Estafas online en Balears: la epidemia silenciosa del cibefraude

Las estafas online se disparan en las islas: desde los fraudes bancarios y las falsas inversiones hasta los ataques a pymes turísticas. Un fenómeno en expansión donde la ingeniería social y la rapidez de reacción son claves

Su nombre es Alex, o al menos así se presenta. Asegura trabajar en el banco del que es clienta su víctima, Daniela. Ha logrado infiltrarse en el mismo hilo de mensajes oficiales de la entidad y enviar un SMS que alerta de supuestos cargos no autorizados. El enlace parece legítimo; el tono, en llamada telefónica, también. El objetivo es sencillo: obtener las claves de acceso a su banca online. El resultado, inmediato: mil euros en bizums extraídos de su cuenta sin que ella pueda impedirlo.

Casos como el de Daniela son cada vez más habituales. Los mensajes que despiertan sospechas, los cargos que no encajan o las llamadas con apariencia legítima forman ya parte del día a día digital. David, un joven mallorquín, lo descubrió al ver varios pagos en su tarjeta bajo el concepto “Apple Music”, un servicio que jamás ha utilizado. En ambos episodios, el punto de partida es idéntico: un delincuente logró apoderarse de parte de su información o supo cómo empujarles a facilitarla.

Para entender cómo operan estas redes en Balears, Mallorca Global Mag ha conversado con los responsables de la Policía Nacional especializados en investigar este tipo de delitos: el Grupo de Delincuencia Económica y Delitos Tecnológicos, integrado en la Brigada Provincial de Policía Judicial. Desde Palma trabajan en coordinación con la Unidad Central de Ciberdelincuencia, con otras jefaturas del país y con organismos internacionales como Europol o Interpol.

“El fraude más común sigue siendo el de los cargos fraudulentos en cuentas o tarjetas, especialmente los que se originan mediante smishing y vishing”, explican Miguel Ángel López Martín, jefe del Grupo de Delitos Tecnológicos de Balears, y José Miguel Márquez, subinspector del mismo grupo. La secuencia suele comenzar con un SMS que suplanta al banco y alerta de movimientos extraños. El enlace redirige a una página falsa donde la víctima introduce sus claves. Poco después, una llamada desde el mismo número oficial de la entidad —mediante spoofing— solicita los códigos que llegan al móvil para “cancelar” la operación. En realidad, esos códigos autorizan las transferencias fraudulentas.

José Miguel Márquez y Miguel Ángel López, del Grupo de Delitos Tecnológicos de Balears.

Fiebre por invertir

Aunque este fraude es el más frecuente, no es el que más crece. “El aumento más grande lo estamos viendo en las falsas inversiones, sobre todo relacionadas con criptomonedas y plataformas no reguladas”, añaden. En redes sociales, los estafadores se hacen pasar por empresas energéticas, bancos o incluso personajes públicos para atraer a posibles inversores. En cuestión de semanas, el dinero desaparece sin posibilidad de recuperación. La Policía cita Reino Unido o países del este como origen de muchas campañas. Otras, como la sextorsión, suelen operar desde países de África o Indonesia.

En cuanto al uso de la IA, aseguran que “los actuales modus operandi funcionan sin ella”, por lo que aún no está extendido, aunque admiten casos aislados y potenciales aplicaciones (clonación de voz, deepfakes). Al mismo tiempo, las fuerzas y cuerpos de seguridad ya la incorporan para detectar patrones y priorizar investigaciones.

Mulas y un engranaje preciso

Los agentes constatan que el cibercrimen actual no es un fenómeno improvisado. “Hay un reparto de tareas muy claro”. En la base de la pirámide está quien cobra: la mula, titular de la cuenta receptora. “Suelen ser estudiantes, personas desempleadas, indigentes o toxicómanos que participan a cambio de pequeñas cantidades”. Por encima está el captador, y más arriba, los intermediarios. En la cúspide, quienes diseñan la estafa o desarrollan las herramientas tecnológicas.

