Recibes un whatsapp “Hola, papá, necesito 100€”. Seguro que tú mismo o un conocido ha recibido ese mensaje o una llamada de una empresa que ofrece trabajo. El fraude está cada vez más presente en nuestro día a día, llamadas, whatsapp, SMS y correos fraudulentos resultan ya habitual. A veces somos capaces de detectarlo, pero otros están tan profesionalizados que pasan totalmente desapercibido hasta para aquellos que trabajan luchando contra él. 

Los numerosos ejemplos reflejan una emergencia de ciberseguridad relevante y sostenida, vaticinando un impacto global de grandes magnitudes: se estima que el cibercrimen alcance los 10,5 billones de dólares en 2025, con el fraude de identidad como vector principal.

El fraude digital ha dejado de ser un fenómeno aislado para consolidarse como una auténtica industria global que ya tiene nombre: Fraud-as-a-Service (FaaS), Fraude como Servicio, muy ligado a los dispositivos electrónicos como una extensión más del propio individuo y la democratización de herramientas de inteligencia artificial generativa que logran crear contenido y manipular imágenes o vídeos de forma casi imperceptible, elevando así el nivel de sofisticación de los ataques.

Por ello, Javier Barrachina, director de I+D en Facephi, compañía líder en identificación y verificación de la identidad, analiza cómo estas técnicas han evolucionado hasta convertirse en amenazas diarias y persistentes, la importancia de conocer cómo funcionan y el modo en que detectarlas puede mitigar su impacto y reforzar la seguridad de los ciudadanos. 

1. Conoce al enemigo: técnicas más comunes entre estafadores

Para entender la tipología de estafa y cómo actúan los ciberdelincuentes, Javier Barrachina nos muestra la manera en que desde Facephi los clasifican en varias capas o niveles que ayudan a prevenir ese fraude en sus diferentes modalidades pensado en cómo los ciberdelincuentes intentan atacar hacia quién eres, cómo actúas y cómo es tu red.

Nivel 1 – ¿Quién eres? Suplantación de identidad y deepfakes. El más común a través de la manipulación de imágenes, vídeos o deepfakes para acceder a los sistemas de las entidades bancarias o incluso a tus propios amigos y familiares haciéndose pasar por ti o por otra persona.

Yendo incluso un paso más allá al crear identidades sintéticas extremadamente convincentes cada vez de más fácil escalado gracias a la IA generativa. En este sentido, herramientas como Sora (OpenAI), Veo 3 y Nano Banana (Google) permiten generar vídeos hiperrealistas sin necesitar conocimientos técnicos.

Se trata de un proceso de creación de identidades falsas que combinan datos reales, usualmente filtrados, con información generada por IA para crear perfiles digitales completos que superan controles KYC (Know your Customer) tradicionales. Estas pueden mantenerse inactivas durante meses, acumulando un historial legítimo y consolidado de datos antes de activarse para fraude masivo. Para no levantar sospechas, activan los perfiles poco a poco, creando cuentas en bancos y haciendo pequeños movimientos. Dado que las cuentas no les pertenecen a personas reales, su detención y seguimiento es complejo.

Nivel 2 – ¿Cómo actúas? Phishing hiperpersonalizado, herramientas de acceso remoto o manipulación de dispositivos. Otras veces los defraudadores no buscan suplantar directamente la identidad de un usuario, sino explotar vulnerabilidades del sistema para manipular procesos que sí son legítimos, utilizan accesos o cuentas reales para cometer actividades ilícitas. 

Algunos ejemplos serían la toma de control a distancia del dispositivo por parte de un atacante con herramientas de acceso remoto (Remote Access Trojans – RATs) o Phishing hiperpersonalizado, logrando robar datos para diseñar ataques dirigidos que imitan comunicaciones reales, incorporando información específica como nombres de contactos, hábitos de compra y contexto familiar para eliminar cualquier sospecha. Esta personalización convierte mensajes genéricos en comunicaciones aparentemente legítimas que incluyen detalles verificables siempre creando un efecto de urgencia.  

Nivel 3 – ¿Cómo es tu red? Cuentas mula. Es otro de los grandes desconocidos, aunque son una de las prácticas más utilizadas por los delincuentes para fraudes financieros. La función de estas “mulas” se centra en trasladar, blanquear u ocultar los fondos, obtenidos de forma ilegal, transfiriendo entre varias cuentas el capital.  Esta ciberestafa se implementa a través de cuentas bancarias reales, muchas de ellas a través de inocentes engañados individuos que son manipulados para recibir y transferir dinero sin saber que están participando en fraude, por ejemplo, dar “me gusta” a publicaciones en redes a cambio de dinero puede funcionar como gancho.

La mayoría de los fraudes atacan directamente al sector financiero, pero según revela Facephi en su Fraud Intelligence Report, no podemos perder de vista el interés de los atacantes en gaming (granjas de dispositivos, blanqueo de fondo o robo de identidad) el sector salud (suplantación para acceso a recetas digitales y la propia administración pública (intentos de suplantación para ayudas y subsidios).

