Carteles digitales o cómo el crimen organizado está tomando internet

La ciberdelincuencia está al alza y no es obra de nerds solitarios escondidos en sus sótanos. En realidad, se parece mucho más a los carteles, a un negocio altamente industrializado. Hoy abarca desde el robo de contraseñas y el espionaje en redes corporativas hasta la venta ilegal de citas públicas acaparadas con bots; desde anuncios en redes que redirigen a tiendas clonadas hasta extorsiones con imágenes manipuladas mediante inteligencia artificial y campañas coordinadas de desinformación. La diversidad de los crímenes es enorme, pero a menudo tienen un rasgo en común: son operados por grupos con niveles de organización propios de empresas formales.

“Esa idea del ciberdelincuente con la capucha delante de la pantalla está muy bien para las series policiales, pero en realidad hay organizaciones criminales con horarios de trabajo, con turnos de ocho horas que se van rotando”, explica Miguel Ángel Cañada, Responsable del Centro Nacional de Coordinación del Instituto Nacional de Ciberseguridad de España (NCC-INCIBE) y jefe de su Gabinete de Dirección.

Difícil de medir

La lista de ciberdelitos es larga y descentralizada. Selva Orejón, CEO de Onbranding, y perito judicial especializado en Reputación, Identidad Digital y Ciberinvestigación, hace un recuento mental de las estafas y extorsiones que han sufrido algunos de sus clientes. Hay denuncias coordinadas, amenazas a la privacidad de la identidad, campañas de desprestigio así como interferencias operativas.

“No son solo de aquí”, aclara desde España a WIRED. “Son de Brasil, de México, Perú, Colombia, Sudáfrica, Marruecos, Italia, Portugal, Alemania…”, enumera revisando sus notas. El número de casos es difícil de estimar porque muchas de estas estafas y extorsiones ni siquiera se denuncian. “Por poca cantidad, ¿para qué?”, señala por videoconferencia Román Ramírez Giménez, especialista en ciberseguridad y cofundador del conocido congreso de ciberseguridad RootedCon. “Les da vergüenza o la han liado en su empresa, no quieren que se entere nadie y prefieren reponer ellos el dinero”, explica el experto, que también ejerce como consejero independiente en distintas empresas del IBEX 35.

Es difícil estimar el tamaño de estos carteles, una industria organizada de la ciberdelincuencia, pero crece rápidamente. Tan solo en 2025, la empresa estadounidense CrowdStrike (que monitorea y analiza amenazas digitales a nivel global desde 2011) identificó 24 nuevos grupos, lo que elevó a 281 el total de actores de ciberamenazas que tiene en su radar.

Algunas operaciones llevadas a cabo por la Europol arrojan una idea de la escala del negocio. En 2024, desmanteló LabHost, una plataforma que vendía kits de phishing con infraestructura y soporte por 250 dólares al mes, vinculada a 40,000 dominios y 10,000 usuarios en todo el mundo. Un año después cerró los foros Cracked y Nulled, enormes comunidades de cibercrimen con millones de usuarios y decenas de millones de publicaciones que distribuían herramientas y datos robados que generaban ingresos millonarios.

El complejo Boshang, expuesto por WIRED, ilustra cómo la ciberdelincuencia organizada funciona hoy como una industria transnacional. En este complejo en el sudeste asiático se documentaron jerarquías claras, guiones estandarizados y uso de IA (incluidos deepfakes) para perfeccionar estafas románticas. La operación no solo despojaba a víctimas en el extranjero, sino que se sostenía con trabajo forzado y servidumbre por deudas, una mezcla entre fraude digital, trata de personas y tecnología avanzada. Los complejos de pig butchering del sudeste asiático, en conjunto, generan decenas de miles de millones de dólares al año a escala global, lo que los convierte en una de las formas de ciberdelito más lucrativas del mundo.

Hay organizaciones para todo. En España, existe la venta irregular de citas para dependencias del gobierno tales como la Extranjería. Los atacantes acaparan las citas en el sistema digital para luego revenderlas por entre 15 y 40 euros. El secuestro de citas de Extranjería mediante bots no es tan inocuo como pueda parecer. En España, casi todos los trámites con la administración pública requieren cita previa para poder realizar la gestión, y es habitual que la cita solo se pueda reservar de forma telemática, o que el propio bloqueo web sature la atención telefónica. Las consecuencias pueden ser graves. En función del trámite, puede suponer la pérdida del permiso de residencia y dejar a la persona en situación irregular. En 2024, la Policía Nacional de España desarticuló una red de este tipo que, según estiman, generaba unos 9,000 euros al mes para cada uno de sus 21 integrantes.

Son muy conocidas las extorsiones de quienes pretenden haber secuestrado a un familiar. Con cuidado de no revelar información confidencial, Orejón describe un caso de este tipo que asistió en un país de Latinoamérica donde los secuestros reales son frecuentes. El grupo criminal utilizaba bases de datos filtradas con números de teléfono para buscar posibles víctimas a las que extorsionar. Luego estudiaban la forma de vestir y otros detalles del presunto familiar secuestrado a través de su perfil en redes sociales y contactaban a la víctima. “Decían que el dispositivo de la víctima lo tenían con ellos, y que si recibían algún tipo de contacto por su parte, automáticamente se lo iban a cargar”, recuenta Orejón, que insiste en que le estaban dando tanta veracidad al relato, que las víctimas ni siquiera se plantearon contactar a su familiar, que en realidad no había sido secuestrado.

El ‘poco de muchos’ del ciberdelito

Como describe el Responsable del INCIBE, las microestafas son el “Prêt-à-porter” del ciberdelito, el “poco de muchos”, que tiene una enorme tasa de retorno y genera grandes beneficios.

Solo en 2024, el FBI registró más de 850,000 incidentes en EE UU. En España (7 veces menor) el NCC-INCIBE identificó más de 97,000.