La tecnología es nueva. La manipulación es de siglos.
Necesito que entiendas eso antes de seguir leyendo. Porque si lo entiendes, ya tienes la mitad de la defensa. Si no lo entiendes, vas a seguir creyendo que el problema es tu celular, tu computadora, tu banco, tu aplicación. Y no es ninguno de esos. El problema eres tú. No por torpe. Por humano.
Las estafas digitales que están vaciando cuentas bancarias, destruyendo negocios y arruinando familias en México no funcionan porque la tecnología sea frágil. Funcionan porque la psicología humana es predecible. Los estafadores no hackean tu celular. Hackean tu cerebro. Y tu cerebro tiene vulnerabilidades que no se parchean con una actualización de software.
Llevo 17 años en informática forense. He formado a más de 1,300 peritos en 10 países. He investigado fraudes bancarios, clonaciones de identidad, vaciamiento de cuentas, suplantaciones por WhatsApp, phishing corporativo que ha costado millones. Y en cada uno de esos casos — cada uno, sin excepción — el punto de entrada del atacante no fue una vulnerabilidad técnica. Fue una persona. Una persona que contestó una llamada que no debía contestar, que hizo clic en un enlace que no debía abrir, que entregó un código que no debía compartir, que confió en alguien que no debía confiar.
Este artículo es la carta de presentación de todo lo que he escrito y lo que voy a seguir escribiendo sobre estafas digitales. Es la disección en tiempo real de cómo funcionan, por qué funcionan, y qué puedes hacer para que no te funcionen a ti.
No voy a darte una lista de «10 consejos para protegerte.» Voy a explicarte la mecánica del engaño. Porque cuando entiendes la mecánica, los consejos sobran. Cuando entiendes por qué muerdes el anzuelo, dejas de morderlo.
El ecosistema de la estafa digital en México: un mapa del territorio
Para entender las estafas digitales hay que dejar de verlas como incidentes aislados y empezar a verlas como un ecosistema. Un ecosistema con actores, con canales, con herramientas, con víctimas segmentadas y con modelos de negocio. Porque eso es lo que son: un negocio. Un negocio sofisticado, profesionalizado y en muchos casos industrializado.
El ecosistema tiene cuatro capas.
Capa uno: la base de datos. Todo empieza con tu información. Tu nombre, tu número de teléfono, tu correo electrónico, tu RFC, tu número de cuenta, el banco donde tienes cuenta, tu dirección. Esa información existe en decenas de bases de datos que han sido filtradas, vendidas, robadas o simplemente publicadas en internet. Bases de datos del INE. Bases de datos de empresas de telecomunicaciones. Bases de datos de tiendas departamentales. Bases de datos de servicios de streaming. Bases de datos gubernamentales. Cada filtración alimenta el ecosistema con datos frescos. Cada dato filtrado es un ingrediente para personalizar el engaño.
Cuando recibes una llamada y la persona del otro lado sabe tu nombre completo, tu RFC, tu banco y los últimos cuatro dígitos de tu tarjeta, no es porque sea del banco. Es porque tiene acceso a una base de datos donde esos datos están vinculados a tu número de teléfono. Y esa personalización es lo que convierte una llamada sospechosa en una llamada que «suena real.»
Capa dos: la infraestructura. Los estafadores tienen infraestructura. Centros de llamadas — sí, centros de llamadas físicos, con operadores sentados en escritorios, con guiones impresos, con supervisores que monitorean las conversaciones. Servidores que alojan páginas falsas de bancos, de tiendas, del SAT, de CONDUSEF. Sistemas de envío masivo de SMS. Plataformas de envío de correos. Líneas telefónicas con caller ID falsificado — la tecnología para hacer que tu pantalla muestre el número oficial del banco mientras la llamada viene de un sótano en otra ciudad.
No estamos hablando de un tipo con un celular en su cuarto. Estamos hablando de operaciones con estructura, con capital, con personal, con tecnología. Operaciones que invierten en su infraestructura porque el retorno de inversión es brutal.
Capa tres: la ingeniería social. Este es el motor del engaño. La capa que convierte datos y tecnología en dinero. La ingeniería social es el arte de manipular a una persona para que haga algo que va en contra de sus propios intereses. No es hacking. No es programación. Es psicología aplicada.