2. Identifica estas señales. No solo es tecnología, es psicología.

El motivo por el cual los ciudadanos siguen siendo objeto de engaños es que el fraude ya no apela solo a la tecnología, sino a la psicología humana. Los ataques son hiperpersonalizados, inmediatos y emocionalmente manipuladores, lo que hace que incluso usuarios experimentados bajen la guardia.

Las técnicas de ingeniería social actuales han evolucionado hasta convertirse en herramientas de alta precisión que logran la confianza de la víctima en tiempo récord. Por eso, la combinación de manipulación psicológica tradicional con tecnologías de última generación plantea nuevos niveles de profesionalización.

Los ataques son diseñados hasta el más mínimo detalle, basándose en principios de neurociencia y comportamiento humano que explotan sesgos cognitivos predecibles.  El secuestro emocional es la táctica más efectiva: los estafadores generan estados de urgencia, miedo o euforia que desactivan la corteza prefrontal, la región cerebral responsable del pensamiento crítico y la toma de decisiones racionales. Un claro ejemplo es la conocida como “Secuestro por Whatsapp”, en el que los ciberdelincuentes se hacen pasar por un familiar en apuros como hemos visto al inicio.

En estos casos, ¿qué se debe hacer? Facephi recomienda que, si recibe un WhatsApp supuestamente de un familiar pidiendo dinero urgente, siempre debe llamar directamente al número conocido previamente (no responder al mensaje), o verificar mediante videollamada en tiempo real con una conversación espontánea. Los deepfakes actuales, aunque sofisticados, aún presentan dificultades con interacciones improvisadas en tiempo real.

Para distinguir interacciones legítimas de estafas, Javier Barrachina recomienda que el ciudadano conozca señales universales de alerta:

• Urgencia artificial: las organizaciones legítimas raramente imponen plazos de minutos u horas para acciones críticas. Cualquier mensaje que genere pánico («su cuenta será bloqueada hoy») debe considerarse sospechoso por defecto.
• Solicitudes inesperadas: bancos y organismos oficiales no solicitan contraseñas, códigos OTP o transferencias mediante mensajes no solicitados. El contexto importa: si el usuario no estaba esperando esa comunicación, debe validarla antes de actuar.
• Inconsistencias sutiles: errores en nombres, logos ligeramente diferentes, URLs con caracteres añadidos (por ejemplo: banc0.com en lugar de banco.com), o tonos de comunicación que no coinciden con interacciones previas.
• Solicitudes de cambio de procedimiento: si un proveedor habitual súbitamente pide que pague mediante un método diferente o un superior solicita procesos que normalmente no requeriría, el usuario debe detener la acción y verificar la identidad de su interlocutor. 

3. Intenta estar informado, la educación digital como pilar

Como sociedad debemos comprender que la perfección técnica de un contenido (vídeo de alta calidad, mensaje gramaticalmente correcto) ya no garantiza su autenticidad. Pese a que empresas como Facephi desarrollan tecnología avanzada capaz de anticipar el fraude como biometría del comportamiento, detección de patrones, detección de deepfakes, etc, consideran importante desarrollar colectivamente el hábito de verificación mediante canales alternativos y la capacidad de reconocer ciertas sutilezas o cuándo nos pueden estar manipulando.

¿Cómo lo podemos hacer?

• Primero, reconocimiento de patrones sospechosos: identificar indicadores de alerta como solicitudes urgentes de dinero, cambios repentinos en procedimientos habituales, o comunicaciones que generan presión temporal. Esto será necesario antes de realizar acciones que involucren datos privados.
• Segundo, verificación multifactorial: establecer protocolos personales de confirmación mediante canales alternativos antes de realizar acciones sensibles.
• Tercero, cultura del «tiempo de espera»: normalizar pausas de reflexión ante cualquier solicitud urgente, especialmente cuando involucra dinero o datos personales.

El auge del fraude como servicio ha cambiado definitivamente las reglas del juego: hoy, cada interacción digital es una potencial puerta de entrada para el cibercrimen. Lejos de las estafas improvisadas del pasado, hablamos de operaciones altamente sofisticadas, diseñadas para replicar el comportamiento humano y burlar los controles tradicionales, al tiempo que ponen en jaque unos marcos regulatorios incapaces de evolucionar al ritmo de nuevas tipologías delictivas, legislaciones fragmentadas y una complejidad técnica creciente.

Formar a los ciudadanos y reforzar la cultura de verificación es necesario, pero no podemos delegar la seguridad del sistema en el eslabón humano, precisamente el más vulnerable ante una ingeniería social cada vez más sofisticada e hiperpersonalizada. La protección real debe estar diseñada para resistir incluso cuando el usuario se equivoca, se distrae o actúa bajo presión. En ese sentido, como señala Javier Barrachina, director de I+D en Facephi, “la respuesta no puede basarse en controles aislados, sino en una visión holística que sitúe la protección de la identidad en el centro, desarrollando tecnología que proteja al usuario en cualquier interacción sin que lo note, previniendo el fraude antes de que se produzca”. Educación y concienciación, sí; pero apoyadas en medidas robustas, continuas e inteligentes que validen cada interacción. La confianza ya no se asume: se verifica.