas afectadas e instado a sus clientes a mantener la alerta ante posibles correos, llamadas o mensajes de WhatsApp sospechosos.

En este sentido, la empresa recuerda que nunca solicita datos de tarjetas de crédito o transferencias bancarias fuera de los canales oficiales de pago de su plataforma. “Si has recibido algún correo electrónico o alguna llamada telefónica sospechosa, podría provenir de personas con malas intenciones que se hacen pasar por el alojamiento o por Booking”, avisa a los afectados.

Este robo se produce en un contexto de aumento de los ataques de suplantación de identidad que utilizan a los hoteles como gancho. Los ciberdelincuentes se hacen pasar por los establecimientos para contactar con clientes que van a hospedarse en ellos de manera inminente para anunciarles problemas en su reserva o cambios de última hora. Su objetivo es que, movidos por la urgencia, realicen pagos o revelen sus datos financieros a los estafadores.

La Agencia Española de Protección de Datos (AEPD) ya ha sancionado a diversos hoteles por este motivo. Otra de sus tácticas es atacar a los propios empleados del alojamiento, enviando enlaces maliciosos a los empleados del establecimiento para infectar sus equipos y obtener las claves de acceso a Booking. Una vez dentro del sistema, envían mensajes a los futuros huéspedes alegando problemas con el pago o la tarjeta para redirigirlos a páginas fraudulentas donde capturan sus datos bancarios.

En caso de sospecha de haber clicado en un enlace fraudulento o de haber introducido datos bancarios en páginas que podrían estar operadas por ciberestafadores, la recomendación de las fuerzas de seguridad es comunicar lo sucedido de inmediato al banco y denunciar los hechos a la Policía. El Instituto Nacional de Ciberseguridad dispone del número gratuito 017 y del teléfono de WhatsApp 900 116 117 para resolver dudas de seguridad. Atiende a ciudadanos, empresas y profesionales y es confidencial.

El apartamento vacacional cerca de las ruinas romanas de Pompeya era “asqueroso” y olía a “una mezcla de humedad y alcantarilla”, según un usuario en Google Maps. Yo nunca lo visité, pero le puse cinco estrellas.

Hice lo mismo con un hotel DoubleTree de Hilton al otro lado del Támesis, un hotel Ibis budget en el este de Londres que forma parte del grupo Accor, un Travelodge céntrico y el cercano Hyatt Place; algunas de las marcas hoteleras más conocidas del mundo. Entre medias se mezclaban solicitudes de reseñas para hostales y pensiones en Génova, Nápoles, Maastricht, Cracovia y Bruselas. Durante unos días tuve un nuevo trabajo: escribir reseñas falsas en Google Maps a cambio de criptomonedas.

Todas las marcas hoteleras que respondieron a una solicitud de comentarios para este reportaje afirmaron que no tenían nada que ver con las reseñas y, de hecho, aseguraron no haber visto nunca nada parecido. Entonces, ¿qué está pasando? La respuesta parece ofrecer una pequeña pincelada sobre la enorme y creciente industria de las estafas online, que está socavando la confianza en las valoraciones de los clientes —una parte vital del comercio electrónico— y costando a los consumidores miles de millones de euros al año.

Pero las reseñas de hoteles podrían no ser el objetivo principal de la estafa: de hecho, el blanco principal de los estafadores era probablemente yo, al igual que todas las demás personas tentadas a escribir las reseñas.

“Es un placer conocerte”, fue el primer mensaje de “Sharon Roberts”, una cuenta de Telegram ya eliminada que era, casi con toda seguridad, un seudónimo. No era el primer mensaje que recibía: mi número está en alguna lista de víctimas potenciales, por lo que me llegan dos o tres ofertas de trabajo al mes. Esta vez decidí comprobar si las promesas de ganar hasta 800 libras (unos 916 euros) al día eran ciertas.

Tras responder, siguieron nueve días de insistencia, instrucciones y mensajes motivadores para intentar convencerme de que aceptara el trabajo. “¿Es esto legal?”, pregunté. La confusa respuesta de Sharon, en un inglés que no parecía propio de un hablante nativo, fue: “Colaboramos con operadores de SMS a través de la publicación de ofertas de trabajo en Telegram y SMS”.

Pero Sharon era solo una reclutadora. Los estafadores más profesionalizados han adoptado la división del trabajo, asignando cada fase del engaño a un especialista. Sharon me derivó a una “recepcionista” que se hacía llamar Victoria Castillo; de nuevo, no había pruebas de que el nombre perteneciera a la persona real. Victoria me guio en el proceso de configurar un monedero de criptomonedas en una plataforma de intercambio estadounidense y en cómo aceptar pagos en USDC, una stablecoin vinculada al valor del dólar. (Según la legislación británica, los receptores de pagos en criptomonedas deben declarar su origen. “Puedes ignorar eso”, fue el consejo de Victoria cuando le pregunté por la notificación).

Las fotos de perfil de Victoria mostraban a una mujer rubia frente al perfil de una ciudad no identificada, o con un impecable traje de esquí blanco junto a una pista nevada. Dijo que vivía en Nueva York pero que había nacido en el Reino Unido. Las búsquedas inversas de imágenes sugirieron que el rostro de esa persona coincidía con fotografías de varios sitios web pornográficos.

Internet ha permitido que el fraude se convierta en una industria verdaderamente global. Investigadores de todo el mundo han detectado un aumento de este tipo de estafas operadas desde países con leyes laxas, como Camboya, Myanmar o Rusia. En algunos casos, los propios estafadores son víctimas de trata y esclavitud en centros de estafas que funcionan como prisiones. Cuando más tarde le preguntamos a Victoria si corría algún peligro, su respuesta fue: “¿Ah? Siempre estoy a salvo”. Su perfil no daba ninguna indicación de dónde se encontraba.

Serpil Hall, una consultora de fraude que lleva 20 años luchando contra los estafadores, afirma haber visto un gran aumento en el volumen de estafas online en los últimos seis o siete años, impulsado por nuevas tecnologías que facilitan a los delincuentes la suplantación de empresas oficiales. “En lo que respecta a las estafas, se están volviendo muy hábiles”, señala. “Especialmente con la IA, la IA generativa y ahora la IA agéntica”, bots que pueden operar de forma independiente y realizar acciones en el mundo real, potencialmente contra las víctimas.

Suplantación de empresas

Mis empleadores no parecían estar utilizando las herramientas más sofisticadas, pero lo compensaban con el volumen. Victoria me dirigió a un canal de Telegram independiente, con el nombre y una imagen corporativa aproximada de Quad Marketing Agency, una gran empresa que cotiza en la bolsa de Nueva York.

Un portavoz de Quad declaró: “Quad no tenía información sobre este canal y no está afiliada a él de ninguna manera. Estamos revisando este asunto y tomaremos las medidas justificadas y apropiadas con respecto a este uso no autorizado del nombre de Quad y la consiguiente imitación de nuestro logotipo”.

El canal que pretendía ser Quad, fácilmente accesible para cualquier persona en Telegram, tiene 16.800 suscriptores, mientras que otro canal casi idéntico cuenta con 14.700, lo que permite vislumbrar la escala industrial de la operación. Un portavoz de Telegram afirmó que cuentan con un “robusto sistema antispam” que previene muchas estafas antes de que comiencen.

“Aunque lamentablemente las estafas están presentes en todas las redes sociales, Telegram elimina rutinariamente este tipo de fraudes de su plataforma como parte de sus procesos normales de moderación”, señaló el portavoz. “Los moderadores, apoyados por herramientas de IA personalizadas, supervisan proactivamente las partes públicas de la plataforma y aceptan denuncias para eliminar millones de contenidos dañinos cada día, incluyendo estafas de reseñas fraudulentas”.

Los moderadores, apoyados por herramientas de IA personalizadas, supervisan proactivamente las partes públicas de la plataforma y aceptan denuncias para eliminar millones de contenidos dañinos cada día

Portavoz de Telegram

Los canales publican un flujo constante de “trabajo” de 8:00 a 19:00 (hora del Reino Unido): hasta 14 reseñas, pagadas inicialmente a 5 dólares por cada una. Estas se intercalan con “tareas comerciales”, en las que el trabajador envía criptomonedas y los empleadores le devuelven la misma cantidad con una generosa comisión añadida. Desde el 12 de marzo, el canal había publicado casi 6.000 mensajes solicitando reseñas falsas.

Accor y Travelodge afirmaron que no tenían nada que ver con las reseñas falsas y que tratarían de garantizar que no se publicara ninguna. Un portavoz de Travelodge declaró: “Nos tomamos muy en serio la integridad de las valoraciones de los clientes y, como establece nuestra política, no creamos, encargamos ni publicamos reseñas falsas bajo ninguna circunstancia”. The Guardian también contactó con Hilton y Hyatt Place para obtener comentarios, pero no hubo respuesta.