Los guiones que usan los estafadores no son improvisados. Están diseñados con conocimiento de sesgos cognitivos, de gatillos emocionales, de patrones de respuesta bajo presión. Urgencia, miedo, autoridad, reciprocidad — cada técnica de ingeniería social explota un mecanismo psicológico diferente. Y cada mecanismo está documentado en la literatura de psicología social desde hace décadas. Los estafadores no inventaron nada. Aplicaron lo que ya se sabía.
Capa cuatro: la monetización. El dinero que sale de tu cuenta no llega directamente a la cuenta del estafador. Pasa por una cadena de cuentas intermedias — las llamadas «mulas» — que dispersan los fondos en fragmentos, los retiran en efectivo o los convierten en criptomonedas o en tarjetas de regalo. La cadena de monetización está diseñada para ser rastreable solo hasta el primer eslabón. Después de eso, el dinero se desvanece en un laberinto de transacciones que la autoridad no tiene la capacidad operativa de seguir en tiempo real.
Empresario que me lee y que piensa que las estafas digitales solo le pasan «a la gente que no sabe de tecnología»: las estafas más costosas que he investigado no fueron contra personas mayores que no saben usar un celular. Fueron contra directores de finanzas, contra contadores con 20 años de experiencia, contra empresarios con MBA. Porque la estafa no explota la ignorancia tecnológica. Explota la confianza, la prisa, la autoridad. Y esas vulnerabilidades no distinguen entre el que tiene maestría y el que no terminó la prepa.
Las cinco estafas que están devastando México ahora mismo
No voy a hacer un catálogo exhaustivo de todos los tipos de fraude digital. Voy a enfocarme en las cinco modalidades que estoy viendo con mayor frecuencia en los casos que llegan a Duriva y en las consultas que recibimos. Las cinco que más dinero están costando. Las cinco que más familias están destruyendo.
1. El vishing bancario: la llamada que suena idéntica a tu banco
Tu teléfono suena. La pantalla muestra el número oficial de tu banco — el mismo que aparece atrás de tu tarjeta. Contestas. Una grabación te dice que se detectó una operación sospechosa en tu cuenta. Te pide que no cuelgues. Te transfiere con un «ejecutivo.»
El ejecutivo sabe tu nombre. Sabe en qué banco tienes cuenta. Sabe los últimos dígitos de tu tarjeta. Te habla con el mismo tono profesional que usan los ejecutivos reales del banco. Usa las mismas frases: «por seguridad le voy a pedir que verifiquemos su identidad.» Te pide tu NIP. O tu contraseña de banca móvil. O el código que te acaba de llegar por SMS. O te pide que abras tu aplicación bancaria y hagas una «transferencia de verificación» a una cuenta que el «ejecutivo» te dicta.
No es tu banco. Nunca fue tu banco. El número que viste en la pantalla fue falsificado con tecnología de spoofing de caller ID. El «ejecutivo» está sentado en un centro de llamadas operado por estafadores. Los datos que sabe de ti los obtuvo de una base de datos filtrada. Y el código que le acabas de dar — ese SMS que el banco te envió porque alguien estaba intentando acceder a tu cuenta desde otro dispositivo — era la llave que le faltaba para entrar.
En el momento en que le diste ese código, la operación se completó. Tu dinero salió. Y no va a regresar por la misma puerta.
Por qué funciona: porque la voz humana genera confianza. Porque el número en la pantalla genera legitimidad. Porque la urgencia — «detectamos un cargo no reconocido» — activa la respuesta de miedo. Y porque cuando tienes miedo, tu capacidad de análisis crítico se reduce. No piensas. Reaccionas. Y reaccionar es exactamente lo que el estafador necesita que hagas.
2. El smishing del SAT, de la paquetería y del banco: el SMS con enlace
Recibes un mensaje de texto: «Su declaración anual presenta inconsistencias. Ingrese aquí para corregir: [enlace].» O: «Su paquete no pudo ser entregado. Confirme su dirección: [enlace].» O: «Se detectó un acceso no autorizado a su banca móvil. Verifique aquí: [enlace].»
