El 47% de los españoles ha sufrido un intento de ciberestafa en el último año, según el CIS

Según un reciente informe de CyberNews, el pasado 19 de junio se publicó una de las mayores filtraciones de la historia, con más de 16.000 millones de credenciales expuestas. «Ya no solo hablamos de correos mal escritos o de supuestas ofertas irrechazables: hablamos de deepfakes o audios con imitaciones perfectas de directivos o familiares, o de malware evolucionado, inteligente y silencioso. El riesgo ha escalado y la protección también debe hacerlo», explica Javier Castro, Director del Área de Ciberseguridad en Stratesys.

Los atacantes utilizan cada vez más herramientas de IA generativa para lanzar campañas de ingeniería social hiperpersonalizadas —correos de phishing avanzados, audios o vídeos falsos de familiares o superiores (“fraude del CEO”)— o para desarrollar malware capaz de aprender y evadir las herramientas de seguridad tradicionales. A esto se suman técnicas como el robo de tokens de sesión (Cookie Bite) o el uso de infostealers silenciosos que capturan credenciales directamente en los navegadores.

“El 47% de los españoles afirma haber sido víctima o blanco de un intento de ciberestafa en el último año, según el CIS. Y los ataques no solo son más frecuentes, sino mucho más complejos”, señala Juan Manzano, Director Asociado del Área de Ciberseguridad en Stratesys.

¿Por qué ha crecido tanto el ciberfraude?

Javier Castro revela que los atacantes utilizan cada vez más herramientas de IA generativa para lanzar campañas de ingeniería social hiperpersonalizadas   (Imagen: Stratesys)

Vanesa Fernández, experta en derecho de los consumidores y miembro del Consejo Asesor de la Comisión de Consumo del ICAM, explica que el ciberfraude en España aumenta de forma preocupante por distintos factores, según señalan los especialistas del Centro Criptológico Nacional y del Instituto Nacional de Ciberseguridad. “El incremento de la actividad digital, la evolución tecnológica, la combinación de herramientas de IA, filtraciones masivas de datos y la falta de formación de la población española en ciberseguridad crean un entorno propicio para el incremento de este tipo de delitos”.

Para esta jurista, el ciberfraude crece porque los atacantes evolucionan más rápido que los sistemas de defensa de los que disponemos, tanto a nivel tecnológico como jurídico. Desde el punto de vista jurídico, este fenómeno plantea desafíos importantes en materia de responsabilidad civil, penal y procesal. La sofisticación de los ataques dificulta cada vez más la identificación del autor, la prueba del daño y la atribución de responsabilidad.

A su juicio, “el panorama resulta preocupante atendida la escasa punibilidad penal de los autores si se consigue su detención, la gran ganancia económica que obtienen en poco tiempo y sin demasiada logística, así como la minusvaloración de los daños reales y cuantificables que conlleva un ciberataque tanto para las empresas como para los consumidores”.

¿Cómo está afectando a las empresas?

Vanesa destaca que “el ciberfraude se ha convertido en una de las principales amenazas para las empresas españolas, no solo por su creciente frecuencia y sofisticación, sino por las profundas consecuencias jurídicas, económicas y reputacionales que conlleva”. En este sentido, recuerda que “las empresas tienen la obligación de proteger los datos personales y la información sensible que gestionan, imponiéndose sanciones severas en casos de brechas de seguridad, especialmente si se demuestra negligencia en la implementación de medidas técnicas y organizativas adecuadas”.

Al mismo tiempo, recuerda que “además, cuando el fraude afecta a terceros —clientes, proveedores, empleados—, la empresa puede enfrentarse a reclamaciones civiles por daños y perjuicios causados. El impacto de estos ciberfraudes puede ser devastador y las pérdidas sufridas no siempre son recuperables, debiendo asumirlas íntegramente la empresa si no se logra identificar al autor”.

Para esta experta, “una empresa que sufre un ciberataque no solo pierde dinero, sino también credibilidad, pues la confianza de clientes, inversores y socios comerciales puede verse gravemente afectada, especialmente si no se actúa con transparencia ni se comunica adecuadamente el incidente. En sectores regulados como el financiero, sanitario o tecnológico, el daño reputacional puede traducirse en pérdida de licencias, contratos o subvenciones”.

Esta jurista recomienda que “las empresas dispongan de protocolos internos de verificación para prevenir fraudes por suplantación, que inviertan en formación para sus empleados en detección de amenazas digitales, implementen planes de respuesta jurídica ante incidentes, incluyendo la preservación de pruebas, la notificación a las autoridades correspondientes y la activación de seguros, en su caso”.