Otra oferta de trabajo de reseñas falsas ligeramente diferente, también organizada a través de Telegram, utilizaba la imagen de HotelsCombined (parte del grupo Booking.com) para solicitar reseñas de hoteles en lugares tan distantes como Bucarest, Bali y Tailandia a través de un sitio web diseñado a medida por los estafadores.

Un portavoz de Booking.com señala que solo los clientes con estancias confirmadas pueden publicar reseñas, lo que sugiere que es poco probable que las falsas lleguen a publicarse. El portavoz añade: “Esas medidas, combinadas con equipos especializados y sistemas automatizados, significan que contamos con un procedimiento robusto para detectar y prevenir reseñas que no cumplan con nuestras directrices de contenido”.

Cómo utilizan a las víctimas

Había varias formas posibles en las que los estafadores podrían haber estado utilizando a víctimas como yo.

En primer lugar, las reseñas en internet han facilitado que los delincuentes vendan productos y servicios fraudulentos. La Autoridad de Mercados y Competencia del Reino Unido (CMA) descubrió en 2023 que los textos de reseñas falsas en productos causan un perjuicio anual de entre 50 y 312 millones de libras a los consumidores británicos (y eso sin incluir servicios como los hoteles). La CMA afirmó que entre el 11% y el 15% de todas las reseñas eran falsas en los productos que examinó, incluyendo auriculares Bluetooth, planchas, hervidores, sillas de escritorio, botellas de agua, esterillas de yoga y aspiradoras.

Ese es un dinero que, esencialmente, se embolsan los estafadores, lo que hace que el trabajo de los reseñadores falsos sea potencialmente valioso. Es poco probable que alguna de las grandes cadenas hoteleras haya pagado por reseñas falsas, pero el servicio está fácilmente disponible a través de búsquedas en internet y podría resultar tentador para un operador más pequeño.

Luego están las transacciones en sí mismas. Recibí 5 dólares en USDC por cada reseña falsa. Chainalysis, una firma que rastrea transacciones en blockchain —a menudo en colaboración con las fuerzas de seguridad—, señaló que los monederos que realizaron los pagos y otros vinculados a ellos siguen un patrón constante que revela la escala industrial de las estafas. Los monederos se recargan desde otros lugares antes de enviar decenas de miles de pequeños pagos, presuntamente a reclutas como yo. Estos monederos solían repartir entre 300.000 y 600.000 dólares en USDC antes de transferir el dinero restante.

Bajo las leyes introducidas en el Reino Unido el pasado abril, las plataformas web como Google que albergan reseñas deben tener políticas claras para la prevención y eliminación de valoraciones falsas e incentivadas, marcar actividades sospechosas y garantizar, en la medida de lo posible, que las reseñas publicadas sean auténticas y no engañosas.

Tras la presión de la CMA, Google acordó este año hacer más para identificar y eliminar reseñas falsas. Y, para mi tranquilidad, mi racha de valoraciones fraudulentas activó una respuesta automática. Al menos algunas parecen haber sido bloqueadas por los sistemas de Google.

Google afirmó que toma medidas rápidas contra los malos actores eliminando el contenido que infringe sus políticas, suspendiendo cuentas e incluso emprendiendo acciones legales. La empresa señaló que ha eliminado más de 240 millones de reseñas falsas desde 2024 —la gran mayoría antes de que fueran visibles— y que ha restringido 900.000 cuentas por violar sus normas.

La estafa del cerdo

Hall explica que quienes se dedican a las reseñas falsas han recurrido a “bots humanos” porque “las empresas se están adelantando y aplicando medidas” para detectar la actividad fraudulenta. Sin embargo, añadió que lo más probable es que los estafadores estuvieran haciendo un “doble juego”: usar mi trabajo, pero también utilizar los pagos para el blanqueo de capitales, antes de estafarme a mí al final del proceso.

Las criptomonedas desempeñan un papel crucial. Por diseño, los activos digitales registran todas las transacciones en una cadena de bloques pública. Pero el “tumbling” (unir dinero negro en una sola cuenta, dividirlo y recombinarlo muchas veces) puede ayudar a ocultar su origen, un servicio muy valioso para los grupos criminales.

Tras aprovecharse de mi trabajo, la atención de los estafadores se centró finalmente en sacarme dinero; una versión a menor escala de las estafas de “matanza del cerdo”, en las que los delincuentes “ceban” a sus objetivos ganándose su confianza para luego huir con grandes sumas de dinero. Victoria me dijo que la única forma de continuar sería realizar una “tarea comercial”, que consistía en pagar 50 dólares para recibir 60 de vuelta.

Una tabla publicada regularmente en el canal detallaba de forma muy útil lo que podía esperar si seguía adelante: pagos cada vez mayores reportarían beneficios cada vez más altos, alcanzando un máximo de 16.000 dólares por un desembolso inicial de 10.000.

Aunque el estafador pueda realizar unos pocos pagos iniciales para infundir confianza en las víctimas, el objetivo final es huir con los fondos

Jacqueline Burns Koven — jefa de inteligencia de ciberamenazas en Chainalysis

Jacqueline Burns Koven, jefa de inteligencia de ciberamenazas en Chainalysis, señala: “Esto parece similar a las estafas de empleo. Básicamente, un fraude donde la gente se registra para hacer 'tareas' y acumular un saldo, para luego tener que pagar si quieren retirar ese dinero o 'actualizar' su cuenta. Aunque el estafador pueda realizar unos pocos pagos iniciales para infundir confianza en las víctimas, el objetivo final es huir con los fondos”.

Victoria enviaba recordatorios motivacionales diarios para intentar que me involucrara, pero la cuenta de gastos de The Guardian no llega para enviar miles de libras a posibles estafadores, así que llegué al final del camino. Cuando le revelé que era periodista y le pregunté quién era realmente, se quejó de que estaba invadiendo su privacidad antes de dejar de responder. No contestó a una solicitud detallada de comentarios.

Gané 30 dólares por varias horas de trabajo repartidas a lo largo de semanas. Mientras tanto, un par de mensajes más han llegado a mi Telegram: mujeres jóvenes ofreciendo más trabajo.

Bankinter ha tenido que asumir la responsabilidad de una de las mayores brechas de seguridad de la banca digital reciente tras la absorción de EVO Banco. La Agencia Española de Protección de Datos (AEPD) ha impuesto a la entidad una multa de 400.000 euros como responsable última del agujero originado en EVO, aunque ha aceptado como atenuante el hecho que este se produjo con anterioridad a la fusión. Tras asumir la responsabilidad y acogerse al pago voluntario, la cuantía final ha sido de 240.000 euros.

La causa de la brecha fue un “error manual” de configuración durante un proceso de migración de software, según ha reconocido Bankinter. El fallo permitía realizar consultas masivas a la base de datos sin necesidad de credenciales válidas, algo que los sistemas de validación de la entidad no detectaron porque solo comprobaban que los datos se entregaran correctamente, pero no quién los solicitaba.

El agujero estuvo abierto desde febrero a abril de 2024. En marzo del mismo año, un ciberdelincuente descubrió la vulnerabilidad y durante cuatro días realizó hasta cinco millones de peticiones de datos. Más de 1,2 millones de esas consultas resultaron exitosas. No obstante, el informe pericial independiente citado en la resolución de la AEPD recoge que no existen pruebas de que el atacante pudiera exportar toda la información proporcionada por el sistema.

Esas fichas personales incluían números de cuenta IBAN, declaraciones de IVA del último ejercicio, ingresos mensuales, situación laboral y años trabajados de los afectados. La AEPD alerta en su resolución que esta combinación de datos permite construir un perfil “completo y detallado” de un individuo, lo que dispara las posibilidades de que sean víctimas de intentos de fraude o suplantaciones de identidad.

Sin embargo, los ciberdelincuentes no se detuvieron ahí. En una maniobra típica de estos grupos cuando tienen acceso a una brecha de alta gravedad, lanzaron una campaña de extorsión contra varios empleados del banco. Primero, publicaron los datos de 10 víctimas en un portal de la dark net como prueba de su ataque. Después, exigieron un pago a los responsables para retirar la información, entre ellos el jefe de ciberseguridad de EVO.

Al no obtener el dinero, los ciberdelincuentes cumplieron su amenaza y publicaron más paquetes de información de afectados, que incluían perfiles personales detallados de 958 clientes y cuatro trabajadores del banco.