El enlace te lleva a una página que es visualmente idéntica a la del SAT, la de la paquetería, la de tu banco. Ingresas tus datos. Usuario, contraseña, RFC, CURP, datos de tarjeta. La página te agradece. Te dice que tu situación ha sido resuelta. Te sientes tranquilo.
Mientras tanto, los datos que acabas de ingresar ya están en manos de los estafadores. Y ya los están usando.
El smishing — SMS + phishing — funciona porque el SMS tiene una tasa de apertura cercana al 98%. La gente lee los SMS. No los filtra como filtra el correo electrónico. Y el SMS llega al mismo lugar donde llegan las notificaciones reales de tu banco, del SAT, de la paquetería. No hay separación visual entre lo legítimo y lo fraudulento.
Madre de familia que me lee y que recibió un mensaje del «SAT» la semana pasada: el SAT no te manda SMS con enlaces. Tu banco no te manda SMS pidiéndote que ingreses tus datos en una página. La paquetería no te pide tu número de tarjeta para liberar un paquete. Si el mensaje tiene un enlace y te pide datos personales o financieros, es fraude. Sin excepción.
3. La suplantación por WhatsApp: el contacto de confianza que no es quien crees
Tu mamá te escribe por WhatsApp: «Hijo, me robaron la cartera y necesito que me transfieras $5,000 pesos para pagar un taxi, ya no tengo efectivo.» La foto de perfil es la de tu mamá. El número es el de tu mamá. El tono es el de tu mamá. Transfieres.
No era tu mamá. Alguien tomó control de su cuenta de WhatsApp — probablemente a través de un engaño con el código de verificación de seis dígitos — y está escribiendo desde su número a todos sus contactos. La foto de perfil ya estaba ahí. El tono lo improvisan o lo copian de conversaciones anteriores que ahora pueden leer.
O peor: no tomaron control de la cuenta. Crearon una cuenta nueva con un número diferente, pusieron la foto de tu mamá, pusieron su nombre, y te escribieron desde ese número nuevo. Tú ves la foto, ves el nombre, y tu cerebro completa el patrón: es mi mamá.
No verificaste el número. No le llamaste por teléfono para confirmar. No le hiciste una pregunta que solo ella pudiera responder. Porque la urgencia emocional — «mi mamá está en problemas» — desactivó tu sistema de verificación. Y eso, exactamente eso, es lo que el estafador diseñó que pasara.
4. El fraude BEC corporativo: el correo del director que autoriza una transferencia
El contador de la empresa recibe un correo del director general. El correo dice: «Necesito que hagas una transferencia urgente a este proveedor. Es confidencial. No lo comentes con nadie hasta que se complete.» El correo viene de la dirección del director. El tono es el del director. La firma es la del director.
El contador hace la transferencia. Dos millones de pesos. A una cuenta que no está en la base de datos de proveedores. Pero el director le dijo que era confidencial y urgente. El director es el director. No se le cuestiona.
Excepto que el correo no era del director. Era un correo con la dirección falsificada — spoofing de correo electrónico — o un correo enviado desde una cuenta idéntica con una letra diferente que nadie notó: director@duriva.com vs director@durlva.com. La «i» por una «l» minúscula. Invisible a simple vista. Suficiente para robar dos millones.
He dedicado un artículo completo al fraude BEC porque es la modalidad que más dinero mueve en el ámbito corporativo. Y lo que lo hace devastador no es la sofisticación técnica — el spoofing de correo es básico. Lo que lo hace devastador es que explota la estructura jerárquica de la empresa. El subordinado no cuestiona al jefe. El contador no verifica con el director. La cultura de «hazlo ya y no preguntes» se convierte en el vehículo del fraude.
5. La estafa de Marketplace y plataformas de compraventa: el comprador o vendedor que no existe
Publicas algo en venta en Marketplace. Alguien te contacta. Quiere comprarlo. Te dice que te va a hacer un depósito. Te manda un comprobante de transferencia — una imagen que parece un comprobante real pero que fue fabricada en 30 segundos con una aplicación. O te dice que te va a pagar por transferencia SPEI y que tarda unas horas, que mientras tanto le mandes el producto con un repartidor que él va a mandar. El repartidor se lleva el producto. La transferencia nunca llega.
