Ciberestafas: los fraudes por los que más nos habéis preguntado en 2024

Estafas más sofisticadas y creíbles gracias a la inteligencia artificial  

El fundador y CEO de Hackrocks, Enrique Serrano, asegura que en el 2024 "se siguen repitiendo muchas estafas del 2023, pero cada vez se van mejorando y haciendo más nominales". Este ingeniero informático explica que "antiguamente eran ataques masivos donde ponían ‘Hola’ y luego cualquier tipo de truco o estafas", mientras que ahora estos timos empiezan con tu nombre propio. Según indica Serrano, estos ataques nominales se deben principalmente a que "cada vez es más sencillo acceder a información que ha sido robada". Señala que, en ocasiones, las estafas suelen contener "datos interesantes" del usuario que la recibe: "Por ejemplo, una contraseña que algún proveedor de servicio pudo haber perdido, alguna dirección o algún dato perdido en Internet". Esto implica que los intentos de fraudes "parezcan muy reales".  

¿Cómo me protejo de los ciberdelincuentes? ¡Toma nota de estos consejos!

La inteligencia artificial ha jugado un papel importante en la creación y difusión de las ciberestafas que han circulado este 2024. Según Enrique Serrano, "la IA hace que el ciberataque o ciberestafa sea muy muy creíble". Añade que con esta tecnología "cualquier persona que no sepa nada de español puede crear una ciberestafa en un español perfecto". También menciona otros ejemplos de intentos de fraude en los que los estafadores han hecho uso de la IA como "simular o clonar la voz en una llamada, simular una multa de tráfico o crear un código QR malicioso para que pagues y te roben tus datos". Según explica Serrano, los ciberdelincuentes suelen emplear la inteligencia artificial "como generador de valor y como herramienta". El fundador de Hackrocks sostiene que "los malos" pueden usarla para "generar un correo para engañar a una persona para que pague o para intentar adivinar la contraseña de una persona". En palabras de Serrano: "Te está aportando un conocimiento para que tú puedas atacar mejor". Por otro lado, subraya que algunos utilizan la IA para "programar un malware o virus" y esto les permite "avanzar más rápido para crear un ataque en menos tiempo".  

Para este experto en Ciberseguridad no se educa y conciencia lo suficiente sobre ciberdelitos. "Es muy importante que todo el mundo, a todas las edades y sea más o menos técnico, sepa qué riesgo conlleva utilizar la tecnología", sostiene. Serrano concluye que, "cuanto más use la gente una tecnología o plataforma, más se centrarán los ciberdelincuentes en hacer ataques hacia ella".

¿Cuáles son las ciberestafas y fraudes por las que más nos habéis consultado? 

1 | Las estafas a través de códigos QR se popularizan

En los últimos meses de 2024 hemos detectado varios casos de Qrishing, una técnica de ciberataque que utiliza códigos QR maliciosos para engañar a las personas y obtener información personal o bancaria. Un ejemplo de esta estafa es la falsa multa de tráfico por mal estacionamiento que ha circulado por WhatsApp. Esta notificación ofrece un código QR malicioso que se presenta como medio para "ver" la infracción. Sin embargo, se trata de una ciberestafa que circula por varios países y de la que han advertido las Fuerzas y Cuerpos de Seguridad y algunos ayuntamientos de España a través de sus redes sociales. También te explicamos la estafa de los paquetes atribuidos a Amazon que contienen códigos QR fraudulentos. La Policía de varias ciudades de EE. UU. alertan de que los ciberdelincuentes han suplantado a la multinacional y explican que, "una vez escaneado el código, toda la información de este teléfono se enviará a los estafadores".  

01.27 min

Transcripción completa

Nacieron hace 30 años, pero su uso se ha extendido

a raíz de la pandemia

Cada vez se ven más códigos QR en más sitios diferentes.

Por ejemplo en lugares públicos para acceder a aplicaciones

o a información, también en páginas web

o en correos electrónicos,

e incluso en tickets de la compra

Y con ello han llegado también las estafas.

-Estamos alarmados del incremento de los fraudes digitales,

y este en una versión

-Es poner o suplantar un código QR de verdad o poner un código QR

en un sitio en el que no debería estar

y desde ahí tu accedes a una página web

o a un espacio que no es seguro

-Precisamente en estos hubo una temporada

en la que ponían códigos QR falsos

y se notaba que estaba como pegado

y tratado pero no es el mismo resultado

-Antes de escanear asegúrate de que no es una pegatina

sobre el real

Y antes de entrar a la web.

-Me sale algo abajo pero no me fijo

Es lo que no hay que hacer, hay que revisar la dirección

a lo que nos envía

-Tener una aplicación que me enseñe a dónde me voy a ir a conectar

sería super importante porque es un filtro previo

Y si la estafa ya no se puede evitar

-El consumidor es solo responsable hasta 50 euros

de los pagos fraudulentos,

y en este caso para nosotros este es claramente un pago fraudulento

Si lo que intentan robar son datos o claves,

hay que fijarse en que el móvil no haga cosas extrañas,

como descargarse aplicaciones.

Y sobre todo

-Yo sí me fijo, y ante la duda, no se continúa

Utilizar el sentido común, también en el entorno digital.

El auge de los códigos QR abre una nueva puerta a los ciberdelicuentes

La Policía Nacional ha alertado en redes sociales de las estafas a través de códigos QR y recomiendan: actualizar tu dispositivo, implementar algún mecanismo de seguridad y emplear "alguna app que permita ver antes la dirección a la que te redirige el código". En esta guía del Instituto Nacional de Ciberseguridad (INCIBE) puedes comprobar cómo identificar un código QR malicioso.  

