La ciberdelincuencia no es glamurosa. Olvida la película de espías: se parece más a la luz fría de un cubículo y al murmullo de un call center. Sin embargo, en su rutina gris mueve miles de millones, se cruza con mafias y desgasta, casi sin ruido, la confianza que sostiene la vida digital.
La ciberdelincuencia está al alza y no es obra de nerds solitarios escondidos en sus sótanos. En realidad, se parece mucho más a los carteles, a un negocio altamente industrializado. Hoy abarca desde el robo de contraseñas y el espionaje en redes corporativas hasta la venta ilegal de citas públicas acaparadas con bots; desde anuncios en redes que redirigen a tiendas clonadas hasta extorsiones con imágenes manipuladas mediante inteligencia artificial y campañas coordinadas de desinformación. La diversidad de los crímenes es enorme, pero a menudo tienen un rasgo en común: son operados por grupos con niveles de organización propios de empresas formales.
“Esa idea del ciberdelincuente con la capucha delante de la pantalla está muy bien para las series policiales, pero en realidad hay organizaciones criminales con horarios de trabajo, con turnos de ocho horas que se van rotando”, explica Miguel Ángel Cañada, Responsable del Centro Nacional de Coordinación del Instituto Nacional de Ciberseguridad de España (NCC-INCIBE) y jefe de su Gabinete de Dirección.
Difícil de medir
La lista de ciberdelitos es larga y descentralizada. Selva Orejón, CEO de Onbranding, y perito judicial especializado en Reputación, Identidad Digital y Ciberinvestigación, hace un recuento mental de las estafas y extorsiones que han sufrido algunos de sus clientes. Hay denuncias coordinadas, amenazas a la privacidad de la identidad, campañas de desprestigio así como interferencias operativas.
“No son solo de aquí”, aclara desde España a WIRED. “Son de Brasil, de México, Perú, Colombia, Sudáfrica, Marruecos, Italia, Portugal, Alemania…”, enumera revisando sus notas. El número de casos es difícil de estimar porque muchas de estas estafas y extorsiones ni siquiera se denuncian. “Por poca cantidad, ¿para qué?”, señala por videoconferencia Román Ramírez Giménez, especialista en ciberseguridad y cofundador del conocido congreso de ciberseguridad RootedCon. “Les da vergüenza o la han liado en su empresa, no quieren que se entere nadie y prefieren reponer ellos el dinero”, explica el experto, que también ejerce como consejero independiente en distintas empresas del IBEX 35.
Nuestras historias más importantes, diario en tu correo electrónico.
Ingresa tu dirección de correo electrónico para suscribirte a nuestro newsletter y formar parte del universo Wired. Tus datos personales serán tratados de acuerdo con nuestra Convenio de Usuario y Aviso de Privacidad.
Es difícil estimar el tamaño de estos carteles, una industria organizada de la ciberdelincuencia, pero crece rápidamente. Tan solo en 2025, la empresa estadounidense CrowdStrike (que monitorea y analiza amenazas digitales a nivel global desde 2011) identificó 24 nuevos grupos, lo que elevó a 281 el total de actores de ciberamenazas que tiene en su radar.
Algunas operaciones llevadas a cabo por la Europol arrojan una idea de la escala del negocio. En 2024, desmanteló LabHost, una plataforma que vendía kits de phishing con infraestructura y soporte por 250 dólares al mes, vinculada a 40,000 dominios y 10,000 usuarios en todo el mundo. Un año después cerró los foros Cracked y Nulled, enormes comunidades de cibercrimen con millones de usuarios y decenas de millones de publicaciones que distribuían herramientas y datos robados que generaban ingresos millonarios.
