EscucharAhora que se discute en la Asamblea Legislativa el proyecto de ley que responsabiliza a los bancos en casos de estafas electrónicas, no sobra decir que eso no detendrá que usted o su empresa sufran un fraude de este tipo.
Un empleado de una institución de salud perdió el dinero que iba a usar para pagar el abono de su casa: más de ¢5 millones durante la madrugada del 7 de abril del 2025.
Mientras él dormía los ciberdelincuentes saqueaban su cuenta bancaria con una transferencia mediante Sinpe y otras dos transferencias bancarias: a un banco público y a uno privado. Habían intentando ingresar en más de 10 ocasiones para generar un PIN y hasta que lograron entrar a la cuenta y al correo.
¿Cómo obtuvieron esos datos? La hipótesis principal es que el empleado habría ingresado a una página clonada de su entidad financiera, un método que se conoce como phishing. Él no recuerda si contestó correos electrónicos sospechosos, llamadas extrañas o que interactuara con alguien que le hiciera sospechar.
“Me generaron una clave virtual”, le dijo a Christian Montero, de La Nación. “Yo antes tenía la tarjeta física, por lo que no sabemos aún cómo accedieron a mi cuenta y a mi correo electrónico”.
Los ciberdelincuentes no solo estafan a los usuarios. También las empresas caen.
Una empresa costarricense fue víctima de una estafa especializada conocida como Business Email Compromise (BEC), donde se comprometen los correos electrónicos empresariales.
El Organismo de Investigación Judicial (OIJ) reporta aproximadamente 10 casos al año en Costa Rica con pérdidas desde $15.000 hasta $1,5 millones, reportó diario Extra. En este caso, los ciberdelincuentes son muy pacientes.
En este tipo de estafa, el ciberdelincuente se hace pasar por alguien de confianza, un gerente general de otra compañía, un posible proveedor o un potencial aliado que engaña a la firma víctima para que realicen transferencias de dinero. Como este tipo de acuerdos tardan tiempo, la estafa se concreta a los meses.
Los ciberdelincuentes estudian primero a la empresa, a sus responsables y la operación que realizan y utilizan una dirección de un correo empresarial de un ejecutivo o empleado al cual suplantan o uno con una dirección legítima.
Con un correo visualmente engañoso, envían el mensaje cuidadosamente elaborado con el tono y estilo de la persona suplantada donde crean un sentido de urgencia (“necesito esto ya”). Pura “ingeniería social”.
Si la víctima responde con preguntas, el estafador continúa la conversación para mantener la farsa y reforzar la urgencia o la confidencialidad. Incluso, solicitará o invitará a su víctima para que verifique la solicitud por otros medios (como llamar por teléfono o hablar con colegas).
Convencida por la legitimidad de su interlocutor, la víctima realiza la acción solicitada: inicia una transferencia bancaria a la cuenta controlada por el estafador.
El éxito que tienen en este tipo de estafas está provocando que los delincuentes “comunes” prefieran esta modalidad de robo que los típicos antes de la era digital.
Los datos
Las denuncias por estafas electrónicas aumentaron de las poco más de 3.100 a más de 13.000 entre 2022 y 2025 en Costa Rica. Por día pasaron de 19 en 2024 a 38 en 2025.
Solo en la provincia de San José los estafadores informáticos sustrajeron más de ¢7.000 millones entre 2022 y 2024. En el primer semestre del 2025 un total de 4.156 denuncias por fraudes cibernéticos en todo el país sumaron ¢2.600 millones de pérdidas económicas.
Las autoridades advirtieron que, con el ritmo de crecimiento actual, las estafas electrónicas se convertirían en el principal delito del país al finalizar este año 2026.
En todos los casos, los fraudes electrónicos fueron detectados en su mayoría cuando los afectados revisaron sus cuentas bancarias y encontraron transacciones que nunca autorizaron.