En cuanto a fórmulas para mitigar su impacto, Vanesa Fernández cree que, normativamente, es importante actualizar y fortalecer las leyes y regulaciones de ciberseguridad. Es necesario abordar varias prioridades regulatorias, operativas y de otro tipo para frenar eficazmente el aumento del fraude cibernético.

Vanesa Fernández denuncia que el ciberfraude se ha convertido en una de las principales amenazas para las empresas españolas, no solo por su creciente frecuencia y sofisticación, sino por las profundas consecuencias jurídicas, económicas y reputacionales que conlleva (Imagen: Cesión propia)

“Desde el punto de vista operativo, las empresas deberían invertir en tecnologías avanzadas de ciberseguridad. Es esencial formar a los empleados en detección de fraudes, verificación de órdenes y protocolos internos de alerta. Realizar auditorías legales y técnicas periódicas para evaluar la exposición jurídica y técnica de la empresa frente al ciberfraude”, indica.

A su juicio, “es determinante aumentar la formación y concienciación en ciberseguridad entre los usuarios para reducir el riesgo de error humano que puede facilitar el fraude. Se requiere mayor inversión en formación, estableciendo programas obligatorios de educación en ciberseguridad, empezando por las escuelas”.

En su opinión, “se requiere de una mejor cooperación entre los Estados de la UE y a nivel global para investigar, perseguir y sancionar a los ciberdelincuentes. Para ello, el Convenio de Bucarest reduce la burocracia procesal entre Estados para ejecutar la detención una vez detectada la IP originaria del ciberataque. Aun así, sigue siendo un reto procesal penal con aquellos países no adscritos a dicho Convenio”.

Desde su punto de vista, “sin una intervención significativa es probable que el ciberfraude continúe aumentando si las tendencias actuales continúan, y la clave radicará en la capacidad de la tecnología, la regulación y la educación para adaptarse y contrarrestar eficazmente las amenazas emergentes”.

Necesidad de respuesta integral

Para Cristina Muñoz-Aycuens, socia de Ciberseguridad de Grant Thornton, “el crecimiento del ciberfraude en España no es una casualidad, sino el resultado de una evolución tecnológica que ha sido aprovechada por actores maliciosos con una rapidez y sofisticación alarmantes. Según el CIS, el 47% de los españoles ha sido víctima o blanco de un intento de ciberestafa en el último año, una cifra que refleja tanto la frecuencia como la complejidad creciente de estos ataques”.

“Este fenómeno se ha visto impulsado por el uso de herramientas de inteligencia artificial generativa, que permiten crear campañas de ingeniería social hiperpersonalizadas, deepfakes, audios falsos y malware inteligente capaz de evadir los sistemas de seguridad tradicionales”, comenta.

Desde su punto de vista, “el impacto en las empresas es profundo y multifacético. Por un lado, se enfrentan a pérdidas económicas directas derivadas de fraudes como el “fraude del CEO” o el robo de credenciales mediante técnicas como el Cookie Bite”.

“Por otro, sufren un daño reputacional que puede comprometer la confianza de clientes, socios e inversores. Además, la sofisticación de los ataques dirigidos (spear-phishing) pone en jaque incluso a las organizaciones con infraestructuras de ciberseguridad avanzadas, ya que estos ataques se camuflan con un lenguaje y contexto hiperrealista. La presión sobre los departamentos de IT y compliance es cada vez mayor, y la necesidad de una respuesta ágil y coordinada se vuelve crítica”, comenta.

Cristina advierte que “ante este panorama, los remedios deben ser tanto tecnológicos como culturales. No basta con instalar antivirus o firewalls; es imprescindible fomentar una cultura de ciberseguridad en todos los niveles de la organización, es decir, hay que potenciar e incidir en la concienciación”.

A su juicio, “esto implica formar a los empleados para que reconozcan señales de alarma, establezcan protocolos de verificación (como preguntas clave o contraseñas compartidas) y actúen con cautela ante situaciones que apelan a la urgencia o al miedo. La concienciación ciudadana también es clave, especialmente entre los colectivos más vulnerables, como los mayores de 60 años, que son los que más dinero pierden en estos fraudes”.

Para esta experta, “asimismo, es fundamental contar con el apoyo de organismos especializados como INCIBE, que ofrecen asistencia y canalizan denuncias. Denunciar no solo permite activar mecanismos legales, sino que también contribuye a visibilizar el problema y a generar datos que ayuden a anticipar nuevas amenazas”.

En definitiva, esta experta resalta que “el crecimiento del ciberfraude en España es un desafío que exige una respuesta integral, donde la tecnología, la formación y la colaboración institucional se conviertan en pilares de una defensa eficaz y sostenible”.