El complejo Boshang, expuesto por WIRED, ilustra cómo la ciberdelincuencia organizada funciona hoy como una industria transnacional. En este complejo en el sudeste asiático se documentaron jerarquías claras, guiones estandarizados y uso de IA (incluidos deepfakes) para perfeccionar estafas románticas. La operación no solo despojaba a víctimas en el extranjero, sino que se sostenía con trabajo forzado y servidumbre por deudas, una mezcla entre fraude digital, trata de personas y tecnología avanzada. Los complejos de pig butchering del sudeste asiático, en conjunto, generan decenas de miles de millones de dólares al año a escala global, lo que los convierte en una de las formas de ciberdelito más lucrativas del mundo.
En 2026, los ciberdelincuentes combinarán ingeniería social, deepfakes y virus adaptables para atacar a usuarios distraídos y vulnerar sistemas financieros.
Hay organizaciones para todo. En España, existe la venta irregular de citas para dependencias del gobierno tales como la Extranjería. Los atacantes acaparan las citas en el sistema digital para luego revenderlas por entre 15 y 40 euros. El secuestro de citas de Extranjería mediante bots no es tan inocuo como pueda parecer. En España, casi todos los trámites con la administración pública requieren cita previa para poder realizar la gestión, y es habitual que la cita solo se pueda reservar de forma telemática, o que el propio bloqueo web sature la atención telefónica. Las consecuencias pueden ser graves. En función del trámite, puede suponer la pérdida del permiso de residencia y dejar a la persona en situación irregular. En 2024, la Policía Nacional de España desarticuló una red de este tipo que, según estiman, generaba unos 9,000 euros al mes para cada uno de sus 21 integrantes.
Son muy conocidas las extorsiones de quienes pretenden haber secuestrado a un familiar. Con cuidado de no revelar información confidencial, Orejón describe un caso de este tipo que asistió en un país de Latinoamérica donde los secuestros reales son frecuentes. El grupo criminal utilizaba bases de datos filtradas con números de teléfono para buscar posibles víctimas a las que extorsionar. Luego estudiaban la forma de vestir y otros detalles del presunto familiar secuestrado a través de su perfil en redes sociales y contactaban a la víctima. “Decían que el dispositivo de la víctima lo tenían con ellos, y que si recibían algún tipo de contacto por su parte, automáticamente se lo iban a cargar”, recuenta Orejón, que insiste en que le estaban dando tanta veracidad al relato, que las víctimas ni siquiera se plantearon contactar a su familiar, que en realidad no había sido secuestrado.
El ‘poco de muchos’ del ciberdelito
Como describe el Responsable del INCIBE, las microestafas son el “Prêt-à-porter” del ciberdelito, el “poco de muchos”, que tiene una enorme tasa de retorno y genera grandes beneficios.
Solo en 2024, el FBI registró más de 850,000 incidentes en EE UU. En España (7 veces menor) el NCC-INCIBE identificó más de 97,000.
De ellos, 2 de cada 3 (el 67,6%) afectaron a ciudadanos particulares. En su mayoría fueron estafas tipo phishing a través de SMS, correos, redes sociales o apps de mensajería tipo Telegram o WhatsApp, que, según el último informe de la Agencia Europea para la Ciberseguridad (ENISA), suponen el 60% de los ataques en la Unión.
El INCIBE también detectó un número importante de estafas en comercios online que utilizan chollos para redirigir a webs clonadas o anuncios falsos, como el entramado de más de 18,000 anuncios en Instagram y TikTok que utilizaba imágenes y descripciones de productos de marca, (Lacoste, Bimba y Lola, LEGO, Jack & Jones o Ralph Lauren) para redirigir al comprador a páginas fraudulentas con copias y productos de mala calidad.
La estrategia, que recuerda a un top manta en versión digital y fue destapada a principios de año por el medio Maldita, no solo genera beneficios para los anunciantes, sino también para las plataformas que albergan esos anuncios a pesar de no cumplir su política de publicidad. Meta llegó a admitirlo de manera indirecta en un documento interno verificado por Reuters.