En su resolución, la AEPD critica que la entidad careciera de medidas de cifrado o anonimizado adecuadas para este tipo de datos, lo que permitió que la información fuera visible para cualquiera que lograra acceso. “Los afectados confían en la entidad para el manejo seguro de su información personal, habiéndose erosionado la confianza y expectativas razonables de los afectados respecto al tratamiento de sus datos personales”, señala la Agencia.

Bankinter adquirió EVO Banco en 2019, pero ambas entidades continuaron operando como filiales separadas. El anuncio de la fusión definitiva llegó en abril de 2024, unas semanas después de que se produjera la brecha de seguridad ahora sancionada. La integración definitiva de los dos bancos concluyó el 14 de julio de 2025, fecha en la que EVO desapareció como entidad independiente y Bankinter asumió tanto la cartera de clientes como las responsabilidades legales derivadas de la gestión anterior.

Suena el teléfono de la oficina. El departamento de soporte técnico se pone en contacto para hacer una actualización del software, por lo que pide al trabajador que descargue un parche de seguridad del correo que le acaba de enviar. La persona tiene un correo electrónico corporativo, conoce todos los detalles de la operativa interna y es capaz de guiar al empleado por la actualización. Una vez completada, se despide y cuelga. La empresa acaba de sufrir un ataque y ahora un grupo de ciberdelincuentes tiene pleno acceso a sus sistemas.

La era de los correos electrónicos genéricos como vector de infección está dando paso a una amenaza más sofisticada y difícil de detectar. Los ciberdelincuentes están descolgando el teléfono y llamando directamente a empleados de las compañías que quieren atacar. Un método especialmente exitoso porque utiliza “ingeniería social hiperpersonalizada”, con datos muy específicos de la organización, así como estrategias “orientadas a generar empatía” con la víctima, avisa la firma de ciberseguridad Mandiant, propiedad de Google.

Así lo advierte su informe M-Trends 2026, publicado este lunes tras analizar más de 500.000 horas de investigaciones de ciberincidentes a nivel global. Las suplantaciones de voz de empleados ya son el segundo método de ataque más común en todo el mundo, siendo el origen del 11% de las infecciones analizadas. Casi el doble que los emails, que han caído del 20% que ostentaban 2022 a solo un 6% en 2025.

En el caso de las empresas con infraestructuras en la nube, la cifra de suplantaciones de voz se dispara. En este ámbito, las llamadas engañosas son ya la amenaza número uno, responsables del 23% de las infecciones iniciales, según Mandiant. A nivel general, la principal vía de ataque siguen siendo los exploits, que se basan en explotar brechas de seguridad que los ciberdelincuentes detectan en el software de las empresas.

Los guiones perfeccionados con inteligencias artificiales como ChatGPT o Gemini son claves en la trampa, documenta el informe. No obstante, el éxito de estas llamadas radica precisamente en que, al otro lado de la línea, hay “una persona en vivo dirigiendo la conversación en tiempo real”, afirman los investigadores. Es este factor humano el que permite al atacante interactuar, adaptarse a las dudas de la víctima y convencerla de desvelar sus contraseñas o instalar programas maliciosos.

Empleado en apuros

El informe detalla cómo operan los grupos criminales más activos en este frente. A diferencia de las estafas dirigidas al resto de usuarios, los ataques contra organizaciones están diseñados para vulnerar su seguridad a partir de los datos sobre sus procesos de trabajo y roles de los empleados que se conocen públicamente.

El ejemplo recogido al comienzo de esta información fue, de hecho, el modus operandi de una banda cibercriminal nombrada con el código UNC6040. A principios de 2025, este grupo llevó a cabo una campaña telefónica a gran escala para persuadir a los empleados de que entregaran sus credenciales y autorizaran el acceso a versiones fraudulentas de aplicaciones informáticas corporativas. Una vez dentro, utilizaron herramientas automatizadas para la extracción masiva de datos, que más tarde utilizaban para extorsionar a las compañías afectadas.

Mientras que el phishing por correo electrónico a menudo se basa en el volumen y el envío oportunista, los métodos interactivos involucran a una persona en vivo dirigiendo la conversación en tiempo real

Otra célula, con código UNC3944, utilizó el método inverso. Sus miembros se hacían pasar por empleados con problemas que se ponían en contacto con el personal de soporte técnico de las empresas. Los atacantes llamaban haciéndose pasar por compañeros con dudas o problemas reales para convencer al equipo de soporte para que les abra la puerta de los sistemas de la organización; ya sea a través de restablecer sus contraseñas o aceptando un nuevo dispositivo controlado por los ciberdelincuentes como válido para realizar autentificaciones de seguridad.

“Mientras que el phishing por correo electrónico a menudo se basa en el volumen y el envío oportunista, los métodos interactivos involucran a una persona en vivo dirigiendo la conversación en tiempo real”, recoge el informe de Mandiant. “Esta distinción es crítica para los defensores: los ataques interactivos son significativamente más resistentes a los controles técnicos automatizados y requieren diferentes estrategias de detección”.

Por ello, la firma recomienda “pivotar” la formación de los empleados “más allá de la bandeja de entrada del correo electrónico”, para tener en cuenta este tipo de ataques “hiperpersonalizados” en los que los ciberdelincuentes intentan engañarles “en directo”.

El informe también destaca un cambio de tendencia en el perfil de las empresas atacadas. Durante 2025, el sector de la alta tecnología se convirtió en la industria más atacada a nivel mundial superando al sector financiero, que había liderado este fatídico ranking en los dos años anteriores. Los servicios empresariales (proveedores que a su vez son vectores de ataque contra otras compañías) y el sector sanitario completan los primeros puestos.

Otro de los hallazgos de la investigación es la nueva jugada de los ciberdelincuentes para evitar las medidas de seguridad de las empresas: conscientes de que la concienciación sobre la seguridad informática está aumentando, ahora las copias de seguridad se han convertido en uno de sus objetivos prioritarios durante los ataques. Su meta es que sus víctimas no puedan restaurar sus sistemas por sí mismas y se vean obligadas a pagar rescates.

Por último, Mandiant documenta una nueva evolución en la profesionalización de la industria del cibercrimen. La firma señala que el grado de especialización está creciendo tanto que cada vez son más los grupos que se dedican exclusivamente a conseguir acceso a las empresas y comprometer su seguridad, para luego venderle ese acceso a otra banda.

“En 2022, el tiempo medio entre el acceso inicial y el traspaso posterior era superior a 8 horas. Sin embargo, en 2025, el tiempo medio entre el acceso inicial y el momento en que un segundo grupo tenía acceso al entorno era de 22 segundos”, detalla la firma, que explica que esto indica un proceso cada vez más automatizado y bajo encargo de terceros “en lugar de anunciar el acceso en un foro clandestino”.

La compañía eléctrica Endesa ha comunicado a sus clientes que ha sufrido un ciberaataque en el que se ha producido la sustracción de sus datos personales y financieros. Los afectados pertenecen tanto a Endesa Energía, la comercializadora de mercado libre, como a Energía XXI, que opera en el mercado regulado. Fuentes de la compañía han explicado a este medio que aún no pueden informar del número exacto de afectados.

Según detalla el comunicado enviado a los usuarios, la investigación interna indica que los ciberdelincuentes han tenido acceso a una base de datos que incluye nombres, apellidos, datos de contacto y números de Documento Nacional de Identidad (DNI). Asimismo, la brecha de seguridad ha expuesto información relativa a los contratos de energía y, en determinados casos, los códigos IBAN de las cuentas bancarias asociadas a los pagos. La compañía especifica que las contraseñas de acceso de los usuarios no se han visto comprometidas en este incidente.

Entre ambas comercializadoras suman unos diez millones de usuarios en total. Sin embargo, antiguos clientes de Endesa también están recibiendo la notificación del robo de datos, según han informado algunos de ellos a elDiario.es.

La empresa ha notificado los hechos a la Agencia Española de Protección de Datos (AEPD) y a las Fuerzas y Cuerpos de Seguridad del Estado, tal como establece la normativa. En respuesta al ataque, la compañía ha bloqueado a los usuarios cuyo acceso había sido comprometidos y ha lanzado un análisis de los registros de actividad. Endesa asegura que sus servicios operan con normalidad tras la contención del incidente.

La comunicación advierte sobre el riesgo de que los datos sustraídos sean utilizados para intentos de suplantación de identidad o para la ejecución de campañas de phishing (envío de correos fraudulentos) y spam. La eléctrica recomienda a los usuarios desconfiar de comunicaciones sospechosas y evitar facilitar información personal a fuentes no verificadas. También ha habilitado un canal de contacto (800 760 366 para los clientes de Endesa Energía, y 800 760 250 para los de Energía XXI) para resolver las dudas de los afectados.