Para Cristina Muñoz-Aycuens “el impacto en las empresas es profundo y multifacético. Por un lado, se enfrentan a pérdidas económicas directas derivadas de fraudes como el “fraude del CEO” o el robo de credenciales mediante técnicas como el “Cookie Bite” (Imagen: Grant Thornton)

Implicación en el sector jurídico

Por su parte, Manuel Asenjo, CIO del despacho Broseta, considera que esta situación es de particular preocupación para el sector jurídico en España, ya que sus firmas manejan información altamente sensible y realizan transacciones económicas constantes. Muchas firmas han manejado de primera mano casos reales donde estas amenazas se han materializado, impactando directamente en su operatividad y en la confianza de sus clientes. De hecho, numerosos despachos han asesorado a clientes que han sido víctimas de estas estafas y les han pedido “ayuda para mitigar el daño y recuperar sus activos”.

“Ya no se trata solo de correos mal escritos o de supuestas ofertas irresistibles; ahora nos enfrentamos a deepfakes o audios con imitaciones perfectas de directivos o familiares, o malware evolucionado, inteligente y silencioso. El riesgo ha escalado, y la protección en el sector debe hacerlo también”, indica.

“En el sector jurídico, hemos visto cómo esta suplantación de identidad ha llevado a clientes a solicitar pagos a terceros o a descargar demandas inexistentes, creyendo que la comunicación provenía de las firmas o de entidades judiciales legítimas. Estas situaciones no solo generan pérdidas económicas para los clientes, sino que pueden acarrear responsabilidades legales para los despachos, dañar gravemente su reputación y erosionar la confianza esencial que sus clientes depositan en ellos”, revela.

Para Asenjo, “las estafas de Man in the Middle (MITM) son otra amenaza crítica que ha afectado al sector, impactando directamente en la continuidad de negocio. Se han gestionado casos donde los ciberdelincuentes han interceptado las comunicaciones por correo electrónico entre despachos y clientes o proveedores, alterando los datos bancarios para desviar pagos”.

A su juicio, “en estos escenarios, el dinero destinado a honorarios o servicios ha terminado en cuentas de los atacantes, causando un perjuicio económico directo a las partes involucradas y generando una compleja tarea de recuperación de fondos que consume recursos valiosos y tiempo de los profesionales”.

Manuel Asenjo destaca que muchos despachos de abogados han manejado estos casos reales donde estas amenazas se han materializado, impactando directamente en su operatividad y en la confianza de sus clientes. De hecho, numerosos despachos han asesorado a clientes que han sido víctimas de estas estafas y les han pedido ayuda para mitigar el daño y recuperar sus activos   (Imagen: Broseta)

A esto se suman técnicas como el robo de tokens de sesión (Cookie Bite) o el uso de infostealers silenciosos que capturan credenciales directamente en los navegadores.

“Para mitigar estos fraudes es indispensable adoptar un enfoque multifacético que combine protección tecnológica robusta y una sólida cultura de ciberseguridad. En primer lugar, la tecnología por sí sola no es suficiente; las empresas las componen personas, y estas son vulnerables tanto a nivel profesional como personal, siendo el eslabón más débil de la cadena de ciberseguridad. Las personas debemos aprender a detectar señales de alarma, desconfiar de lo urgente y establecer protocolos de verificación entre equipos y familiares, como las ‘preguntas clave’ o contraseñas acordadas”.

Al mismo tiempo, considera que “se debe invertir en soluciones avanzadas de seguridad que puedan detectar y prevenir el uso de IA generativa en ataques, así como sistemas de monitoreo de red que identifiquen actividades sospechosas que puedan indicar un ataque MITM. Es crucial implementar autenticación multifactor (MFA) para todos los accesos a sistemas y cuentas de correo electrónico, y asegurar que los sistemas de detección de intrusiones estén actualizados y configurados para identificar patrones de ataque emergentes”.

En segundo lugar, la concienciación y formación continua de todo el personal de las firmas jurídicas es vital.

En opinión de este jurista, “es fundamental establecer protocolos claros de verificación para cualquier solicitud de pago, cambio de datos bancarios o descarga de documentos, especialmente si provienen de fuentes aparentemente urgentes o de alto nivel. La creación de ‘preguntas clave’ o contraseñas acordadas entre equipos puede ser una medida simple pero efectiva para verificar la legitimidad de las comunicaciones internas y externas”.

Por último, Manuel Asenjo revela que “finalmente, es crucial fomentar una cultura de denuncia en todo el sector. Organismos como INCIBE (que a lo largo de 2024 gestionó cerca de 100.000 incidentes de ciberseguridad), la OSI o el número ‘017’ son puntos de ayuda fundamentales en España para la ciudadanía”.