Una “oportunidad de oro” para el crimen organizado
“Quien puede llevar a cabo la mayor cantidad de campañas masivas es el crimen organizado. Ellos tienen la infraestructura y miembros que puedan estar ahí pico-pala, pico-pala”, ilustra Orejón. Tanto Cañada como la Teniente Raquel Herrero López, destinada en el Grupo de Delitos Económicos de la Unidad Técnica de Policía Judicial de la Guardia Civil, confirman esta vinculación. Ambos consideran que las organizaciones criminales se valen de las estafas, la extorsión cibernética y la campañas de desinformación en redes sociales para financiar otras actividades delictivas y grupos criminales, que pueden tener un impacto importante sobre la seguridad nacional.
“Nosotros lo estamos viendo a diario”, señala Cañada. “Por la mañana lanzan un ataque físico y por la tarde una campaña de desinformación en redes para generar desestabilización. Y es la misma organización criminal”, aclara.
Antonio Fernandes, divulgador y experto en ciberseguridad, pone como ejemplo el grupo Lazarus, de Corea del Norte, que hackea intercambios con criptomonedas para financiar sus operaciones, blanquear dinero y apoyar el desarrollo de armas en el país. En febrero de 2025 el grupo llegó a robar casi 1,500 millones de dólares en criptomonedas.
Según Ramírez, que ha colaborado con el Departamento de Seguridad Nacional de España y fue Miembro del Comité de Expertos Independientes de la Estrategia de Ciberseguridad Nacional 2019, muchas de las grandes mafias del cibercrimen están en países de la esfera de influencia rusa y se han descrito relaciones inquietantes. Destaca el matrimonio de Maxim Yakubets, presunto fundador del gigante del cibercrimen Evil Corp, con la hija de un ex-coronel del FSB, la agencia de inteligencia rusa.
Pero no es posible atribuir un único origen a todas las micro-estafas y extorsiones. “Hay tantas motivaciones como ciberdelincuentes puedan existir”, apunta Fernandes, que insiste en que se trata de un ecosistema complejo donde convergen las mafias del dinero, el ciberespionaje (APT), el hacktivismo y otras muchas motivaciones que a menudo se cruzan entre sí y resultan difíciles de rastrear.
La comunicación se hace por vías encriptadas que dificultan la atribución y el rastreo judicial, lo que facilita el blanqueo de capitales y la financiación del terrorismo.
Otro ejemplo es el blanqueo de dinero a través de plataformas de juego online,como las casas de apuestas o los videojuegos. “Tú vas a jugar al World of Warcraft, y en ese videojuego tú puedes comprar oro”, explica el experto. Si “yo tengo que blanquear 100,000 euros –pone como ejemplo– lo divido en bloques de 100 euros, con robots consigo oro y objetos mágicos en los juegos, que luego puedo vender a cambio de dinero”, aclara.
De hecho, el blanqueo mediante activos digitales es tan difícil de controlar que ha generado un mercado de mixers o splits, que actúan como intermediarios dividiendo transferencias en micro-transacciones aleatorias que luego recuperan para sus clientes en múltiples wallets de cibermonedas. Esta estrategia ya ha sido denunciada en varias ocasiones por Europol y el FBI.
“El crimen ha visto una oportunidad de oro de robo sin consecuencia”, señala Ramírez. “Si yo voy por la calle disparando delitos de sangre y provocando alarma social es muy probable que me detengan. Si en cambio voy robando digitalmente”, explica el experto, ”la percepción de alarma social es baja y la rentabilidad del crimen muy alta. Además, ven a buscarme a mi país”, bromea.
IA: tecnología militar al acceso de todos
La inteligencia artificial (IA) está facilitando muchos de estos micro-fraudes, haciendo que sea más fácil automatizar campañas masivas y realizar ataques sofisticados con pocos recursos técnicos, explican Rosa Remedios y Caballero Gil, que también coordina el grupo CryptULL de investigación en Criptología.