Como alerta la compañía, este tipo de ataques suelen ser la antesala de las estafas de suplantación de identidad. En ellas, los ciberdelincuentes se hacen pasar por empresas o instituciones confiables para la víctima, ganándose su confianza gracias a los datos robados. En caso de sospecha de haber clicado en un enlace fraudulento o de haber introducido datos bancarios en páginas que podrían estar operadas por ciberestafadores, la recomendación de las fuerzas de seguridad es comunicar lo sucedido de inmediato al banco y denunciar los hechos a la Policía.

El Instituto Nacional de Ciberseguridad dispone del número gratuito 017 y del teléfono de WhatsApp 900 116 117 para resolver dudas de seguridad. Atiende a ciudadanos, empresas y profesionales y es confidencial.

La Audiencia Provincial de Cáceres ha confirmado la condena a una entidad bancaria a la que obliga a reembolsar 14.940 euros a un cliente que fue víctima de un ciberataque. El tribunal ha desestimado el recurso del banco, sentenciando que el usuario no cometió una “negligencia grave” al caer en un engaño sofisticado que suplantaba a la perfección los canales de comunicación de la empresa.

Los hechos ocurrieron en septiembre de 2023. Según se recoge en la sentencia, la víctima recibió un SMS de alerta en el mismo hilo de mensajes que utilizaba habitualmente su banco donde se le informaba de una posible transferencia sospechosa de fraude, facilitándole un enlace para que moviera sus fondos “a una cuenta segura”.

Inmediatamente después, el cliente recibió una llamada telefónica desde un número, que corresponde a la entidad demandada. Una supuesta gestora lo guio durante más de media hora para realizar cuatro transferencias bajo la creencia de que estaba protegiendo su dinero. En total, se sustrajeron 14.940 euros mediante transferencias fraudulentas.

Esta técnica, conocida como 'Caller ID Spoofing', permite a los delincuentes enmascarar su número para que en la pantalla del móvil de la víctima aparezca el teléfono del banco, generando una apariencia de veracidad casi indetectable.

Recurso de la sentencia

El banco recurrió la sentencia de primera instancia alegando que el cliente había actuado con negligencia grave, argumento necesario para exonerarse de su responsabilidad según la Ley de Servicios de Pago. La entidad sostenía que el fraude ocurrió fuera de su aplicación oficial de la entidad bancaria y que el usuario facilitó voluntariamente las claves.

Sin embargo, la Sección Primera de la Audiencia Provincial de Cáceres ha rechazado estos argumentos. El tribunal entiende que la entidad bancaria es responsable de la seguridad del sistema y debe probar la negligencia grave del usuario si quiere evitar el reembolso. Además, la Audiencia considera que no se puede calificar de negligente la conducta de la víctima, ya que el mensaje llegó al hilo oficial de SMS y la llamada provenía del número oficial del banco. Según la sentencia, “cualquier persona con formación media y con un uso ordinario de la banca digital hubiera reaccionado de igual manera” ante tal nivel de manipulación.

El fallo señala también que el banco no implementó medidas suficientes, como tecnología antiphishing, para detectar que sus números y canales estaban siendo clonados.

La decisión de la Audiencia Provincial confirma el fallo del juzgado de primera instancia de Cáceres y condena a la entidad al pago de los 14.940 euros sustraídos, los intereses legales y las costas procesales del recurso.

Cuidado: si estudias en la Universidad Complutense de Madrid y este fin de semana has recibido un correo electrónico que pedía un pago urgente para regularizar la matrícula, es falso. La dirección de la UCM ha advertido de un ciberataque efectuado el domingo que pedía a varios de sus alumnos una transferencia de hasta 1.500 euros por un supuesto “retraso” en el abono de las tasas universitarias, a través de un e-mail con el dominio de la Complutense para confundir al receptor. Poco después, a las 13.19 horas, el Vicerrectorado de Tecnología y Sostenibilidad informó en otro correo masivo de una “oleada” de mensajes “maliciosos” que imitaban su estilo oficial.

“Hola. A pesar de nuestro recordatorio anterior, todavía observamos un retraso en el pago de las tasas de matrícula por importe de 1.500 euros. Además, si su deuda no se liquida antes del 26/10/2025, tendremos que enviar su expediente a nuestro departamento de litigios”, indicaba la primera comunicación recibida por los estudiantes, que realmente no fue enviada por la UCM. En ella se les apremió a ingresar el dinero ese mismo día, fuera del horario lectivo.

El mensaje insistía en que debían mandar un comprobante de la transferencia a esa misma dirección, cuenta@ucm-es.live, que imitaba las siglas oficiales del centro. La Complutense reaccionó rápido al ciberataque: pronto llegó otro e-mail masivo, esta vez auténtico, en el que se anunciaba la supuesta estafa. Aún no se sabe cuánta gente se ha visto afectada ni si hay estudiantes que abonaran la cantidad solicitada.

Una petición urgente que “no deja pensar ni contrastar”

“Ese correo es falso por muchos motivos: se pide el pago urgente para no dejarnos pensar ni contrastar, enviar el recibo de pago a una cuenta que no es nuestra y cantidades de la matrícula que no cuadran”, destacó el vicerrector del departamento, Jorge Jesús Gómez Sanz, en ese otro difundido donde advertía que algunos mensajes falsos redirigían a cuentas bancarias de origen francés.

No es la primera vez que ocurre algo parecido: en mayo del año pasado, la UCM informó de otro caso de phishing que filtró información de sus alumnos. La universidad anunció que se reforzarían sus sistemas de seguridad cibernética. De momento se desconoce quién anda detrás de este último ciberataque o cómo se han filtrado datos que custodiaba la universidad.

Tal y como ha podido comprobar este periódico, también hay antiguos alumnos que ya acabaron sus estudios o no están matriculados pero aún así han recibido el mensaje con la estafa. La dirección del centro se ha reunido este lunes por la mañana para abordar, entre otros asuntos, las posibles causas del ciberataque.

En su mensaje del domingo, el Vicerrectorado ya dijo que se estaban “poniendo los medios técnicos” para llegar al fondo del asunto. Ignacio, estudiante en la Facultad de Ciencias de la Información de la UCM que en estos meses apura su TFG, asegura a Somos Madrid que el correo falso que recibió a su e-mail universitario “desapareció de la bandeja de entrada pocos minutos después” del desmentido de la Complutense, que puede eliminar mensajes dentro de su propio sistema.

Mango ha sufrido un acceso no autorizado a los datos de contacto de sus clientes usados en campañas de marketing, a través de uno de sus servicios externos. La información expuesta “se limita a los datos de contacto personales usados en campañas de marketing”, es decir, nombre (sin apellidos), país, código postal, dirección de correo electrónico y teléfono, informan fuentes de la compañía.

Mango ha explicado que “todo sigue funcionando con normalidad” y que los sistemas corporativos de la compañía no se han visto comprometidos. Asimismo, ha explicado que en ningún caso se ha visto comprometida información bancaria, tarjetas de crédito, DNI, pasaporte, credenciales de acceso ni contraseñas de clientes.

La firma ha activado los protocolos de seguridad y ha notificado a la Agencia de Protección de Datos y Autoridades. Mango recomienda a los clientes, de forma preventiva, prestar atención a cualquier “comunicación sospechosa” o solicitudes de acciones inusuales tanto por correo electrónico como por teléfono.

Este tipo de ataques se usan como base para los fraudes de phishing y suplantación de identidad. En ellos, los ciberdelincuentes se hacen pasar por empresas o instituciones confiables para la víctima, ganándose su confianza gracias a los datos robados. En caso de sospecha de haber clicado en un enlace fraudulento o de haber introducido datos bancarios en páginas que podrían estar operadas por ciberestafadores, la recomendación de las fuerzas de seguridad es comunicar lo sucedido de inmediato al banco y denunciar los hechos a la Policía.

El Instituto Nacional de Ciberseguridad dispone del número gratuito 017 y del teléfono de WhatsApp 900 116 117 para resolver dudas de seguridad. Atiende a ciudadanos, empresas y profesionales y es confidencial.

La Dirección General de Tráfico (DGT) ha alertado de una estafa por la que se trata de suplantar la identidad del organismo, comunicando una supuesta multa por estacionar en una zona restringida con la consiguiente multa y pidiendo el abono de la misma, redirigiendo a la víctima a una plataforma de pago en la que se le piden sus datos bancarios. 

Según explica Tráfico a través de una publicación en X (antes Twitter), actualmente circula un correo electrónico en el que se le comunica al conductor que ha cometido una infracción por aparcar en una zona no permitida, lo que le acarrea una multa de 100 euros, que se reducirá a la mitad si se abona en 24 horas. 