La facilidad para abrir cuentas y líneas prepago multiplica las vías para delinquir. “Puedes ir a un locutorio y comprar 20 tarjetas SIM prepago a nombre de ‘Donald Trump’ —ejemplifican—, o abrir una cuenta online con verificación mínima. Esas cuentas son un coladero para cometer estafas”.

Una vez que el dinero entra en la cuenta de la mula, se mueve con rapidez: transferencias a terceros, envíos al extranjero o conversión en criptomonedas. “Si el dinero sale de la cuenta de destino, olvídate: la trazabilidad se complica. Son personas que muchas veces serán condenadas por estafa, pero no podrán devolver 40.000 o 300.000 euros”.

Si el dinero sale de la cuenta de destino, olvídate: la trazabilidad se complica.

Transnacionalidad y frenos bancarios

La principal dificultad de la investigación es la transnacionalidad. Los estafadores utilizan VPNs y redes privadas para ocultar huellas. Esa dispersión exige cooperación judicial y policial internacional y ralentiza las medidas cautelares. “Los autores lo saben y juegan con esa ventaja: mueven el dinero con extrema rapidez y lo convierten en moneda virtual para añadir opacidad”.

La relación con las entidades bancarias es otro punto de fricción: hay bancos que colaboran y otros que, según la Policía, dificultan los bloqueos preventivos. El Reglamento (UE) 2024/886 —que obliga a comprobar la coincidencia entre titular y beneficiario en determinadas transferencias— supone un avance. Desde su entrada en vigor en octubre de 2025, ya se bloquean operaciones que antes pasaban inadvertidas.

Hora de denunciar

Tras sufrir un fraude online, los mandos policiales insisten en una secuencia operativa sencilla pero decisiva: contactar de inmediato con el banco para solicitar un bloqueo preventivo, conservar todas las pruebas (SMS, enlaces, capturas, extractos) y denunciar en comisaría o telemáticamente; en este último caso será necesario acudir posteriormente a las dependencias policiales para firmar y corroborarla. El tiempo es crítico. “Si la víctima tarda tres o cuatro días en avisar, es muy posible que el dinero ya haya salido de España”.

Y la denuncia es clave: “Si no, el hecho no existe para las autoridades y no se pueden cruzar patrones ni coordinar acciones”.

“¿Van a hacer algo?”, pregunta la víctima. “Si no denuncias, no haremos nada; si denuncias, lo intentaremos”.

En 2025, a falta de completar el año, la Jefatura contabilizó casi 400.000 euros recuperados. “Cuando se logra bloquear el dinero y devolverlo, la satisfacción es enorme”, explican los agentes.

Sectores y perfiles más vulnerables

Cualquiera puede caer en estas trampas. En las empresas, los fraudes más habituales son los del tipo BEC / man in the middle: delincuentes que monitorizan correos, cuelan facturas falsas y desvían pagos. “Un caso reciente en la isla es el de una compañía que transfirió 98.000 € a una cuenta fraudulenta; gracias a la rapidez y a la colaboración bancaria se logró recuperar el importe íntegro”. En el ámbito ciudadano destacan dos perfiles especialmente afectados:

Personas mayores, menos habituadas a los canales digitales.
Hombres adultos, víctimas de casos de sextorsión.

También es frecuente la estafa del romance scam, que afecta sobre todo a mujeres de entre 55 y 75 años. Se trata de una dinámica especialmente dañina: meses de confianza, promesas y pequeñas transferencias que acaban sumando cantidades significativas.

Las ciberestafas forman un ecosistema que evoluciona con rapidez y Balears, por su perfil económico y turístico, es un objetivo codiciado. Las herramientas cambian, los nombres varían (Alex, Daniela, David), pero persiste la misma lógica: explotar la urgencia, la confianza y el descuido.

De la ingeniería social a la amenaza post-cuántica

Huguet, en las oficinas de Mallorca Global. Foto: Piter Castillo.