La IA no ha inventado delitos completamente nuevos, pero sí ha facilitado que los existentes sean más rápidos, más escalables y más accesibles para actores con menos experiencia técnica, comprimiendo el margen de reacción de las víctimas a cuestión de minutos. Según CrowdStrike, en 2025 los ataques realizados por adversarios que integraron inteligencia artificial en sus operaciones aumentaron 89% respecto al año anterior.
Los ciberdelincuentes emplean IA para redactar mensajes de phishing más creíbles, investigar a fondo a sus objetivos y crear identidades falsas, sitios web y empresas ficticias. También la utilizan para traducir señuelos a distintos idiomas, generar imágenes y audios sintéticos con fines de extorsión y desarrollar malware o scripts que aceleran el robo de credenciales y la evasión de defensas.
Orejón recuerda un caso en Latinoamérica en el que los extorsionadores grabaron a la víctima en una reunión y modificaron la imagen con IA para que pareciera que estaba teniendo una relación íntima. Luego empezaron a mandar mensajes a familiares y a extorsionar a la víctima a cambio de artículos caros, como relojes, bolsos o ropa de alta gama, que la víctima debía enviar a una dirección postal, para que los recogiese un tercero.
Con todo, los expertos consultados no satanizan a la IA. Se trata de un arma de doble filo que también facilita la detección, mitigación y respuesta gracias al análisis de datos masivos en tiempo real. Como apunta el equipo de investigación de La Universidad de La Laguna, la mayoría de estos ataques explotan fallos conocidos, debilidades estructurales o errores humanos, que, de origen, no dependen de la IA.
“La tecnología es neutra. La diferencia con el pasado está en el acceso”, insiste Cañada, que compara la IA con el ámbito militar. “La tecnología militar física siempre ha estado en manos de los estados, [pero la IA] es accesible para cualquier persona, cualquier ciudadano, en cualquier parte del mundo”.
Una guerra psicológica que agudiza la brecha social
Entre las consecuencias sociales de la ciberdelincuencia organizada se cuenta lo que el El Dr. Alfonso Muñoz, fundador de la startup criptored y profesor del Máster de Ciberseguridad de la Universidad Complutense de Madrid, llama un “impuesto sobre la vida digital”. Un ruido constante de estafas y suplantaciones que va poco a poco erosionando la confianza, generando fricción y colapsando servicios.
“Es raro no tener en el entorno cercano casos de estafas, contrataciones no deseadas, cargos fraudulentos en tarjetas de crédito o efectos colaterales de incidentes a mayor escala”, explican Rosa Remedios y Caballero Gil. Esto hace que la población perciba una pérdida permanente de la verdad, desconfíe de los servicios esenciales y que, al final, ya no sepa qué es real y qué no.
Rosa Remedios, Caballero Gil y el responsable del NCC-INCIBE advierten que este tipo de fraudes no solo afectan a usuarios individuales: en el caso de las pequeñas empresas, a menudo terminan provocando su cierre. Además, el impacto puede extenderse más allá, ya que si estas compañías forman parte de la cadena de suministro de sectores estratégicos, un ataque puede poner en riesgo infraestructuras y negocios críticos. “Hemos visto incidentes que vienen precisamente por ese eslabón más débil”, señala Cañada, en referencia a esas empresas con menos recursos de protección.
Europa acumula el mayor número de organizaciones resistentes a ciberataques, y los países de África y Latinoamérica, el más bajo, reflejaba el informe de ciberseguridad de 2024 del Foro Económico Mundial. Esta brecha es patente en la competencia por el talento en ciberseguridad. El IDB y la CICTE calculan que hay un déficit de 4.8 millones de profesionales en el mundo.
Como explica Caballero Gil, la alta especialización que requieren algunos perfiles de ciberseguridad, unido a la escasez de profesionales, puede subir el coste y hacer que para las pymes y pequeñas empresas sea complicado retener este tipo de talento, haciéndolas más vulnerables a los ataques. Este problema se agudiza aún más en países de bajos recursos. “Esto va a generar una desigualdad feroz”, opina Ramírez que ve en esta brecha uno de los grandes problemas de nuestro tiempo.