Las amenazas de los ciberdelincuentes van a más e intentan asustar en todo lo posible a su víctima, anunciándole consecuencias mayores si no abonan la multa: “Para evitar que el importe se incremente y se inicien acciones legales, le rogamos que proceda con el pago lo antes posible”.

A continuación, según la imagen compartida por Tráfico en sus redes sociales, aparece un mensaje en el que se le insta a acceder “de forma segura” a una plataforma de pago. Es más, se especifica que el enlace le dirigirá a la “plataforma oficial de la DGT, donde podrá completar el pago de manera rápida y segura” con la tarjeta de crédito. 

Sin embargo, se trata de un fraude, recuerda el organismo. “Recuerda que la DGT no notifica nunca sanciones vía email ni mensaje de texto”, escribe en su publicación. Ante mensajes de este tipo, su consejo es claro: no responder ni comunicar ningún dato personal ni bancario, la única manera en la que los ciberdelincuentes pueden extorsionarnos. 

Último ejemplo de phishing

Este es el último ejemplo de phishing, una técnica que, según el Instituto Nacional de Ciberseguridad (Incibe), consiste en el envío de un correo electrónico por parte de un ciberdelincuente a un usuario simulando ser una entidad legítima con el objetivo de “robarle información privada, realizarle un cargo económico o infectar el dispositivo”. 

En este caso, el recorrido es el siguiente: simular que es una multa de la DGT, mandar un aviso de pago urgente de una sanción y pedir los datos de la tarjeta para abonar la misma. 

Si caemos en la estafa, los especialistas del Incibe recomiendan seguir los siguientes pasos: 

Agentes de la Unidad Central Operativa (UCO) de la Guardia Civil han detenido en la localidad cántabra de San Vicente de la Barquera a un joven brasileño de 25 años conocido como 'GoogleXcoder', al que se ha identificado como el principal proveedor de herramientas para 'phishing' (fraude) bancario destinado a grupos delincuenciales que llegaron a alardear en sus canales de mensajería de “robarle todo a las abuelas”.

La operación se ha desarrollado en colaboración con la Policía Federal de Brasil y la empresa de seguridad Grup IB y ha permitido desarticular un entramado criminal tras el registro del sospechoso en San Vicente de la Barquera, según ha informado la Guardia Civil en una nota de prensa.

En concreto, este joven al que la Guardia Civil califica de “nómada digital” --por sus constantes cambios de domicilio-- se dedicaba al diseño y a la comercialización de equipos de 'phishing' (fraude) bancario capaces de clonar páginas web y todo tipo de organismos estatales para robar los datos de las víctimas.

Seis registros en domicilios

Como resultado de la investigación llevada a cabo por el Juzgado de Instrucción número 1 de San Vicente de la Barquera, la operación concluyó con seis entradas y registros en domicilios de las localidades de Valladolid, Zaragoza, Barcelona, Palma de Mallorca y en los municipios de San Fernando y La Línea de la Concepción en Cádiz.

Durante la operación, los agentes han intervenido dispositivos electrónicos y se han recuperado fondos vinculados al dinero sustraído a las víctimas, almacenados en distintas plataformas digitales.

La Guardia Civil especifica que desde el año 2023 se han venido sucediendo a nivel nacional una serie de campañas de 'phishing', en las que los cibercriminales suplantaban tanto a los principales organismos públicos como a las entidades bancarias más importantes de España para engañar a las víctimas y obtener sus datos personales.

Alarma social

Estas campañas de robo de credenciales han derivado en una cantidad importante de denuncias de personas afectadas, millones de euros sustraídos y el origen de una incipiente alarma social, ha explicado la Guardia Civil.

Debido a la gravedad de las circunstancias y a la proliferación agresiva de estas campañas de 'phishing', el Departamento contra el Cibercrimen de la UCO inició una investigación con el objetivo de alcanzar no solo a los ejecutores, sino al “cerebro” que diseñaba las herramientas utilizadas por numerosos grupos delictivos para estafar.

De esta forma, los investigadores localizaron al ciberdelincuente que, bajo un modelo 'Crime as a Service' (CaaS), ofrecía un servicio completo de 'phishing' a otros delincuentes, en el que diseñaba y comercializaba 'kits' capaces de clonar páginas web de entidades bancarias y todo tipo de organismos estatales. Sus servicios incluían personalización, soporte técnico y actualizaciones, consolidando una estructura criminal profesionalizada.

“Robarle todo a las abuelas”

Los cibercriminales o 'phishers' que contrataban los 'kits' del detenido para cometer las estafas organizaban las operaciones a través de grupos en la aplicación de mensajería 'Telegram' donde, según ha detallado la Guardia Civil, contaban con “un nivel de impunidad” tal que uno de sus grupos se denominaba “Robarle todo a las abuelas”.

Estos criminales contrataban los servicios de 'GoogleXcoder' por cientos de euros al día, llegando a suplantar varias decenas de entidades, engañando a miles de personas y con fraudes bancarios que alcanzaban los millones de euros.

El individuo que se ocultaba tras este pseudónimo se trasladaba frecuentemente entre distintos domicilios de diferentes provincias de España, sirviéndose de líneas de teléfono y tarjetas de pago a nombre de identidades suplantadas para evitar su localización. Su actividad delictiva le permitía mantener una vida como “nómada digital” junto a su familia.

El análisis forense de los dispositivos intervenidos, así como de las transacciones en criptomonedas, que se prolongó durante más de un año debido a su complejidad, permitieron reconstruir todo el entramado delictivo, logrando identificar a seis personas directamente relacionadas con el uso de estos servicios.

Actualmente, la investigación continúa abierta y no se descartan nuevas actuaciones. Los canales de Telegram han sido ya objeto de medidas de desactivación y se están analizando evidencias digitales intervenidas, que podrían dar lugar a nuevas identificaciones o detenciones.

Casi 48 millones de llamadas y 2,2 millones de SMS bloqueados. Son las cifras del Plan del Gobierno contra las estafas telefónicas, presentadas este lunes por el ministro para la Transformación Digital, Óscar López, que ha calificado como “un éxito” el paquete de medidas, que prohíbe prácticas como el uso de números de teléfono móvil para el spam publicitario y la suplantación de empresas e instituciones a través de SMS.

Desde que entró en vigor la última tanda de prohibiciones, el 7 de junio, las operadoras de telefonía han bloqueado una media de 434.915 llamadas diarias, a las que se suman 18.666 SMS. Según los datos reportados por las compañías al Ministerio, los picos de bloqueos se dieron el 30 de junio, cuando una sola de ellas llegó a parar 1,4 millones de llamadas que tenían “intención fraudulenta”. En los mensajes, la cifra máxima diaria se alcanzó el 25 de julio, cuando una operadora bloqueó 60.000 SMS en un solo día.

López ha agradecido a las operadoras su colaboración en la puesta en marcha del plan. “Era un problema que estaba creciendo exponencialmente y causando importantes daños económicos”, ha recordado. Una de las medidas estrella del plan era la limitación de las llamadas comerciales a números fijos con prefijos geográficos reservados para comunicaciones comerciales o desde números 800 y 900, que antes solo podían recibir llamadas.

El último paso del plan, una base de datos oficial con los códigos alfanuméricos que utilizan las empresas y administraciones como identificadores en los SMS, se pondrá en marcha en 2026 “por su complejidad técnica”.

Con todo, el ministro ha reconocido que los ciudadanos siguen recibiendo llamadas fraudulentas con números de teléfono con prefijos de países extranjeros. Los usuarios están reportando que en ocasiones este tipo de contactos se están realizando de forma masiva. “Lo sabemos y estamos trabajando para solucionarlo”, ha manifestado sobre este agujero ante la pregunta de elDiario.es.

Tras la rueda de prensa, el equipo de López ha explicado a este medio que el plan prohíbe específicamente que se camuflen llamadas internacionales con prefijos que se utilizan para las llamadas locales en España. “Los operadores tienen rutas de tráfico específicas para el tráfico originado en otros países, por las que deberían venir llamadas con numeración de esos países (+1 o 001 en llamadas que vienen de EEUU, +44 o 0044 en llamadas que vienen de Reino Unido, +33 o 0033 en llamadas que vienen de Francia…)”, detallan.

“Lo que no puede venir por esas rutas es tráfico nacional +34 o 0034 seguido de un geográfico o un móvil, y cuando venga será sinónimo de que el número está manipulado con intención de crear familiaridad y confiabilidad en el ciudadano, y tendrá que ser bloqueado por el operador que recibe esa llamada por una ruta de tráfico internacional”, especifican.

