Spoofing, phishing y otras estafas virtuales que acechan en internet

Publicado: julio 5, 2025, 7:23 am

A primera vista, las estafas virtuales pueden parecer fáciles de detectar: mensajes de correo electrónico que anuncian regalos sospechosos, ofertas demasiado buenas para ser verdad o llamadas inesperadas en nombre de una compañía pidiendo información personal. Son muchísimas las formas en las que los ciberdelincuentes pueden atacar. Además, en los últimos años, estos timadores 2.0 utilizan técnicas cada vez más sofisticadas, lo que ha hecho que casi todos hayamos caído alguna vez en alguna trampa digital. De hecho, el fraude informático es ya el delito más denunciado en España, superando a los hurtos y robos tradicionales, según datos del Informe sobre la cibercriminalidad en España (2023) elaborado por el Ministerio del Interior.

Pero empecemos por el principio: ¿qué es una estafa virtual? Una estafa virtual es cualquier tipo de fraude que emplea medios digitales, como correos electrónicos, mensajes de texto, redes sociales, llamadas telefónicas o páginas web, para engañar a las personas. Los ciberdelincuentes manipulan a los usuarios, aprovechando su miedo, su confianza, su desconocimiento tecnológico o la urgencia para actuar rápidamente, lo que facilita el éxito de sus maniobras.

A continuación, detallamos las estafas más frecuentes con las que los delincuentes intentan hacerse con los ahorros ajenos:

Phishing: el engaño que se esconde tras el correo electrónico

Se trata de una modalidad de fraude en la que las víctimas reciben mensajes de correo electrónico aparentemente enviados por bancos, compañías o instituciones reconocidas. Estos mensajes solicitan, bajo pretextos de todo tipo, la entrega de datos personales y la introducción de claves o contraseñas para acceder a cuentas bancarias electrónicas

La finalidad es siempre la misma: “engañar al usuario para que revele información personal o bancaria, como contraseñas o datos de acceso, a través de enlaces o páginas web falsas que imitan las oficiales”, explica el Banco de España. Información que luego será utilizada con fines ilícitos.

Smishing: la estafa que te llega directa al móvil

Seguro que alguna vez has recibido un mensaje de texto fraudulento enviado supuestamente en nombre de una compañía, por ejemplo, una entidad bancaria, una compañía telefónica o energética, o una institución, véase la Seguridad Social, la Agencia Tributaria o Correos, entre otros. Se trata de una técnica conocida como smishing.

A través de estos mensajes se solicitan datos personales, códigos de acceso o la realización de alguna acción, como hacer clic en un enlace o descargar una aplicación, bajo excusas como «actualización de seguridad», «sorteo» o «problemas con su cuenta». En resumen, señalan desde la Asociación Española de Banca (AEB), “el objetivo es lograr que les proporciones información que les ayude a robarte el dinero.”

Vishing: una llamada con mucha trampa

Aunque las llamadas telefónicas forman parte de nuestra rutina diaria, pocos sospechan que detrás de un tono cordial o una urgencia verosímil puede esconderse una amenaza. El vishing es “una modalidad de fraude en la que los delincuentes utilizan llamadas telefónicas para suplantar la identidad de empresas, organizaciones o personas de confianza, como bancos, compañías de servicios o soporte técnico”, indican a Infoveritas desde el Instituto Nacional de Ciberseguridad (INCIBE).

Como sucede con el phishing o el smishing, el objetivo de los delincuentes es intentar obtener información personal y sensible de la víctima, como datos bancarios, contraseñas o códigos de seguridad, aprovechando la confianza y la urgencia que generan en el interlocutor, así como convencer a la víctima de realizar acciones como transferencias de dinero.

En ocasiones, los atacantes incluso utilizan tecnologías avanzadas, como la modificación de voz o deepfakes, para imitar la voz de personas reales y aumentar la credibilidad del engaño.

Spoofing: cómo los ciberdelincuentes se hacen pasar por otros

El spoofing, o suplantación de identidad, explican desde INCIBE, es una técnica ampliamente utilizada por ciberdelincuentes para hacerse pasar por una entidad, persona o dispositivo de confianza. Mediante la falsificación de datos de comunicación (como direcciones de correo, números de teléfono, direcciones IP o nombres de dominio) el atacante oculta su verdadera identidad y logra que la víctima crea que está interactuando con una fuente legítima.

El objetivo principal del spoofing es obtener información sensible, robar credenciales de acceso, propagar malware o inducir a la víctima a realizar acciones que comprometan su seguridad, como transferencias bancarias. Para ello, los estafadores manipulan la información de los mensajes, llamadas o páginas web, de modo que resulta muy difícil distinguir entre la comunicación real y la falsa.

