Las fiestas de fin de año y el «Black Friday» se consolidan como la época dorada de los ciberdelincuentes, con un alarmante aumento en fraudes electrónicos. Estafas como el phishing, falsas ofertas de viajes o alquileres, y el novedoso robo de datos NFC, explotan la distracción y la mayor actividad online. Expertos alertan sobre la sofisticación de los ataques y la necesidad urgente de fortalecer la prevención, desde el uso de VPN en redes públicas hasta contraseñas robustas y una vigilancia constante.
“Verifica tu reembolso recibido”, reza el correo que imita perfectamente al de una gigantesca plataforma comercial y fue recibido los últimos días del año. Devolución, claro, no hay. Y compra, a decir verdad, tampoco. Pero el anzuelo está echado, y vaya si pica. Un enlace, un clic, y la puerta a tus datos personales y bancarios se abre de par en par. La delincuencia electrónica, esa sombra que crece con cada megabyte, hizo su agosto en estas Navidades. Como si fuera una liturgia previsible, la llegada de las vacaciones nos relaja, nos invita a planear viajes, a comprar como si no hubiera un mañana y a gestionar nuestra vida online con una ligereza que los ladrones saben apreciar. Los apenas cuarenta días que van del Black Friday a los Reyes Magos se afianzan, año tras año, como la temporada alta del fraude digital. Un clásico de fin de año, pero con un sabor amargo para miles de incautos.
El festín de los ciberdelincuentes: un calendario marcado
Falsos alquileres que solo existen en la imaginación de algún estafador, ofertas de viajes que se desvanecen con el primer intento de pago, y mensajes que suplantan a bancos o empresas de mensajería se multiplican con la misma velocidad que los pan dulces en diciembre. Todo un arsenal de engaños que busca aprovechar la mayor temporada comercial del ejercicio. Josep Albors, responsable de Investigación y Concienciación de ESET España, lo confirma con gráficos que, más que información, parecen crónicas de una tragedia anunciada. La curva de amenazas detectadas en el último tramo del año roza la cumbre una vez más, seguida de cerca por los picos de Semana Santa y el verano. Como si la ingenuidad del usuario fuera un combustible estacional.
“Los delincuentes se adaptan a nuestras costumbres. A partir de enero, bajan las detecciones [de amenazas] conforme vamos volviendo a la rutina. Después se van incrementando, con picos por Semana Santa, el puente de mayo y las vacaciones de verano. Pasados estos picos, desciende con la vuelta al trabajo”, explica Albors, casi como quien describe un fenómeno natural, pero uno donde la naturaleza humana es la presa.
Las cifras oficiales, esas que a veces preferimos no mirar, no hacen más que ratificar la tendencia. El último informe cerrado sobre la cibercriminalidad, del Ministerio de Interior, es contundente: del total de casi 465.000 delitos detectados en el ámbito digital en 2024, el fraude informático acaparó 412.850. Es decir, un escalofriante 88%. Y de ese total, más de una cuarta parte se concentró en el período que va del Black Friday a Reyes. Es para preguntarse si no será que, a veces, la comodidad nos ciega.
El avance semestral del recién acabado año mantiene el mismo patrón, casi como un disco rayado pero que sigue sonando. “El indicador de las estafas informáticas representan el 86,4% de toda la cibercriminalidad y el 17,5% de toda la delincuencia (…) En apenas nueve años, las estafas informáticas conocidas crecieron un 488,3% sobre las registradas en 2016”, detalla el balance de criminalidad de enero a junio, aún sin computar la explosión de fraudes de fin de año. Un crecimiento que debería encender todas las alarmas, pero que pareciera ser parte del paisaje digital al que nos vamos acostumbrando.
El experto en ciberseguridad de ESET subraya el auge imparable de las campañas de suplantación de identidad de todo tipo de comercios electrónicos, claro, “para aprovechar esta época de consumismo”. Pero la cosa no termina ahí. Albors también lanza una advertencia sobre la inminente llegada de fraudes aún más sofisticados, aquellos que apuntan a los sistemas de pago con móviles o relojes inteligentes. “Aunque son muy seguros, no están hechos a prueba de balas”, sentencia, dejando una preocupación flotando en el aire.