El plan del Gobierno bloquea el uso de números de teléfono móvil para camuflar llamadas publicitarias y también el envío de SMS masivos para suplantar a instituciones o empresas. Este freno a los envíos masivos, no obstante, no evita que los ciberdelincuentes puedan llevar a cabo contactos más dirigidos para lanzar fraudes de suplantación o phishing, gracias a bases de datos personales robadas.

En cualquier caso, el ministro ha recordado que la Oficina de Atención al Usuario de Telecomunicaciones permite presentar reclamaciones contra los autores de llamadas que violen los principios del plan, “como por ejemplo en el caso de que un ciudadano siga recibiendo llamadas comerciales desde numeración móvil”.

La Agencia Española de Protección de Datos (AEPD) ha impuesto una multa de 3,2 millones de euros a Carrefour por múltiples infracciones graves relacionadas con la seguridad y el manejo de los datos personales de sus clientes. La sanción llega una investigación que ha revelado fallos significativos en la protección de información sensible, que se vio comprometida hasta por seis ciberataques sufridos por la cadena en 2023. Estos afectaron a un total de 118.954 personas.

La técnica utilizada por los ciberdelincuentes fue el “credential stuffing”, un tipo de ataque que, en lugar de intentar desentrañar las contraseñas de los usuarios con fuerza bruta informática, se basa en el uso automatizado de combinaciones de correos electrónicos y contraseñas previamente filtradas en otras brechas de seguridad. Los atacantes prueban estas credenciales en masa en distintos servicios, confiando en que muchos usuarios reutilizan las mismas contraseñas en múltiples plataformas.

En el caso de Carrefour, esta práctica permitió repetidos accesos no autorizados a cuentas de clientes, exponiendo sus datos personales. Los paquetes de información robada difirieron en cada una de las brechas, incluyendo desde referencias que permiten la identificación de los usuarios (nombre, apellidos, correo electrónico, teléfono de contacto, DNI o NIE, dirección postal y fecha de nacimiento) hasta datos económicos o financieros (aunque sin medios de pago directos) credenciales de acceso a sus servicios, como usuario y contraseña.

Durante la investigación, Carrefour argumentó que el número de cuentas donde se confirmó la validez de credenciales (118.895) no implica un acceso a datos personales en todos los casos. La cadena francesa asegura que la afectación real a la integridad de las cuentas solo fue de 234 casos y a la confidencialidad de 973 casos. No obstante, la AEPD ha rechazado este argumento, afirmando que el acceso exitoso a las contraseñas ya implica un alto riesgo y una pérdida de control sobre los datos de las 118.895 cuentas de cliente afectadas.

La cuantía de la multa deriva de tres infracciones de la normativa de privacidad. Por un lado, por una violación “muy grave” del principio de integridad y confidencialidad de los datos, por el que la Agencia multa a Carrefour con dos millones de euros; a la que se suma otra calificada como “grave” por no establecer las correctas medidas de seguridad para evitar estos ciberataques, sancionada con otro millón de euros. Por último, el regulador establece una tercera sanción “leve” por no comunicar correctamente lo sucedido a los afectados, de 200.000 euros.

La AEPD destaca varias deficiencias por parte de Carrefour durante la investigación, que a juicio del regulador justifican la sanción. Por ejemplo, que la empresa no implementó la medida de seguridad del doble factor de autentificación (confirmación de identificación a través de un método adicional a la contraseña) hasta después de la quinta brecha. Además, sus sistemas permitían la consulta masiva de información desde direcciones IP distintas sin detectarlo como una anomalía.

elDiario.es se ha puesto en contacto con Carrefour para incluir su posición en esta información y preguntar si planea recurrir la sanción ante la Audiencia Nacional, pero todavía no ha recibido respuesta. La cadena, no obstante, no ha ejercido la posibilidad de reducir un 20% la cuantía de la sanción por asunción de responsabilidad, ni el 20% adicional por pronto pago.

Riesgo de suplantaciones

El tipo de datos robados a Carrefour son la materia prima que los ciberdelincuentes utilizan para realizar ataques de suplantación de identidad. En ellos, se hacen pasar por empresas como Carrefour u otras instituciones intentando ganarse la confianza de la víctima haciéndole ver que conocen sus datos y situación personal. Una de sus técnicas más utilizadas es inducir una situación de urgencia, en la que el objetivo debe realizar algún tipo de acción con rapidez para evitar un problema o situación negativa.

En caso de sospecha de haber clicado en un enlace fraudulento o de haber introducido datos bancarios en páginas que podrían estar operadas por ciberestafadores, la recomendación de las fuerzas de seguridad es comunicar lo sucedido de inmediato al banco y denunciar los hechos a la Policía. El Instituto Nacional de Ciberseguridad dispone del número gratuito 017 y del teléfono de WhatsApp 900 116 117 para resolver dudas de seguridad. Atiende a ciudadanos, empresas y profesionales y es confidencial.

El ministro para la Transformación Digital y Función Pública, Óscar López, ha asegurado que, en tan solo dos meses, se han bloqueado cerca de 14 millones de llamadas falsas con las medidas impulsadas desde su cartera contra los delitos de ciberestafa. Es una media de 235.600 llamadas y 10.000 SMS al día. “Los datos demuestran que las medidas funcionan”, ha defendido López durante la presentación del 'Decálogo Contra el Fraude Emocional: Vergüenza para el Estafador, Justicia para las Víctimas' impulsada por la Asociación contra la Estafa con Manipulación Emocional (ANCEME).

El plan del Ministerio se basa en dificultar el contacto de los ciberdelincuentes con los ciudadanos y entre ellas se incluye el bloqueo de llamadas desde números no asignados o virtuales, así como de comunicaciones nacionales con origen internacional, usadas para ocultar la verdadera procedencia. El próximo día 7 se prohibirá también el uso de números móviles para llamadas comerciales. “Tendrán que hacerse desde un prefijo de una provincia o bien desde un número 800 o 900”, ha advertido el ministro.

Este sábado también entrará en vigor la prohibición de recibir llamadas y SMS que son de origen internacional, pero que simulan haber sido originadas en un número español para engañar al ciudadano, “una de las prácticas más comunes en los intentos de fraude telefónico”, destaca Transformación Digital. Las operadoras que no acaten estas nuevas normas y permitan ese tipo de llamadas se exponen a multas de hasta dos millones de euros.

En este sentido, el Ministerio de Consumo ha presentado una enmienda para modificar la Ley de Servicios de Atención a la Clientela y prohibir también el uso de números de teléfono fijos para este tipo de llamadas comerciales. La iniciativa pretende que las empresas estén obligadas a identificar sus llamadas comerciales con un código numérico específico y para que las compañías telefónicas bloqueen todas las llamadas de empresas que no usen ese código.

Evitar las suplantaciones

Según ha explicado López, desde su cartera no solo quieren “eliminar la suplantación de personalidad”, sino que también quieren que todos los ciudadanos tengan derecho a saber cuando una llamada es comercial, y para garantizarlo el Ejecutivo quiere que las empresas no puedan realizar llamadas de este tipo desde números de teléfono largos o números de móvil que el receptor no pueda identificar rápidamente.

La última de las medidas, que entrará en vigor el año que viene, es la creación de una base de datos oficial con los códigos alfanuméricos que utilizan las empresas y las administraciones públicas como identificadores en los SMS. “Esta base de datos, que será gestionada por la Comisión Nacional de los Mercados y la Competencia (CNMC), permitirá registrar y verificar dichos identificadores. Así se garantizará la autenticidad de las comunicaciones, se protegerá la identidad de las entidades legítimas, y se facilitará la detección y bloqueo de intentos de suplantación”, recalca Transformación Digital.

El Ministerio anunció esta batería de medidas contra las estafas telefónicas y ciberestafas en julio de 2024 y tras un período de consulta pública, el plan se aprobó y entró en acción en abril. En los últimos 10 años, los delitos informáticos relacionados con este tipo de fraude han aumentado más de un 500%, según los datos de la Fiscalía. Muchos de ellos tienen relación con tácticas de phishing y otro tipo de suplantaciones en las que los autores se hacen pasar por empresas e instituciones confiables por teléfono.

El Tribunal Supremo ha lanzado un aviso a los bancos en una sentencia reciente: si un cliente pierde sus ahorros mediante una estafa de phishing y no hay pruebas de que la culpa sea de la víctima, la entidad tendrá que hacerse cargo del dinero, al menos hasta que el criminal sea encontrado y condenado. Los jueces de lo civil han dado la razón a un hombre que perdió más de 83.000 euros a través de una de estas estafas, explicando que el banco solo queda exonerado de responder de este dinero “de inmediato” si se demuestra que ha sido el cliente el que ha provocado el robo con una actuación negligente o, incluso, fraudulenta.