O al revés: tú compras algo. El vendedor te muestra fotos del producto. Te da un precio atractivo. Te pide depósito por adelantado. Depositas. El vendedor desaparece. El producto nunca existió.
El fraude en plataformas de compraventa es el más democrático de todos. No necesita infraestructura. No necesita centro de llamadas. No necesita bases de datos filtradas. Solo necesita una publicación, una conversación y un comprobante falso. Y funciona miles de veces al día en México porque la cultura de la compraventa en línea se basa en la confianza implícita entre desconocidos.
Por qué falla el usuario y no el dispositivo: la mecánica del error humano
Voy a explicar algo que cambia la perspectiva completa sobre las estafas digitales. Y necesito que lo entiendas porque es la diferencia entre protegerte y seguir siendo vulnerable.
Tu dispositivo — tu celular, tu computadora, tu tablet — no fue hackeado en la inmensa mayoría de las estafas. Tu aplicación bancaria no fue comprometida. Tu banco no fue vulnerado. Tu conexión a internet no fue interceptada.
Lo que pasó es que tú, voluntariamente, entregaste la información que el atacante necesitaba. No porque seas tonto. Porque fuiste manipulado.
La diferencia es crucial. Cuando un dispositivo es hackeado, la solución es técnica: actualizas el software, cambias contraseñas, refuerzas la seguridad. Cuando el usuario es manipulado, la solución es cognitiva: entiendes los patrones de manipulación y aprendes a reconocerlos antes de caer.
Los estafadores explotan cinco gatillos psicológicos que son universales. Funcionan con el ingeniero de sistemas igual que con la abuela que apenas usa el celular. Funcionan porque son humanos, no tecnológicos.
Urgencia. «Tiene 15 minutos para responder o su cuenta será bloqueada.» La urgencia artificial elimina el tiempo de reflexión. Cuando crees que tienes que actuar ya, no piensas. No verificas. No llamas al banco por tu cuenta para confirmar. Actúas. Y actuar sin pensar es exactamente lo que el estafador necesita.
Autoridad. «Soy el ejecutivo de fraudes del banco.» «Soy del SAT.» «Soy el director.» Cuando alguien se presenta como autoridad, tu cerebro activa un patrón de obediencia aprendido desde la infancia. No cuestionas a la autoridad. Sigues instrucciones. Y las instrucciones que sigues son las del estafador.
Miedo. «Se detectó un cargo no reconocido.» «Su cuenta será bloqueada.» «Hay una orden judicial.» El miedo es el gatillo más poderoso. Cuando tienes miedo, tu corteza prefrontal — la parte del cerebro que analiza, que razona, que cuestiona — se desactiva. Tu amígdala toma el control. Y la amígdala no analiza. Reacciona. El estafador no quiere que pienses. Quiere que reacciones.
Confianza. «Soy tu mamá.» «Soy tu jefe.» «Soy tu amigo.» Cuando el mensaje viene de alguien en quien confías, bajas la guardia. No verificas la identidad. No cuestionas la solicitud. Confías. Y la confianza, cuando es manipulada, se convierte en la puerta de entrada más eficiente que existe.
Codicia o beneficio inesperado. «Ganaste un premio.» «Te seleccionaron para un reembolso.» «Hay una oferta exclusiva solo por hoy.» El prospecto de obtener algo valioso sin esfuerzo desactiva el escepticismo. Queremos creer que es real. Y esa voluntad de creer es suficiente para hacer clic.
Cada estafa digital que existe — cada una, sin excepción — explota al menos uno de estos cinco gatillos. Aprende a reconocerlos y tendrás una defensa que ningún antivirus puede darte.
La paradoja de la sofisticación: por qué la gente «que sabe» también cae
Hay un mito peligroso que necesito destruir: la idea de que las estafas digitales solo afectan a personas que no saben de tecnología.
Es mentira.