Existen varios tipos de spoofing, como el email spoofing (falsificación de remitentes de correo), el caller ID spoofing (suplantación de números de teléfono en llamadas), el web spoofing (sitios web falsos que imitan a los originales) y el IP spoofing (modificación de la dirección IP para ocultar la procedencia real).

Estafas amorosas: cuando el amor cuesta dinero

Los corazones solitarios que prueban suerte en los sitios de citas deben ser conscientes de que muchos de los perfiles con los que interactúan pueden ser falsos… Son las conocidas estafas románticas o romance scam. En este caso, los delincuentes fingen un interés amoroso o sentimental por la víctima, generalmente a través de redes sociales, aplicaciones de citas, o incluso por canales de mensajería como WhatsApp o Telegram, para ganar la confianza de la víctima utilizando una identidad falsa.

Los estafadores suelen crear perfiles atractivos y convincentes, muchas veces utilizando fotografías robadas de personas reales (técnica conocida como catfishing). Inician conversaciones cargadas de emociones y promesas, y poco a poco generan un vínculo afectivo con la víctima. Una vez establecida la confianza, comienzan a solicitar ayuda económica alegando emergencias médicas, problemas financieros, viajes imposibles o inversiones supuestamente rentables.

Estas estafas suelen prolongarse durante semanas o incluso meses, y rara vez hay un encuentro físico entre la víctima y el estafador, ya que este siempre encuentra excusas para no verse en persona o para evitar videollamadas. Los métodos de pago que solicitan suelen ser difíciles de rastrear, como transferencias internacionales, tarjetas regalo o criptomonedas.

La Asociación Nacional Contra la Estafa con Manipulación Emocional ofrece varias claves en su Guía de Prevención de Estafas Románticas para evitar caer en este tipo de fraudes.

Falsas ofertas de empleo: demasiado buenas para ser verdad

Buscar trabajo es un gran desafío y los delincuentes lo saben. Por eso utilizan como anzuelo falsas ofertas o entrevistas de empleo. En concreto, los ciberdelincuentes se hacen pasar por empresas o reclutadores legítimos para ofrecer puestos de trabajo inexistentes. Generalmente, los estafadores contactan a sus víctimas a través de correos electrónicos, mensajes de WhatsApp, llamadas telefónicas o incluso mensajes directos en redes sociales, anunciando vacantes con condiciones muy atractivas: salarios elevados, horarios flexibles, etc.

Para dar mayor credibilidad al fraude, durante el proceso de selección, los estafadores suelen realizar entrevistas ficticias para generar la sensación de estar participando en un proceso real. Una vez que se le confirma al candidato que ha sido seleccionado para el puesto, antes de formalizar el contrato, le solicitan información personal o financiera. En otras situaciones, se le exige pagos por adelantado para supuestos trámites o materiales que luego, supuestamente, el empleador va a devolver.

Desde el Instituto Nacional de Ciberseguridad (INCIBE) se recomienda desconfiar de cualquier oferta de trabajo que solicite información personal o bancaria antes de formalizar la contratación, o que pida pagos anticipados para supuestos trámites o materiales. Además, se aconseja eliminar y bloquear cualquier mensaje sospechoso y verificar siempre la autenticidad de la empresa y los reclutadores a través de canales oficiales. Y, por supuesto, desconfiar de ofertas que parecen demasiado buenas para ser verdad, sobre todo si provienen de canales no oficiales o no solicitados.

Tiendas online fraudulentas: la compra que nunca llega

¿Alguna vez has visto una oferta online tan buena que casi no te lo crees? Cuidado: detrás de esos descuentos imposibles y productos exclusivos puede esconderse una tienda fraudulenta. De hecho, las estafas con tiendas web fraudulentas son una de las modalidades más comunes en el comercio electrónico, y consisten en la creación de páginas de internet que imitan la apariencia de tiendas legítimas o marcas reconocidas, ofreciendo productos a precios excepcionalmente bajos o descuentos imposibles de rechazar. Estas tiendas suelen utilizar imágenes y logotipos de empresas reales, así como descripciones de productos copiadas de sitios auténticos, para generar confianza y atraer a un mayor número de víctimas.

El objetivo principal de los estafadores es que el comprador realice el pago de un pedido que nunca será enviado. En muchos casos, la web desaparece poco después de recibir el dinero, dejando a la víctima sin posibilidad de reclamar ni recuperar sus fondos, especialmente si la tienda está alojada en servidores de terceros países. Además, algunas de estas tiendas pueden estar diseñadas para robar datos personales y financieros de los usuarios, lo que incrementa el riesgo de sufrir otros fraudes o robos de identidad.

Para evitar caer en este fraude, la Policía Nacional aconseja al usuario consultar la información legal de la empresa y prestar atención a la apariencia de las páginas web, que, aunque tratan de imitar plataformas oficiales, pueden estar mal construidas y estructuradas, indican desde el Ministerio del Interior.