En una de estas estafas, el ladrón consigue los datos bancarias de su víctima: número de cuenta o de tarjeta pero también las claves de acceso. Lo hace, habitualmente, haciéndose pasar por el banco o cualquier otra entidad y conseguir así que el cliente le entregue sus datos. Mensajes alertando de falsas alertas de seguridad, de inexistentes envíos postales o haciéndose pasar por familiares que, muchas veces, terminan con la víctima entregando sus claves, sin saberlo, a un estafador que empieza entonces a sacar el dinero de sus cuentas.

Plataformas como Europol alertan, desde hace años, de los miles de casos que se registran anualmente en el contiente. En España, la Fiscalía llama la atención en sus informes del “imparable desarrollo tecnológico” en la criminalidad y el aumento anual de este tipo de estafas. Pero antes de sentar al estafador en el banquillo siempre hay un primer paso: cuando el cliente llama al banco y, mientras la Policía busca al ladrón, reclama su dinero.

En este caso el demandante, que llevó al banco por la vía civil para reclamar el dinero perdido, empezó a recibir primero avisos de Google sobre accesos no autorizados a su cuenta de correo y, después, mensajes SMS para materializar transferencias que no había ordenado, de los que avisó al banco. Lo siguiente, un mes después, fue levantarse de la cama y encontrar unos cargos en su cuenta y hasta 83.000 euros en 'bizums'. El dinero salió de su banco y llegó a cuentas de “delincuentes conocidos por la Policía”, realizado gracias a una tarjeta SIM de su esposa duplicada en Murcia. La víctima vivía en Zaragoza.

El afectado, a través de Ibercaja, consiguió recuperar unos 27.000 euros pero acudió a los tribunales para exigir que la entidad le devolviera el resto del dinero estafado. El banco alegaba que no había incurrido en ningún incumplimiento y aunque reconocía que “posiblemente” había sido víctima de “una suplantación de identidad o phishing”, todas las operaciones fueron autorizadas “al haber cumplido el doble factor de autenticación”. No es trabajo del banco, añadía Ibercaja en sus alegaciones, saber si esas transferencias “las autentificó un cliente o un tercero”.

Los tribunales aragoneses entendieron que esas transferencias “fueron realizadas por delincuentes, que duplicaron la tarjeta SIM de la esposa del perjudicado” , accediendo así a la “información confidencial” y “tomando el control de su banca digital”. La estafa conocida como “SIM swapping”. El resultado, confirma ahora el Tribunal Supremo, es que el banco debe pagar los más de 50.000 euros que todavía tenía pendientes de recuperar. No sólo el cliente no fue negligente: incluso advirtió con antelación de los mensajes que estaba recibiendo y el banco no tomó ninguna medida preventiva de seguridad.

La responsabilidad del banco

La Sala de lo Civil del Supremo reconoce que el cliente tiene la obligación de ser cuidadoso con sus datos bancarios. “Debe adoptar todas las medidas razonables a fin de proteger sus credenciales de seguridad personalizadas”, explica. Y si detecta alguna operación sospecha, “sin demora” debe comunicárselo a la entidad. A partir de ahí, añade, es responsabilidad del banco tomar las medidas necesarias: “El proveedor debe proceder a su rectificación y reintegrar el importe de inmediato, salvo que tenga motivos razonables para sospechar la existencia de fraude”.

Si un cliente, como sucede habitualmente en casos de 'phishing' o suplantaciones bancarias, denuncia que no ha realizado esa transferencia sospechosa, es trabajo de la entidad demostrar que todo se hizo correctamente y que no existió ni un falló técnico “u otra deficiencia del servicio”. Que la operación esté registrada no sirve para demostrar que fue autorizada o que el afectado es culpable y “ha actuado de manera fraudulenta o incumplido deliberadamente o por negligencia grave”.

El banco no se puede limitar a probar que la salida sospecha de dinero, en este caso unas 15 transferencias en una sola noche, fue “autenticada, registrada con exactitud y contabilizada”. Eso, dicen los jueces, “no es suficiente para eximirle de responsabilidad”. Tiene que probar que el cliente no incurrió en “fraude, incumplimiento deliberado o negligencia grave”.

En este caso el Supremo no tiene dudas de que el cliente fue víctima de una estafa y que el banco no hizo nada. “Alguien había conseguido acceder a las cuentas, y, por ende, disponía de sus claves de usuario y contraseña, lo que hubiera debido motivar una reacción inmediata, que pasaba cuando menos por la modificación de las claves y/o códigos. Nada se hizo”, reprochan los jueces.

Llama incluso el Supremo a los bancos a usar la tecnología para evitar estas estafas, sobre todo cuando son tan sospechosas como que un usuario transfiera 83.000 euros de madrugada: “No puede considerarse como normal e irrelevante que una persona que jamás efectúa operaciones de madrugada, de repente, proceda a llevar a cabo hasta diecisiete operaciones seguidas y por un importe tan elevado”.

Circula un correo electrónico que, supuestamente, envía Lidl informando a los usuarios de que han ganado una aspiradora Silvercrest y que sólo deben pagar dos euros para recibirla. Pero es un timo. Se trata de un caso de phishing en el que los timadores suplantan la identidad de la cadena de supermercados para obtener datos personales y bancarios de las víctimas, suscribiéndolas sin su conocimiento a servicios de pago en línea.

El mensaje fraudulento llega desde una dirección de correo electrónico ajena al dominio oficial de Lidl (@lidl.es). En el cuerpo del email, se invita a los destinatarios a hacer clic en un enlace que los redirige a una página web falsa (aigeneratedcoin[.]store). En esta página, los usuarios deben completar una encuesta sobre su experiencia de compra en Lidl para supuestamente recibir la aspiradora. Sin embargo, en un aviso al final de la página se indica que el sitio no está respaldado por Lidl y que las “ofertas de terceros” pueden incluir tarifas de inscripción o suscripciones.

Tras responder las preguntas de la encuesta, los usuarios son llevados a una segunda web fraudulenta, donde se les solicita su información personal y los datos de su tarjeta bancaria para pagar los supuestos dos euros de gastos de envío. Una lectora de Maldita.es cayó en la trampa y, tras pagar 2,99 euros, detectó un nuevo cargo de 39,99 euros días después en su cuenta bancaria. En su extracto, el cobro aparecía vinculado a la web budgetscoop[.]shop, donde se avisa de que las transacciones pueden gestionarse o cancelarse a través de su plataforma.

Para evitar caer en este tipo de fraudes, se recomienda verificar siempre la dirección del remitente del correo electrónico y asegurarse de que pertenece a la empresa real, así como comprobar la URL antes de hacer clic en cualquier enlace. Si el dominio es extraño o contiene combinaciones aleatorias de letras y números, es probable que sea fraudulento. También es importante no descargar archivos adjuntos sospechosos, ya que podrían contener malware, y desconfiar de mensajes que generen sensación de urgencia. Para confirmar la autenticidad de la oferta, es recomendable contrastar la información con fuentes oficiales, como el Instituto Nacional de Ciberseguridad (INCIBE).

Si alguien ha facilitado sus datos en este tipo de fraudes, se recomienda recopilar todas las pruebas del engaño y presentar una denuncia ante la Policía Nacional o la Guardia Civil. También es importante revisar el uso de los datos personales mediante egosurfing para detectar posibles usos indebidos y contactar con el banco para informar del fraude. En caso necesario, se puede bloquear o anular la tarjeta bancaria para evitar más cargos no autorizados.

¿Te ha llegado un bulo? Verifica en el WhatsApp de Maldita.es en el +34 644229319.

La ciberdelincuencia se ha convertido en uno los problemas sociales más relevantes del siglo XXI. No da tregua y los intentos de estafa a través de internet son cada vez más sofisticados, y afectan tanto a particulares como a empresas e instituciones gubernamentales. Así pues, las autoridades competentes se esfuerzan en alertar de los diferentes métodos que emplean los ciberdelincuentes para engañar a la población y comprometer la seguridad digital.

En este sentido, recientemente, la Policía Nacional ha lanzado una advertencia urgente a través de sus redes sociales sobre una campaña masiva de correos electrónicos fraudulentos que utilizan su nombre para engañar a los ciudadanos y poner en riesgo la seguridad de sus dispositivos.

El aviso, difundido en un vídeo de TikTok y en el resto de perfiles sociales de la Policía, pone en conocimiento de la población que se están enviando mensajes desde direcciones de correo que contienen el dominio '@policia.es', aunque el nombre de usuario puede variar.