Llorenç Huguet, catedrático emérito de Ciencia de la Computación e Inteligencia Artificial y director de la Cátedra de Ciberseguridad de la UIB, lleva ya más de cuatro décadas dedicado a las matemáticas que hoy están detrás de las comunicaciones seguras

“La evolución del fraude online ha ido de lo técnico a lo humano”.
En las primeras etapas de Internet predominaban los ataques contra servidores, redes y sistemas mal configurados. Hoy, el corazón del problema es otro: la ingeniería social.

Observar hábitos, horarios, formas de escribir, formularios que se rellenan sin mirar. “No es solo tecnología: es sociología y psicología aplicadas al fraude”.

Durante la pandemia, “muchas compañías enviaron a sus empleados a trabajar desde casa con sus propios ordenadores, que no tenían las mismas protecciones que la red corporativa”, recuerda Huguet. “Lo mismo está pasando ahora con la inteligencia artificial”, advierte. “Volvemos a dar datos sin saber muy bien para qué se utilizarán. Quizá hoy no pase nada, pero dentro de cinco o diez años esa información, que ha sido almacenada ahora, puede tener otra importancia”.

El reto será garantizar la transparencia de los algoritmos y su uso ético.

Balears, especialmente expuesta

En un territorio tan volcado en los servicios como Balears, ese matiz no es menor. Según los datos del Instituto Nacional de Ciberseguridad (INCIBE) que maneja Huguet, Balears cerró 2024 como la comunidad con mayor crecimiento de ciberdelitos en España, con un incremento de incidentes y más denuncias de pymes afectadas, que sufren pérdidas medias de unos 30.000 euros por empresa.

“Las empresas de servicios son muy vulnerables”, explica.
Plantillas con alta rotación, procedimientos de pago poco estandarizados y recursos limitados en ciberseguridad crean el caldo de cultivo perfecto.

La sensorización y la automatización en hoteles, restaurantes o edificios añaden otra capa de riesgo: “Cada sensor que envía datos a un servidor puede convertirse en una puerta de entrada si no se protege bien”, apunta.

Tres frentes y un mismo problema

El mapa de la ciberestafa en Balears no es homogéneo.
Por un lado están las pymes, que sobre todo sufren fraudes de suplantación de proveedores, cambios falsos de cuenta bancaria, ataques a TPV y ransomware que cifra sus sistemas y paraliza la actividad.

“En una pyme bastan tres defensas básicas”, resume:

Verificación en dos pasos para pagos y accesos.
Copias de seguridad desconectadas.
Un protocolo que prohíba cambiar cuentas bancarias sin confirmarlo por teléfono con un contacto conocido.

Por su parte, las administraciones reciben campañas dirigidas, ataques a servicios críticos y robos de credenciales que pueden comprometer datos de miles de ciudadanos. Hospitales y servicios esenciales ya han sido objetivo en las islas.

Por último, los ciudadanos siguen siendo presa del phishing, smishing/vishing, las estafas de compraventa o los alquileres vacacionales falsos. Para ellos, el consejo es igual de sencillo que difícil de aplicar: mantener el software actualizado, usar contraseñas únicas y revisar con frecuencia los movimientos bancarios.

El futuro inmediato: criptografía post-cuántica

Así las cosas, el futuro se juega en un terreno menos visible: la criptografía post-cuántica.
Hoy, muchos sistemas se consideran “indescifrables en la práctica” porque romperlos exigiría años de cálculo con máquinas actuales. La computación cuántica podría cambiar esa regla.

“Hay empresas que ya hoy capturan información cifrada que no pueden leer, pero que quizá podrán descifrar dentro de cinco o diez años”, advierte.

Para las administraciones y las grandes organizaciones, eso significa empezar a planificar una transición hacia nuevos estándares capaces de resistir a futuros ordenadores cuánticos.

“A mí no me va a pasar”

A nivel usuario, cuando se le pregunta por el error más común que cometemos, Huguet no duda: “Pensar ‘a mí no me va a pasar’”. Ese exceso de confianza convive, paradójicamente, con una falta de formación básica.

