Las redes sociales se han convertido en mucho más que un espacio para compartir contenido, conversar o descubrir marcas. También son ya, según ESET, compañía líder en ciberseguridad, uno de los principales puntos de entrada para fraudes cada vez más sofisticados, que aprovechan la cercanía y la confianza de plataformas como Instagram, Facebook o WhatsApp para lanzar engaños basados en la urgencia, los premios falsos, las inversiones irreales o la suplantación de identidad. En España, además, las estafas informáticas siguen marcando el pulso de la cibercriminalidad. Según el Ministerio de Interior, en 2025 se registraron más de 430.000 casos, el 88% de todos los ciberdelitos conocidos.

“El fraude en redes ya no se limita a mensajes burdos o perfiles falsos fáciles de detectar. Hoy combina anuncios maliciosos, suplantación de identidad, robo de cuentas, grupos de inversión fraudulentos, ofertas de empleo falsas y contenidos apoyados en inteligencia artificial para resultar más creíbles y escalar con rapidez”, señala Josep Albors, director de investigación y concienciación de ESET España. “El riesgo del fraude financiero es alto y se prevé que siga creciendo por la expansión de la IA y la globalización de los llamados scam centers”.

Uno de los casos más sonados de las últimas semanas ha sido el incidente de Instagram relacionado con la herramienta automatizada de soporte “High Touch Support”. Entre el 17 de abril y el 31 de mayo de 2026 una vulnerabilidad en ese sistema permitió comprometer el acceso a 20.225 cuentas de Instagram en todo el mundo, especialmente en perfiles sin autenticación en dos pasos. Meta desactivó la herramienta, invalidó los enlaces de reseteo de contraseña generados de forma fraudulenta y forzó medidas de reautenticación. Pero no es el único ejemplo. En febrero, se produjo una filtración masiva que expuso cerca de 149 millones de credenciales de acceso de servicios como Instagram, Facebook o TikTok. 

A este escenario se suma la escala industrial del problema. Meta asegura que solo en 2025 retiró más de 159 millones de anuncios fraudulentos y 10,9 millones de cuentas de Facebook e Instagram vinculadas a centros de estafa. En junio de 2026, además, informó de una operación conjunta con fuerzas de seguridad y otras tecnológicas que acabó con la desactivación de 1,4 millones de cuentas, páginas y grupos y con decenas de detenciones.

La IA acelera la personalización del engaño

Desde ESET advierten de que la inteligencia artificial generativa está cambiando la forma en la que se diseñan y distribuyen las estafas en redes sociales. Los ciberdelincuentes ya no dependen únicamente de mensajes genéricos, errores gramaticales o perfiles poco elaborados, sino que pueden automatizar la creación de textos, imágenes, vídeos, audios y conversaciones mucho más creíbles, adaptadas al idioma, intereses, ubicación, hábitos de consumo o actividad pública de cada usuario.

Esta capacidad permite escalar campañas de ingeniería social con un nivel de personalización que antes requería más tiempo y recursos, combinando perfiles falsos más verosímiles, anuncios fraudulentos segmentados, suplantaciones de identidad, mensajes directos automatizados, clonación de voz, deepfakes y enlaces que redirigen a formularios o webs diseñadas para robar credenciales, datos bancarios o códigos de verificación.

A esto se suma el uso de cuentas previamente comprometidas, comunidades falsas y campañas coordinadas que mezclan contenido legítimo con llamadas a la acción fraudulentas, lo que dificulta que el usuario distinga entre una interacción cotidiana y el inicio de un intento de fraude.

Cómo reducir el riesgo ante las estafas en redes sociales

Con motivo del Día Mundial de las Redes Sociales, que se celebra el 30 de junio, ESET recuerda que la mejor defensa sigue combinando tecnología, configuración de seguridad y, sobre todo, criterio para detectar las señales del engaño antes de hacer clic:

• Activa la autenticación multifactor en todas las cuentas de redes sociales, priorizando aplicaciones de autenticación frente a códigos por SMS siempre que sea posible.
• Desconfía de los mensajes inesperados, incluso cuando procedan de contactos conocidos, especialmente si incluyen enlaces, solicitudes de dinero, códigos de verificación o propuestas de inversión.
• No introduzcas credenciales desde enlaces recibidos por mensaje directo, anuncio o publicación. Accede siempre escribiendo manualmente la dirección oficial de la plataforma o servicio.
• Revisa perfiles, anuncios y promociones antes de interactuar, prestando atención a URLs extrañas, cambios recientes de nombre, baja actividad, comentarios sospechosos o promesas poco realistas.
• Limita la información pública del perfil, ya que fotografías, ubicación, contactos, intereses o rutinas pueden utilizarse para crear engaños más convincentes y personalizados.
• Comprueba la actividad de inicio de sesión y cierra sesiones desconocidas desde la configuración de seguridad de cada red social.
• Refuerza la seguridad de las cuentas profesionales, limitando permisos de administración, utilizando contraseñas únicas, supervisando accesos y contando con soluciones de seguridad capaces de detectar enlaces maliciosos, phishing y descargas sospechosas.