He investigado fraudes donde la víctima era un ingeniero en sistemas. Fraudes donde la víctima era un director de tecnología. Fraudes donde la víctima era un profesionista con maestría y 20 años de experiencia. Personas que saben lo que es phishing. Que saben lo que es ingeniería social. Que saben que no deben dar su contraseña por teléfono.
Y cayeron.
Cayeron porque el conocimiento técnico no te protege de la manipulación emocional. Saber que existe el phishing no te hace inmune a un correo perfectamente redactado que llega justo cuando estás esperando un pago de tu proveedor. Saber que existe el vishing no te hace inmune a una llamada que suena idéntica a tu banco cuando acabas de ver un cargo sospechoso en tu estado de cuenta — un cargo que el estafador causó a propósito, con una compra de prueba de $1 peso, para que cuando te llame 30 minutos después tu miedo ya esté activado.
La sofisticación de la víctima no es defensa contra la sofisticación del ataque. Y los ataques se están sofisticando a una velocidad que la educación financiera no puede igualar.
Lo que sí te protege no es saber más. Es hacer menos. Es no contestar. Es no hacer clic. Es no dar el código. Es colgar y llamar tú al banco. Es verificar antes de transferir. Es desconfiar por defecto.
La protección no está en el conocimiento. Está en el hábito.
Qué hacer si ya caíste: los primeros 60 minutos
Si estás leyendo esto porque ya fuiste víctima de una estafa digital, estos son tus primeros movimientos. En este orden. Sin pausa. Los primeros 60 minutos después de la estafa son los que determinan si puedes recuperar algo o si perdiste todo.
Minuto 0-5: Bloquea todo. Llama a tu banco al número que aparece atrás de tu tarjeta — no al número que te dio el estafador. Reporta la operación como no reconocida. Solicita el bloqueo inmediato de tu tarjeta, tu banca móvil y tu banca en línea. Si tienes más de un banco, bloquea todos — porque si el estafador tiene tus datos de un banco, probablemente tiene los de los demás.
Minuto 5-15: Cambia todas tus contraseñas. Correo electrónico primero — porque si el estafador accede a tu correo puede resetear todas tus demás contraseñas. Banca móvil. Redes sociales. Todo lo que use la misma contraseña que comprometiste. Y si usas la misma contraseña para todo — que es lo que hace la mayoría — cambia todo.
Minuto 15-30: Activa la autenticación de dos factores donde no la tengas. En tu correo. En tu banca móvil. En tu WhatsApp. En cada servicio que lo permita. La autenticación de dos factores no es infalible, pero añade una capa que el estafador tiene que superar. Y cada capa adicional reduce la probabilidad de que complete el ataque.
Minuto 30-45: Documenta todo. Capturas de pantalla de las llamadas recibidas. Capturas de los mensajes. Capturas de los correos. Capturas de los movimientos bancarios no reconocidos. Números de teléfono desde los que te contactaron. Nombres que usaron. Todo. Cada dato es evidencia. Y la evidencia se necesita para la denuncia y, si decides llegar a juicio, para el peritaje.
Minuto 45-60: Denuncia. Presenta tu denuncia ante la Fiscalía. Presenta tu reclamación ante CONDUSEF. Y si el monto lo justifica, contacta a un perito informático forense para que documente el ataque con rigor técnico. Porque la denuncia sin sustento técnico se queda en un expediente. La denuncia con peritaje forense tiene dientes.
Lo que tu banco no te dice (y debería)
Voy a decir algo que los bancos no quieren que se diga públicamente, pero que es la realidad de la situación y que cualquier persona que tenga una cuenta bancaria merece saber.
Los bancos conocen los patrones de fraude. Los conocen porque los ven todos los días. Saben cuáles números se están usando para vishing. Saben cuáles páginas falsas están activas. Saben cuáles cuentas están siendo usadas como mulas. Saben cuáles horarios tienen mayor incidencia de fraude. Saben todo.
Y comparten una fracción de esa información con sus clientes.
La alerta que recibes de tu banco diciendo «no compartas tu NIP» es el equivalente de un hospital que te dice «no te enfermes.» Es técnicamente correcto y prácticamente inútil. Lo que necesitas saber no es que no compartas tu NIP — eso ya lo sabes. Lo que necesitas saber es cómo funciona el ataque específico que está operando esta semana, cómo se presenta, qué palabras usa, cómo se ve el número en tu pantalla, qué información van a saber de ti antes de que contestes.
