Por qué aumentan los casos de fraude por apropiación de cuentas

En pocas palabras

• El fraude de apropiación de cuentas (ATO) ya ha robado más de 262 millones de dólares en 2025.
• Los delincuentes se hacen pasar por bancos a través de mensajes de texto, llamadas, sitios web falsos y anuncios fraudulentos.
• Las señales de alerta temprana incluyen la pérdida repentina del servicio móvil, alertas de inicio de sesión extrañas, nuevos beneficiarios o cambios en la cuenta que usted no ha realizado.
• Protéjase con MFA no SMS, contraseñas únicas, marcadores y PIN de cuentas móviles.
• ScamAdviser te ayuda a comprobar rápidamente enlaces, números de teléfono y detalles sospechosos antes de que caigas en una estafa.

Deja de hacer lo que estés haciendo. Respire hondo. Ahora compruebe los datos de acceso a su cuenta bancaria. Cuando el FBI emite una alerta de cinco alarmas sobre un único tipo de ciberdelincuencia, es porque está ocurriendo algo enorme, y ahora mismo, esa amenaza es el fraude de apropiación de cuentas (ATO). Según el Centro de Denuncias de Delitos en Internet (IC3) del FBI, los ciberdelincuentes ya han robado más de 262 millones de dólares desde enero de 2025 entrando en cuentas financieras, portales de nóminas e incluso cuentas de ahorro para la salud. Más de 5.100 víctimas han denunciado haber sido víctimas, y esas son sólo las que se dieron cuenta a tiempo.

No se trata de que alguien adivine tu contraseña. Se trata de una invasión digital coordinada, en la que los delincuentes se hacen pasar por el personal de su banco, imitan sus sitios web, le engañan para que entregue sus credenciales y luego le bloquean su propia vida financiera. Personas, familias y empresas de todos los tamaños se han convertido en objetivo. Ningún sector es inmune.

¿Qué es la apropiación de cuentas (ATO) y por qué es tan peligrosa?

Imagine su cuenta bancaria como una cámara acorazada. Usted tiene la llave (su contraseña) y una alarma de seguridad (su autenticación multifactor). La ATO se produce cuando los delincuentes consiguen robarle la llave, silencian la alarma y se llevan todo lo que hay dentro. Una vez que consiguen acceder, se mueven con una rapidez aterradora: restablecen tu contraseña, cambian tu correo electrónico, alteran tu información de contacto y transfieren tu dinero a monederos de criptomonedas o cuentas controladas por delincuentes. Para cuando te das cuenta de que algo va mal, el daño suele ser irreversible.

El FBI subraya que esta oleada de fraudes ATO está siendo impulsada no sólo por la filtración de contraseñas, sino por delincuentes que se hacen pasar por equipos de asistencia de las entidades financieras. No se limitan a robar la información, sino que se hacen con ella a través de la conversación.

¿Cómo irrumpen los delincuentes en las cuentas?

Aunque la suplantación de credenciales, el phishing y el intercambio de SIM siguen siendo tácticas importantes, el FBI advierte de que están aumentando los ataques basados en la suplantación de identidad. Los ciberdelincuentes se hacen pasar ahora por empleados bancarios, del servicio de atención al cliente, de los departamentos de fraude o incluso por agentes de la ley que le "ayudan" con un problema falso.

La ingeniería social desempeña un papel fundamental. Los delincuentes le llaman o envían mensajes de texto fingiendo alertarle sobre una "compra fraudulenta" o un "inicio de sesión no autorizado", e incluso pueden afirmar que la supuesta compra implica algo grave, como armas de fuego, para sembrar el pánico. A continuación, le guían a un sitio web falso o le convencen para que lea en voz alta su código de restablecimiento de contraseña o su código MFA/OTP. Una vez que lo tienen, inician sesión en el sitio bancario real, restablecen todo y le cierran la sesión.

Los sitios web de phishing son cada vez más difíciles de distinguir de los auténticos. Algunos estafadores incluso utilizan el envenenamiento SEO, comprando anuncios en los motores de búsqueda para que su sitio fraudulento aparezca por encima del sitio legítimo del banco. Si haces clic en el enlace equivocado, aterrizas en una réplica impecable de la página de inicio de sesión de tu banco, entregas tus credenciales y, sin saberlo, das a los delincuentes acceso total.

Una vez dentro, actúan con rapidez. Cambian las contraseñas. Cambian las direcciones de correo electrónico. Se añaden nuevas reglas a las cuentas. Los fondos se transfieren, a menudo directamente a carteras de criptomonedas, donde desaparecen al instante. En muchos de estos casos, las víctimas pierden el acceso a sus propias cuentas en cuestión de minutos.

¿Cuáles son las primeras señales de alarma de un ataque ATO?

La primera pista suele ser la más silenciosa. Si tu teléfono pierde el servicio de repente y sin motivo, eso puede significar que alguien ha intercambiado tu SIM para hacerse con el control de tus códigos MFA. Las notificaciones inesperadas sobre cambios de contraseña, nuevos dispositivos, nuevos beneficiarios o intentos de inicio de sesión que no has realizado son señales de alarma importantes.