“En el mundo analógico, desconfiar parecía de mala educación; en el digital, ser desconfiado es una forma de higiene”, resume. “La ciberseguridad es como el cinturón de seguridad: no evita accidentes, pero puede salvarte cuando ocurren”.

Por eso insiste en la educación digital desde edades tempranas, el control parental pactado, la formación de familias y docentes y la actualización continua de profesionales y empresas.

La UIB trabaja en esa línea a través de programas como CyberCamp, la Cátedra de Ciberseguridad o cursos específicos para pymes y administraciones. Y recuerda un recurso que compara con un “112 digital”: el teléfono 017 de INCIBE, un servicio de ayuda 24/7 que orienta, paso a paso, sobre qué hacer ante una sospecha de fraude o un incidente online.

“Si no dejaríamos un coche a un menor que no sabe conducir, tampoco deberíamos dejarles un entorno digital sin haberles enseñado cómo manejarlo”.

En definitiva, concluye, el objetivo realista no es un mundo sin ciberestafas, sino una sociedad más difícil de engañar.

Cookie	Duración	Descripción
_GRECAPTCHA	5 months 27 days	This cookie is set by Google. In addition to certain standard Google cookies, reCAPTCHA sets a necessary cookie (_GRECAPTCHA) when executed for the purpose of providing its risk analysis.
cookielawinfo-checbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-advertisement	1 year	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Advertisement".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Cookie	Duración	Descripción
__atuvc	1 year 1 month	This cookie is set by Addthis to make sure you see the updated count if you share a page and return to it before our share count cache is updated.
__atuvs	30 minutes	This cookie is set by Addthis to make sure you see the updated count if you share a page and return to it before our share count cache is updated.

Cookie	Duración	Descripción
_ga	2 years	This cookie is installed by Google Analytics. The cookie is used to calculate visitor, session, campaign data and keep track of site usage for the site's analytics report. The cookies store information anonymously and assign a randomly generated number to identify unique visitors.
_ga, _gat, _gid	_ga: 2 años _gid: 24 horas _gat: 10 minutos	Cookies de Google Analytics. Informes estadísticos sobre como los Usuarios encuentran la página web y cómo la utilizan: páginas visitadas, tiempo de estancia, tipo de navegador… _ga y _gid: Se usan para distinguir a los Usuarios. _gat: Se usa para limitar el porcentaje de solicitudes Más información
_gid	1 day	This cookie is installed by Google Analytics. The cookie is used to store information of how visitors use a website and helps in creating an analytics report of how the wbsite is doing. The data collected including the number visitors, the source where they have come from, and the pages viisted in an anonymous form.
GPS	30 minutes	This cookie is set by Youtube and registers a unique ID for tracking users based on their geographical location
uvc	1 year 1 month	The cookie is set by addthis.com to determine the usage of Addthis.com service.

Cookie	Duración	Descripción
IDE	1 year 24 days	Used by Google DoubleClick and stores information about how the user uses the website and any other advertisement before visiting the website. This is used to present users with ads that are relevant to them according to the user profile.
loc	1 year 1 month	This cookie is set by Addthis. This is a geolocation cookie to understand where the users sharing the information are located.
test_cookie	15 minutes	This cookie is set by doubleclick.net. The purpose of the cookie is to determine if the user's browser supports cookies.
VISITOR_INFO1_LIVE	5 months 27 days	This cookie is set by Youtube. Used to track the information of the embedded YouTube videos on a website.

Cookie	Duración	Descripción
_gat_gtag_UA_87273504_2	1 minute	No description
CONSENT	16 years 9 months 20 days 12 hours	No description

Estafas online en Balears: ante la epidemia silenciosa del cibefraude

Fiebre por invertir

Mulas y un engranaje preciso

Transnacionalidad y frenos bancarios

Hora de denunciar

Sectores y perfiles más vulnerables