Esa información específica, granular, oportuna — esa información que podría prevenir miles de fraudes si se compartiera masivamente — se queda dentro del departamento de fraudes del banco. Y sale, cuando mucho, en un comunicado genérico tres meses después.
No estoy diciendo que los bancos sean cómplices. Estoy diciendo que priorizan la protección de su imagen sobre la protección de sus clientes. Y que esa prioridad tiene un costo que pagan los clientes, no el banco.
La defensa real: el principio de desconfianza por defecto
Voy a cerrar con lo que considero la única defensa real contra las estafas digitales. No es un software. No es una aplicación. No es un antivirus. Es un principio.
Desconfianza por defecto.
Si alguien te llama diciendo que es de tu banco: cuelga y llama tú al banco. Al número de atrás de tu tarjeta. No al que te dio la persona. No al que aparece en tu pantalla.
Si alguien te manda un SMS con un enlace: no hagas clic. Abre tu navegador y escribe tú la dirección del banco, del SAT, de la paquetería. Manualmente. Sin enlace.
Si alguien te escribe por WhatsApp pidiendo dinero: llama a esa persona por teléfono. No por WhatsApp. Por teléfono. Escucha su voz. Pregúntale algo que solo ella sepa. Verifica.
Si tu jefe te pide una transferencia urgente por correo: levántate de tu escritorio, camina a su oficina y pregúntale de frente. Si tu jefe está en otra ciudad, llámalo por teléfono. No respondas al correo. Verifica por un canal diferente.
Si algo suena demasiado urgente para verificar, es exactamente porque debes verificar.
La urgencia artificial es la herramienta número uno del estafador. Cada vez que alguien te dice «tiene que ser ahora, no puede esperar,» esa urgencia no es evidencia de que la situación es real. Es evidencia de que no quieren que pienses. Y cuando alguien no quiere que pienses, la mejor respuesta es pensar.
La tecnología es nueva. La manipulación es de siglos. Desde el primer estafador que usó una carta falsa para cobrar una deuda que no existía hasta el último que usó un SMS para vaciar una cuenta bancaria, el mecanismo es el mismo: hacer que la víctima actúe antes de pensar.
La única diferencia es la velocidad. La carta tardaba días. El SMS tarda segundos. Pero el patrón es idéntico: crear urgencia, explotar la confianza, suplantar la autoridad, provocar el miedo.
He investigado cientos de casos de fraude digital en 17 años. He visto a familias perder los ahorros de toda su vida en una llamada de tres minutos. He visto a empresas perder millones en un correo de dos párrafos. He visto a personas inteligentes, capaces, experimentadas, caer en trampas que después les parecen obvias. Porque las trampas siempre parecen obvias después. Nunca durante.
La defensa no es saber más. Es desconfiar más. Es verificar siempre. Es aceptar que la incomodidad de colgar una llamada y marcar tú al banco es infinitamente menor que la devastación de perder tu dinero.
En Duriva, investigamos fraudes digitales. Hacemos peritajes que documentan cómo ocurrió el ataque, qué vulnerabilidades fueron explotadas y quién es responsable. Porque cuando el banco te dice «fue tu culpa» y la realidad es que un centro de llamadas criminal te engañó con un número falsificado y datos que obtuvieron de una filtración que el banco no te notificó, esa narrativa de «tu culpa» se derrumba ante la evidencia forense.
Pero preferiría que no necesitaras mi peritaje. Preferiría que leyeras este artículo, internalizaras el principio de desconfianza por defecto, y la próxima vez que tu teléfono suene con el «número de tu banco» en la pantalla, cuelgues. Llames tú. Verifiques.
Porque la mejor defensa contra la estafa digital no es la tecnología. Es la pausa. Esa pausa de cinco segundos entre recibir el estímulo y actuar. Esa pausa donde tu corteza prefrontal retoma el control y le dice a tu amígdala: espera. Piensa. Verifica.
Cinco segundos. Eso es lo que separa a la víctima del que no cayó.
Usarlos es gratis.