Algunos delincuentes incluso cambian las direcciones postales o desactivan los mensajes de correo electrónico de los extractos para que no te des cuenta de los depósitos o reintegros que faltan. A menudo se utilizan pequeñas transacciones de prueba, como unos pocos céntimos, para verificar las credenciales robadas antes de vaciar su cuenta horas más tarde.

Y si de repente recibe llamadas de alguien que dice ser un "investigador de fraudes", un "técnico bancario" o un "agente de policía que ayuda con actividades sospechosas", dé por hecho que se trata de una estafa hasta que se demuestre lo contrario. El FBI lo deja claro: las instituciones legítimas no le pedirán su nombre de usuario, contraseña o código MFA.

¿Cómo protegerse realmente del fraude ATO?

Empiece por actualizar sus hábitos de seguridad. Si su MFA todavía se basa en códigos SMS, es vulnerable al intercambio de SIM y a la interceptación. Cámbiate a una aplicación de autenticación o, mejor aún, a una llave física.

Las contraseñas deben ser únicas y complejas para cada cuenta, sin excepciones. Un gestor de contraseñas facilita esta tarea y cierra la puerta a los ataques de relleno de credenciales.

Cuando acceda a sitios web financieros, no se fíe nunca de los resultados de las búsquedas ni de los anuncios. Marque el sitio oficial o escríbalo manualmente. La MFA no te salvará si introduces tus credenciales en un sitio web falso.

Reduzca también lo que comparte en Internet. A los delincuentes les encantan los detalles personales, como los nombres de mascotas, cumpleaños y escuelas, ya que son ingredientes perfectos para adivinar su contraseña o preguntas de seguridad.

Y proteja su servicio móvil igual que su cuenta bancaria: establezca un PIN o una frase de contraseña con su operador para evitar cambios de SIM no autorizados.

Supervisa regularmente tus cuentas bancarias para detectar depósitos no realizados, transferencias inesperadas o gastos inusuales. Cuanto antes detecte las irregularidades, más posibilidades tendrá de recuperar los fondos.

¿Qué debe hacer si es víctima de una ATO?

Si cree que su cuenta se ha visto comprometida, actúe de inmediato. Póngase en contacto con su entidad financiera y solicite la retirada o anulación de las transferencias no autorizadas. Solicite una carta de exención de responsabilidad o una carta de indemnización, que los bancos suelen exigir antes de intentar la recuperación.

Restablezca todas las credenciales que puedan haber quedado expuestas. Si ha utilizado la misma contraseña en algún otro sitio, cámbiela también allí.

A continuación, presente una denuncia detallada en IC3.gov, incluyendo todos los detalles relevantes: sitios web falsos que visitó, números de teléfono utilizados por los estafadores, capturas de pantalla, identificadores de transacciones y la frase "Account Takeover" o "SEO poisoning" en su denuncia. Por último, notifíquelo a la empresa suplantada para que pueda advertir a otras y solicitar la retirada de la página de phishing.

Preguntas frecuentes: Respuestas rápidas a grandes preocupaciones
¿Pueden los estafadores hacerse pasar por bancos de forma convincente?
Sí. El FBI confirma que los delincuentes suplantan ahora al personal de los bancos, falsifican departamentos de fraude e incluso a las fuerzas del orden para engañar a las víctimas.

¿Es común la intoxicación por SEO?
Cada vez más. Los delincuentes compran anuncios de búsqueda que redirigen a los usuarios a páginas de inicio de sesión falsas que parecen idénticas a los sitios reales de los bancos.

¿Y si hago clic en un enlace pero no introduzco mis datos?
Puede que siga estando a salvo, pero vigile sus cuentas. Algunos sitios de phishing también instalan malware.

¿Se puede eludir la MFA?
Sí, si les das a los delincuentes tu contraseña o si se apropian de tu número de teléfono intercambiando la tarjeta SIM.

¿Debo devolver la llamada a los números que dicen ser de mi banco?
No. Cuelgue, busque usted mismo el número oficial y llame a ese.

¿Me devolverá el dinero mi banco?
A veces. Informar con rapidez aumenta sus posibilidades drásticamente.

¿Cuál es el hábito más importante que debe adoptar hoy?
Marca la página de inicio de sesión de tu banco y no vuelvas a entrar nunca desde un correo electrónico, un mensaje de texto o un anuncio.

Detenga la estafa antes de que empiece con ScamAdviser

No siempre se recibe una advertencia antes de que se produzca un fraude ATO, pero puede tener una oportunidad de luchar. Antes de hacer clic en un enlace, responder a un mensaje "bancario" o enviar dinero, verifíquelo primero.

La aplicación ScamAdviser le ayuda a comprobarlo rápidamente:

• Sitios Web y URLs en busca de malware y phishing
• Números de teléfono con identificador de llamadas en tiempo real
• Los datos del IBAN para confirmar a quién está enviando dinero realmente.
• Enlaces sospechosos en mensajes de texto y correos electrónicos

Una rápida comprobación podría detener la próxima estafa de 262 millones de dólares.

Descargue hoy mismola aplicación ScamAdviser y vaya un paso por delante del fraude de la ATO.