Por qué importa? La suplantación es ya un vector transversal del fraude digital. A escala global, las estafas drenaron unos US$ 1,03 billones en 2024, lo que dimensiona la amenaza para consumidores y empresas y eleva el listón para la gobernanza y los controles corporativos.  

Pérdidas récord y mayor volumen de engaños

El FBI informó que en 2024 su Internet Crime Complaint Center (IC3) recibió 859.532 denuncias y cuantificó pérdidas por más de US$ 16.000 millones, un salto del 33% frente a 2023. El informe destaca que el volumen de casos cae levemente, pero el daño económico sigue en alza.  

En paralelo, el primer trimestre de 2025 cerró con 1.003.924 ataques de phishing —el nivel más alto desde finales de 2023—, con mayor presión sobre pagos y finanzas. Los analistas también detectaron millones de correos diarios con QR maliciosos, una técnica que elude filtros tradicionales.  

BEC sigue siendo el rey del daño económico

El FBI actualizó su advertencia pública sobre Business Email Compromise (BEC): entre octubre de 2013 y diciembre de 2023 las “pérdidas expuestas” superaron los US$ 55.000 millones, con un creciente desvío de fondos hacia procesadores de pago y criptoactivos.  

“Quishing” al alza

El repunte del phishing vino acompañado por el “quishing”. En Reino Unido, Action Fraud registró 784 reportes y casi £3,5 millones perdidos entre abril de 2024 y abril de 2025. A escala global, datos del sector muestran promedios diarios de 2,7 millones de emails con QR detectados y que muchos pasan los filtros si no se inspeccionan imágenes y URLs dinámicas. 

Más palos para los suplantadores (frente regulatorio)

En abril de 2025, al cumplirse un año de la Impersonation Rule, la FTC destacó nuevas herramientas para demandar y multar a quienes se hacen pasar por agencias y empresas, y reportó “casi US$ 3.000 millones” en pérdidas por suplantación en 2024. El organismo además impulsó el cierre de más de una docena de sitios que imitaban a la propia FTC.  

Deepfakes y IA: la suplantación “de lujo”

La suplantación se sofisticó con voz y video sintéticos. ESET documentó el uso de deepfakes para reforzar fraudes tipo BEC, burlar controles de selfie/KYC y vehicular estafas de inversión. Un caso emblemático: la transferencia multimillonaria en Hong Kong tras una videollamada con ejecutivos “deepfake”, que puso en alerta a corporaciones de todo el mundo. 

Ingeniería social + fatiga MFA

Campañas recientes combinaron MFA bombing/push fatigue con vishing: saturan al usuario con solicitudes de reseteo y luego llaman haciéndose pasar por soporte para “verificar” un código único y tomar la cuenta. Investigaciones independientes lo documentaron con usuarios de Apple, evidenciando configuraciones débiles y capacitación insuficiente.  

Contexto hispano/UE: marcas suplantadas a tope

En España, INCIBE/OSI advirtió en junio‑julio de 2025 sobre campañas que suplantan marcas —como DHL— con falsos premios o mensajes de envíos para robar datos y pagos, con impacto reputacional y operativo para empresas.  

¿Dónde están fallando los controles? (patrones 2024‑2025)

Autenticación de dominio insuficiente. Sin DMARC en p=reject (y SPF/DKIM bien configurados), los correos falsos pasan por legítimos. La guía de CISA establece p=reject como política deseable por su mayor protección. 

Procesos débiles para cambios bancarios/proveedores. El propio FBI recomienda verificar por un segundo canal (call‑back a números ya registrados) los cambios de cuenta y solicitudes de pago, además de aplicar doble aprobación.  

MFA mal diseñada. Sin number‑matching y con prompts ilimitados, las cuentas quedan expuestas al push bombing. Microsoft ya lo estableció como mejora de seguridad por defecto. 

Concientización genérica. Los programas que no cubren deepfakes, quishing y vishing dejan puntos ciegos en finanzas y operaciones, tendencia descrita por APWG y ESET. 

Exceso de confianza en filtros de correo. Los QR en adjuntos y enlaces detrás de servicios legítimos (CDN, repositorios, acortadores) evaden controles si no se inspeccionan imágenes/URLs dinámicas y redirecciones. 

Señales de alerta y “quick wins” (30 días)

1) Finanzas/Compras (alto riesgo BEC)

• Verificación en dos canales para pagos y cambios de CBU/IBAN (el correo no es el canal de verificación).

• Doble firma para montos sensibles y lista blanca de cuentas destino.

• Frase anti‑BEC: ante pedidos urgentes, exigir al solicitante una palabra clave interna acordada (nunca por email).

2) Email y dominios

• Implementar SPF/DKIM y DMARC en p=reject; monitorear typosquatting y bloquear autoforwarding externo.

• Banner [EXTERNO] y despliegue del dominio real en el cliente de correo.  

3) Autenticación

• MFA con number‑matching y límite de prompts; bloquear aprobaciones tras X intentos en ventana corta para reducir MFA bombing.  

4) Concientización “situacional”

• Micro‑módulos: BEC de proveedor, vishing con caller ID falsificado, reunión de pago con deepfake, QR malicioso (política: “no escanear QR de emails; si es inevitable, hacerlo en entorno aislado”).  

5) Reuniones y videollamadas críticas

• Para órdenes de pago en call: cortar y rellamar a números ya registrados.

• Si hay video, pedir prueba viva simple (“mencione la última orden de compra y su número”) para frustrar deepfakes. 

KPIs para saber si su concientización y controles funcionan

• Tasa de reporte de intentos de suplantación (objetivo: ↑ mes a mes).

• Tiempo de reporte (objetivo: < 15 min desde el primer avistamiento).

• Click rate en simulaciones de BEC/QR/vishing (objetivo: ↓ sostenido).

• Cobertura DMARC en p=reject y % de dominios “look‑alike” bloqueados.

• % de cambios bancarios verificados con doble canal y doble firma.

• MFA: adopción de number‑matching en cuentas críticas.

El fraude evoluciona hacia la suplantación de alta fidelidad: del email que imita a un proveedor al ejecutivo “clonado” por IA. La respuesta eficaz combina verificar dos veces y pagar una: controles duros (DMARC, MFA robusta, doble canal de pago), detección más fina (QR/URLs dinámicas) y entrenamiento situacional que ponga a prueba a las personas donde hoy fallan los filtros.