Cuando la tecnología se vuelve un arma: el peligro del NFC
El mecanismo es perverso: la instalación inconsciente de herramientas maliciosas que capturan el tráfico NFC (Near Field Communication o Comunicación de Campo Cercano), esa tecnología inalámbrica de corto alcance que permite que dos dispositivos se «hablen» a la distancia justa. “Las aplicaciones retransmiten los datos a otros dispositivos que los imitan o reproducen. Esto significa que el teléfono infectado podría capturar la señal de NFC de la tarjeta y replicarlos en otro dispositivo controlado por los atacantes y hacer pagos con esa tarjeta o incluso, en casos ya más avanzados, robar el pin y sacar dinero de cajeros”, explica Albors. Y lo más inquietante: estas aplicaciones maliciosas han sido localizadas incluso en las plataformas convencionales y habituales de cualquier móvil, esas donde uno confía plenamente. La zona liberada de la ingenuidad digital.
Otra de las vías, no menos efectiva, son los anuncios fraudulentos no solicitados o los juegos aparentemente inofensivos. “Muchas veces están vinculados a aplicaciones potencialmente maliciosas. Estas campañas se repiten, especialmente, cuando la gente está de vacaciones”, insiste Albors. Porque la distracción es el mejor cómplice del ladrón.
Andrés Llamas, director de ciberseguridad de la firma de tecnología del sector turístico HBX Group, coincide sin vueltas con Albors. Las vacaciones de Navidad, dice, son “un momento especialmente atractivo para los ciberdelincuentes por una combinación de factores: humano, emocional, contexto tecnológico y volumen de actividad digital”. Una tormenta perfecta.
Para este directivo, en estas fechas “las personas están más relajadas y distraídas”. Y ahí, precisamente ahí, es donde el fraude encuentra su terreno fértil: “Se baja la guardia, se revisa el correo desde el móvil, se trabaja de forma puntual fuera de la oficina o se responden mensajes con menos atención al detalle. Esa menor vigilancia facilita que ataques como el phishing pasen desapercibidos”. La comodidad, una vez más, jugando en contra.
Pero Llamas añade un elemento que a menudo se pasa por alto: el uso de redes wifi públicas (aeropuertos, hoteles, estaciones) y de dispositivos personales para acceder a herramientas corporativas. Una costumbre tan extendida como peligrosa, que “incrementa la superficie de ataque si no se utilizan medidas como el uso de VPN o autenticación multifactor”. Lo que no se ve, también puede doler.
El “contexto emocional”, esa trampa psicológica, es otro factor clave. Llamas lo relaciona con la vorágine de viajes, reservas, compras online, felicitaciones y regalos corporativos antes del cierre de año. “Correos que simulan ser de aerolíneas, hoteles o incluso solicitudes internas urgentes resultan mucho más creíbles en este periodo”. Un verdadero teatro de operaciones donde la confianza es la primera víctima.
Prevención: ¿la única salida en esta jungla digital?
Llamas no duda: la primera medida para navegar por esta «selva fraudulenta» es la prevención. “En primer lugar, es fundamental proteger la conexión a internet. Siempre que se utilicen redes Wifi públicas (en aeropuertos, hoteles o cafeterías) se debe conectar a través de una VPN corporativa y evitar el acceso a sistemas sensibles si no es estrictamente necesario. También es importante desactivar la conexión automática a redes abiertas o mantener la conexión wifi de los dispositivos activa cuando no sea necesario”. Un manual básico que muchos, por apuro o desconocimiento, ignoran.
Otra medida, quizás la más difícil de imponer, es la gestión de credenciales. Hablamos de contraseñas únicas y robustas para cada servicio. ¿La solución? Un gestor de contraseñas como KeePass y la autenticación multifactor (MFA), que reduce de forma drástica el riesgo de accesos no autorizados. Sin embargo, año tras año, la misma historia: la principal vulnerabilidad se produce por la reiteración de contraseñas débiles para todos los servicios. Un mal hábito que nos condena a tropezar con la misma piedra una y otra vez.
También se recomienda “mantener una actitud crítica y vigilante frente a correos y mensajes”, destinar unos segundos vitales a analizarlos antes de actuar. “Durante las vacaciones aumentan los intentos de phishing, especialmente aquellos que simulan reservas, incidencias de viaje o solicitudes urgentes de trabajo. Ante cualquier duda, la mejor medida de seguridad y lo más prudente es no hacer clic y verificar por un canal alternativo”. El sentido común, esa herramienta tan subestimada.
En cuanto a las cautelas para los viajeros, el directivo de HBX Group es claro: mantener sistemas y aplicaciones actualizados, activar el cifrado, usar bloqueo biométrico o PIN seguro y realizar copias de seguridad. “Así, incluso en caso de pérdida o robo, el impacto se minimiza”, concluye. Porque a veces, la precaución, aunque aburrida, es lo único que nos salva el pellejo.
