La mayoría de las personas no andamos por la vida pensando en todas las cosas malas que nos pueden llegar a suceder. Somos la excepción y no la regla, y los arrebatos, estafas o accidentes siempre les pasan a otros, nunca a nosotros, porque somos más cuidadosos o más inteligentes que los demás. Ese mecanismo psicológico natural, llamado sesgo de optimismo, nos protege de la ansiedad paralizante que sentiríamos si viviéramos constantemente conscientes de todos los riesgos que enfrentamos día a día.
Esta misma tendencia a minimizar los peligros del mundo real, lógicamente, la trasladamos al mundo digital, donde creemos que el ciberdelito afecta solo a empresas o a personas que no saben usar la tecnología. No a nosotros, que supuestamente estamos un paso adelante y somos lo suficientemente astutos como para no caer en las burdas trampas de los estafadores digitales. Que no haríamos clic en un enlace sospechoso, ni pondríamos los datos de nuestra tarjeta en una página falsa, ni confiaríamos en una cuenta de Instagram que vende productos que nunca llegarán. Porque, obviamente, eso solo le pasa a los que no prestan atención, no a nosotros.
Sin embargo, la realidad es muy distinta. Los ciberataques no discriminan por edad, nivel educativo o experiencia tecnológica, y los datos así lo demuestran. Durante 2024 y lo que va de 2025, las denuncias por phishing, suplantación de identidad y estafas en redes sociales aumentaron en Argentina a un ritmo increíble. Según la multinacional de seguridad informática Kaspersky, los intentos de fraude por correo electrónico crecieron un 300 % en el país durante el último año, muy por encima del promedio regional, que fue del 140 %. Y todo indica que la tendencia seguirá en alza, ya que se trata de operaciones de muy bajo costo, alta escala y, para los delincuentes, enorme rentabilidad.
Basta revisar la casilla de correo no deseado para descubrir una variedad enorme de mensajes que intentan suplantar a empresas de envíos o plataformas de pagos. En las últimas semanas se multiplicaron los mensajes que alertan sobre entregas pendientes, problemas con un paquete o la necesidad de abonar un pequeño monto para destrabar una compra de la aduana. Simulan provenir de empresas conocidas, como Andreani, FedEx, Mercado Libre o Correo Argentino, pero al hacer clic en el enlace, el usuario es redirigido a sitios falsos donde se le solicita ingresar datos personales y tarjetas de crédito.
Curiosamente, muchas de estas páginas ni siquiera se esmeran en copiar el diseño de las empresas mencionadas. En su gran mayoría son sitios genéricos, con formularios básicos y logos pegados sin criterio, y aun así logran su cometido. Solo se necesita que el usuario realmente esté esperando un paquete y esté lo suficientemente apurado o distraído para que complete los datos sin sospechar. Llegado ese punto, ya es demasiado tarde. La estafa está consumada.
Pero ni siquiera hace falta que el engaño llegue por correo. Una simple búsqueda en Google nos puede llevar directamente a la cueva del lobo sin que lo notemos, simplemente al seleccionar entre los primeros resultados. Este gesto, que hacemos casi por inercia al confiar ciegamente en el algoritmo, se convirtió en un vector de ataque que los ciberdelincuentes aprendieron a explotar brillantemente.
Cuando necesitamos descargar un programa, encontrar el número de atención al cliente de nuestro banco, o buscar una plataforma de compras online, automáticamente hacemos clic en uno de los primeros resultados, sin cuestionarnos si realmente es legítimo. Los estafadores lo saben, y por eso pagan anuncios a través de Google Ads para que sus páginas falsas y prácticamente idénticas a las reales, aparezcan arriba de todo.
Incluso en muchos casos, utilizan Google Business, la herramienta que ofrece el buscador para que las empresas gestionen su presencia en internet. A través de ella, logran que sus sitios de phishing aparezcan en los resultados de búsqueda y en Google Maps con nombre, dirección, página web, teléfono y hasta reseñas. Así, la apariencia de legitimidad es total. El usuario llama, escribe o ingresa creyendo que se está contactando con la empresa real, cuando en realidad está entregando su información a un delincuente.
Google tiene sistemas automáticos para detectar este tipo de anuncios fraudulentos, pero al no revisarlos uno por uno, muchos se les escapan. Según cifras publicadas por la propia empresa, en 2024 suspendieron más de 39,2 millones de cuentas de anunciantes por violar sus políticas, la gran mayoría antes de que llegaran a publicar un solo aviso. También bloquearon más de 5.500 millones de anuncios y restringieron otros más de 6.900 millones, como parte de su esfuerzo para que la plataforma no se convierta en el entorno ideal para los ciberdelincuentes. Aun así, la escala del problema es tan grande, y la velocidad con la que operan los estafadores, tan alta, que muchos engaños logran pasar desapercibidos.
Esta modalidad se está volviendo cada vez más frecuente en las redes sociales, con anuncios pagos que se camuflan entre el resto de las publicaciones. En las últimas semanas se detectó una campaña de avisos falsos en X (antes Twitter) dirigida específicamente a usuarios de Argentina, donde se ofrecen supuestas inversiones en YPF utilizando la imagen de figuras como Messi, la Sole y otros famosos. Los anuncios están acompañados por artículos periodísticos falsos que imitan medios como La Nación o Infobae, con enlaces que redirigen a una plataforma de inversiones apócrifa. Aquellos desprevenidos que ingresan sus datos corren el riesgo de ser contactados directamente por los ciberdelincuentes, lo que habilita estafas de todo tipo.
Pero las redes sociales no solo sirven para engañar a través de anuncios pagos. También se detectan estafas que se presentan como ventas legítimas a través de cuentas comunes. En Instagram, por ejemplo, comenzaron a promocionarse las llamadas “Mystery Boxes”, supuestas cajas sorpresa repletas de productos premium a precios muy bajos. Así, por tan solo 50,000 pesos -según prometen algunas publicaciones- podrías recibir un lote de devoluciones de Apple, Amazon o algunas otras marcas conocidas. Todo presentado entre reel y reel, como una oferta irresistible que aparece entre tu contenido favorito.
A simple vista, todo parece legítimo. La estética es profesional, con vídeos y fotos muy cuidadas, respuestas en los comentarios y hasta testimonios armados para generar confianza. Pero tras el pago, que muchas veces se realiza por transferencia o a través de links enviados por WhatsApp, el artículo nunca llega. La cuenta desaparece, bloquea a quien reclamó o simplemente deja de responder.
Como era de esperarse, detrás de estas supuestas ofertas operan esquemas más complejos. Un análisis técnico de la consultora de ciberseguridad argentina OSINT, identificó más de 200 páginas fraudulentas que promocionan este tipo de cajas a través de Facebook Ads. Todas comparten el mismo patrón: diseño casi idéntico, hospedaje en servidores poco rastreables y pasarelas de pago que esconden suscripciones automáticas. Es decir, no solo el usuario nunca recibe lo prometido, sino que además queda enganchado a débitos periódicos difíciles de cancelar. En algunos casos, el cobro se repite cada semana, sin que la víctima sepa exactamente a quién reclamarle.
La mayoría de estas estafas no requieren grandes conocimientos técnicos ni sofisticados sistemas de engaño. Solo necesitan una víctima distraída, un entorno creíble y el momento justo. Por eso, más allá de los filtros de spam y las políticas de seguridad de las plataformas, la mejor defensa sigue siendo la más simple: la atención. Tomarse un segundo antes de hacer clic, desconfiar de lo que parece demasiado bueno para ser cierto y, sobre todo, entender que a cualquiera, también a nosotros, nos puede pasar.