2 | Intentos de estafa que utilizan WhatsApp como gancho  

En VerificaRTVE hemos desmontado múltiples intentos de estafa que utilizan como cebo la aplicación de mensajería instantánea WhatsApp para quedarse con los datos de los usuarios. Algunos de estos fraudes comienzan con una llamada de teléfono, como las "del departamento de Recursos Humanos" de empresas que te piden que agregues un número a WhatsApp para obtener información sobre una oferta de empleo inexistente. El objetivo de este ciberdelito, que comienza una vez iniciada la conversación por WhatsApp, es obtener datos personales para utilizarlos en futuros fraudes de ataque dirigido o solicitar a la víctima una cuantía de dinero.  

Cuidado con estos dos intentos de estafa a través de WhatsApp

En otras ocasiones la estafa se inicia por SMS tras recibir un código de seis dígitos. En VerificaRTVE ya te hemos explicado en qué consiste este fraude: alguna persona que tenemos en la agenda de nuestro teléfono y a la que previamente los ciberdelincuentes le han secuestrado su WhatsApp nos enviará un SMS solicitando un código de verificación. Si le trasladamos esa clave, habremos perdido nuestra cuenta. Ante este tipo de estafas, lo mejor es no compartir nunca este código de verificación y activar la verificación de dos pasos, un doble factor de autenticación de WhatsApp.  

3 | Falsos medicamentos promocionados en webs que suplantan a medios  

Internet se ha convertido en el principal escenario para la difusión de pseudoterapias y tratamientos sin evidencia científica que prometen la cura de enfermedades. A lo largo de este 2024 nos habéis remitido páginas web que suplantan la identidad de medios de comunicación y de doctores de reconocido prestigio para promocionar falsos remedios.  

Un ejemplo de ello es esta web que suplanta la imagen del diario El Mundo y del especialista en Endocrinología Antonio Escribano Zafra para promocionar unas gotas que prometen que el consumidor adelgazará "10 kilos en tres semanas". Como ya te explicamos en VerificaRTVE, estas gotas no están registradas en España como medicamento contra la obesidad y tampoco es posible perder 10 kilogramos en tres semanas. Radiotelevisión Española también ha sido víctima de suplantación para promocionar la venta de falsos remedios. Es el caso de esta web en la que utilizan la imagen del cardiólogo Valentín Fuster sin su consentimiento con el objetivo de promover de forma fraudulenta un producto contra la diabetes que no tiene eficacia probada científicamente. También han suplantado al presentador de RTVE Xavier Fortes para promover de forma fraudulenta un falso remedio que no elimina los problemas de erección. Ante la difusión de estos falsos medicamentos, los expertos consultados recomiendan consultar a los profesionales de la salud, ya que la utilización de estos productos puede poner en riesgo la salud de quienes los consumen.

4 | Falsos regalos de grandes marcas en fechas señaladas 

De manera recurrente nos consultáis por SMS y correos electrónicos que anuncian regalos, sorteos y grandes descuentos por parte de marcas utilizando como reclamo la celebración del Día de la Madre, el Black Friday o las Navidades. Sin embargo, muchos de ellos son mensajes fraudulentos que suplantan la imagen corporativa de empresas con los que los ciberdelincuentes buscan robar tus datos. 

Es el caso de este smishing que anuncia un falso sorteo de tarjetas regalo de 500 euros por parte de El Corte Inglés con motivo del Día del Madre. Lo mismo ocurre con este correo electrónico en el que suplantan la identidad del Carrefour para anunciar al destinatario que es el ganador de una "vajilla Le Creuset de 12 piezas". El mismo modus operandi utilizan los ciberdelincuentes en este otro correo fraudulento para suplantar a Leroy Merlin con el objetivo de anunciar un falso regalo de un juego de herramientas Dexter. Si recibes este tipo de mensajes, recuerda revisar siempre los perfiles oficiales de la marca o empresa para verificar que son auténticos, no pinches en enlaces sospechosos y nunca facilites tus datos personales.  

5 | Deepfakes para promover productos financieros sospechosos 

Este 2024 hemos detectado en redes sociales un repunte de montajes del tipo ultrafalso, más conocidos como deepfakes, que utilizan la inteligencia artificial para suplantar a presentadores de RTVE y a figuras públicas. La mayoría de estos vídeos promocionan de manera fraudulenta plataformas de criptomonedas sospechosas.  

El auge de las estafas financieras en redes: cómo suplantan a famosos y medios de comunicación

Es el caso de estos dos vídeos en los que suplantan a los presentadores del Canal 24 Horas, Jesús Amor y Paula Sainz-Pardo para dar a entender que están hablando sobre plataformas de inversión. En estas grabaciones también utilizan sin su consentimiento la imagen del exgobernador del Banco de España, Pablo Hernández de Cos, y el presidente del Real Madrid, Florentino Pérez. Como ya te explicamos en VerificaRTVE, estos vídeos no son emisiones reales de RTVE. Lo mismo ocurre en este vídeo en el que suplantan a varios profesionales de RTVE y a la presidenta de Inditex, Marta Ortega, para hablar de una plataforma de inversión sospechosa. 

La Comisión Nacional del Mercado de Valores (CNMV) ha alertado sobre estos intentos de fraude financiero que utilizan la suplantación con inteligencia artificial para tratar de engañar a los ciudadanos. El presidente de la CNMV, Rodrigo Buenaventura, asegura que, para evitar caer en este tipo de fraudes financieros, "el mejor consejo es operar solo con los proveedores autorizados que figuran en el registro de CNMV" (pág. 5).