En estos correos, los destinatarios son citados para presentarse en un supuesto departamento central en Madrid en relación con un expediente del que no tienen conocimiento, y para acceder a la documentación correspondiente se les insta a pinchar en un enlace.

La Policía Nacional ha sido tajante al respecto: no son ellos quienes están enviando estos mensajes. Así pues, han pedido a los ciudadanos que no caigan en la trampa y, sobre todo, que no hagan clic en el enlace, ya que podría tratarse de un software malicioso diseñado para infectar sus dispositivos. La recomendación es clara: eliminar el correo sin abrirlo y extremar las precauciones ante este tipo de amenazas.

“Si lo estabas dudando, no, no hemos sido nosotros. Por eso, si recibes este correo no pinches en el enlace, porque podría infectar tu ordenador. Elimínalo”, subraya la responsable de la Policía Nacional encargada de trasladar a la ciudadanía la alerta a través de la citada red social.

El 'phishing', un fraude cada vez más frecuente

Este tipo de ataque es conocido como 'phishing', una técnica de estafa en la que los ciberdelincuentes se hacen pasar por entidades de confianza para obtener información confidencial o instalar software malicioso en los dispositivos de las víctimas. En los últimos años, el 'phishing' ha evolucionado significativamente, utilizando técnicas cada vez más creíbles para engañar a los usuarios.

Y es que no es la primera vez que se emplea la identidad de la Policía Nacional para este tipo de fraudes. De hecho, las fuerzas de seguridad tienen que desmentir continuamente que envíen correos o mensajes en los que solicitan datos personales o instan a los ciudadanos a realizar alguna acción determinada.

La estrategia de los estafadores se basa en el miedo y la urgencia: al recibir un mensaje de una institución tan relevante, muchas personas pueden sentirse intimidadas y actuar rápidamente sin cuestionarse la autenticidad del correo.

Cómo detectar un correo fraudulento

Para evitar caer en la trampa de los ciberdelincuentes, es fundamental conocer las señales de advertencia que indican que un correo electrónico puede ser fraudulento:

Qué hacer si recibes uno de estos correos

La Policía Nacional ha dado indicaciones claras sobre cómo actuar si se recibe un correo electrónico sospechoso:

La importancia de la ciberseguridad en el día a día

El auge de la tecnología y la digitalización han traído innumerables beneficios, pero también han generado nuevos riesgos. Y es que cada vez con más frecuencia los delincuentes utilizan la ingeniería social para manipular a los usuarios y conseguir sus datos. Por ello, la educación en ciberseguridad es fundamental para protegerse de este tipo de amenazas.

No solo los correos electrónicos son vía de entrada para los ciberdelincuentes, sino también es común encontrar fraudes a través de mensajes SMS (‘smishing’), llamadas telefónicas fraudulentas (‘vishing’) o incluso a través de redes sociales. Por eso, es crucial mantenerse alerta y no compartir información personal con desconocidos.

Desde la Policía Nacional recuerdan que, ante la duda, siempre es mejor contrastar la información a través de los canales oficiales antes de actuar. La prevención y la información son las mejores herramientas para evitar caer en este tipo de trampas.

Ante la sospecha, mejor prevenir

Los intentos de estafa por 'phishing' son cada vez más comunes y sofisticados, y la mejor forma de evitar caer en ellos es mantener una actitud prudente y estar informado. La Policía Nacional ha sido clara en su advertencia: si recibes un correo en su nombre instándote a hacer clic en un enlace, no lo hagas y elimínalo de inmediato.

La seguridad en internet es responsabilidad de todos, y con unas simples pautas de prevención, se pueden evitar grandes problemas. Y no está de más compartir esta información con familiares y amigos para que nadie más caiga en la trampa de los ciberdelincuentes.

En la época digital, las aplicaciones de citas han revolucionado la forma en que las personas se conectan, ofreciendo la posibilidad de encontrar pareja desde la comodidad de un teléfono móvil. Sin embargo, el auge de estas plataformas también trae consigo riesgos y desafíos, incluidos los engaños y estafas que pueden comprometer la seguridad de los usuarios. Detectar y prevenir estos fraudes es esencial para disfrutar de una experiencia segura en estas herramientas digitales.

La digitalización de las relaciones ha llevado a millones de personas a buscar pareja o amistades a través de aplicaciones específicas. Su diseño intuitivo y sus algoritmos basados en intereses comunes hacen que estas herramientas sean atractivas para diversos perfiles. La masividad de su uso también ha abierto la puerta a prácticas fraudulentas. Desde perfiles falsos hasta intentos de extorsión, las estrategias empleadas por los estafadores se han diversificado, afectando tanto a personas jóvenes como a usuarios más experimentados.

Señales para identificar perfiles falsos

Los perfiles fraudulentos suelen presentar características comunes que pueden servir como advertencia. Una de las señales más habituales es la falta de información detallada en el perfil. Los estafadores tienden a emplear descripciones vagas o exageradas, con fotografías demasiado perfectas o imágenes genéricas descargadas de internet.

Otra señal de alerta es cuando el supuesto interesado muestra un exceso de entusiasmo desde el principio, intentando establecer un vínculo emocional demasiado rápido. Este tipo de comportamiento suele estar vinculado a intentos de manipulación para obtener datos personales o financieros.

Además, la falta de interacción en tiempo real, como videollamadas, o la negativa a compartir redes sociales verificables también son indicadores de que el perfil podría no ser auténtico.

Recomendaciones para un uso seguro

Estafas más comunes en aplicaciones de citas

Fraudes emocionales

Los estafadores suelen aprovecharse de las emociones de sus víctimas para ganar confianza. Una vez logrado este vínculo, es común que soliciten ayuda económica bajo pretextos urgentes, como emergencias médicas o problemas financieros inesperados.

Robos de identidad

En algunos casos, los perfiles falsos buscan obtener información personal para suplantar la identidad de la víctima. Esto puede incluir fotografías, nombres completos o detalles laborales.

Phishing o enlaces maliciosos

Otro método habitual es el envío de enlaces que, al ser abiertos, instalan software malicioso en los dispositivos. Estos programas pueden capturar contraseñas o datos privados, comprometiendo la seguridad digital del usuario.

Sistemas de verificación

Las plataformas de citas han implementado medidas adicionales para garantizar la seguridad de sus usuarios. Desde sistemas de inteligencia artificial que detectan actividades sospechosas hasta funciones de reporte anónimas, estas herramientas son fundamentales para combatir el fraude.

Por otro lado, aplicaciones como Google Reverse Image permiten verificar si las fotos utilizadas en un perfil han sido extraídas de internet. Esto resulta útil para identificar imágenes de modelos o fotografías genéricas.

Qué hacer si detectas un fraude

Si crees que has interactuado con un perfil falso o has sido víctima de una estafa, lo primero es interrumpir toda comunicación. Bloquear al usuario y reportar el perfil a la plataforma es esencial para evitar que otros caigan en la misma trampa.

Asimismo, es importante denunciar el caso ante las autoridades pertinentes, especialmente si has proporcionado información personal o financiera. La Policía Nacional y la Guardia Civil disponen de canales específicos para atender delitos cibernéticos.

Finalmente, si sospechas que tu información ha sido comprometida, cambia tus contraseñas de inmediato y monitorea tus cuentas bancarias para detectar movimientos no autorizados.

La Tesorería General de la Seguridad Social (TGSS) ha advertido este jueves de un nuevo intento de estafa en el que, utilizando el envío de una carta con su logo, se pide al receptor que remita una foto del DNI por las dos caras a una dirección de correo electrónico para cobrar un aumento de la pensión.

A comienzos de enero y cuando se acaba de producir el aumento anual de las pensiones, del 2,8% en 2025, el gancho de los estafadores es la subida de las pensiones.

La misiva recoge que, “debido al ataque informático en los sistemas de Hacienda y Seguridad Social”, se han perdido datos de los ciudadanos, por lo que pide el envío de datos personales y bancarios para recibir el aumento de las prestaciones.

“Pretenden conseguir préstamos que pagarás tú”

“Pretenden usar tu DNI para hacerse pasar por ti y conseguir préstamos que pagarás tú”, advierte la Seguridad Social, que pide que se difunda este intento de estafa. Además de la foto del DNI, la carta solicita una foto de un extracto bancario donde el receptor de la carta aparezca como titular o autorizado y la última cantidad o estimación de lo que cobró de pensión el mes anterior.

Los estafadores informan además en la misiva de que habrá un incremento de las prestaciones, “de 75 a 150 euros, dependiendo de cada caso”.