“Un hackeo de una cuenta funciona como un proceso: tiene etapas”, explicó Mario Micucci, investigador de Seguridad Informática de ESET Latinoamérica. “Accionar rápido es clave, ya que el ataque podría quedar en la nada o tener un impacto mínimo. Marca la diferencia entre que todo quede en una anécdota o la pérdida de datos sensibles y dinero”.
Actúe
Por eso, ESET recomienda actuar lo más rápido posible, siempre que uno se encuentre despierto.
Frenar el daño (minuto 0–2): el primer paso es desconectar el dispositivo de Internet (tanto el Wi-Fi como los datos). Si la cuenta vulnerada es en línea (sea correo electrónico, red social o banco) se debe cerrar sesión en todos los dispositivos siempre que la plataforma lo permita. En este paso aún no es aconsejable borrar nada todavía, ya que puede servir como evidencia para entender la naturaleza del ataque.
Asegurar el acceso (minuto 3–6): cambiar la contraseña de la cuenta comprometida desde un dispositivo seguro, es fundamental que sea una clave única y robusta. Además, como buena práctica, activar el doble factor de autenticación (2FA) siempre que sea posible. Si la plataforma hackeada lo permite, cerrar todas las sesiones activas y revocar los accesos de aplicaciones conectadas.
Revisar otras cuentas no afectadas (minuto 7–10): en el caso de reutilizar la misma contraseña en diversas cuentas, se deben actualizar las claves en todos los servicios y plataformas, para evitar que sean hackeadas también. También, se debe verificar si no hubo cambios en los datos de contacto, mensajes enviados que no se reconozcan, y compras o movimientos extraños. Además, siempre que sea posible, revisar el historial de inicios de sesión y la actividad reciente para detectar accesos no reconocidos.
Un área para destacar es el correo electrónico, debido a que suele ser la puerta de recuperación del resto de las cuentas. Entonces, si un ciberatacante controla el mail, podrá volver a entrar al resto de los servicios. Es por lo que asegurar el correo es clave para evitar que el hackeo se repita.
Escanear y limpiar (minuto 11–13): realice un análisis de seguridad completo en el dispositivo vulnerado y elimine todo tipo de software, extensiones o aplicaciones que no se hayan instalado. A su vez, actualice tanto el sistema operativo como las apps que se utilizan.
Avisar y prevenir (minuto 14–15): parte de actuar rápido y de manera correcta ante un hackeo es avisar a los contactos. Básicamente porque el ciberatacante pudo escribirles para solicitar dinero o cometer cualquier tipo de estafa. También se debe reportar el incidente a la plataforma cuestión (correo electrónico, red social, banco), sobre todo si hay datos sensibles o dinero involucrados. Si hackearon los servicios financieros, contactar de inmediato a la entidad para bloquear operaciones y monitorear todos los movimientos.
Buenas prácticas
Implemente también buenas prácticas para reducir sensiblemente el riesgo de sufrir un hackeo de las cuentas:
Active el doble factor de autenticación: además de requerir un nombre de usuario y contraseña, solicita el ingreso de un segundo factor, que podría ser un código de seguridad o un dato biométrico. En muchos casos, bloquea por completo el acceso del cibercriminal, incluso si la contraseña fue comprometida.
Utilice contraseñas fuertes: las contraseñas más utilizadas por los usuarios siguen siendo “123456”, nombres y fecha de nacimiento. El problema es que son claves muy fáciles de descifrar para los cibercriminales. La solución es crear contraseñas fuertes, únicas y que no sean reutilizadas. El mejor aliado para eso es un generador de contraseñas, que crea credenciales fuertes y únicas.
Actualice software y aplicaciones: cuando llegue una notificación de pedido de actualización, lo ideal es hacerlo de inmediato, ya que es necesario para corregir posibles fallos o vulnerabilidades del sistema.
Preste atención a los correos de phishing: el phishing es una de las prácticas más utilizadas por los cibercriminales para obtener los datos de acceso a las distintas cuentas. Prestar atención a ciertas señales puede ser clave para evitar ser víctima de este ataque. Una alarma, por ejemplo, puede ser que el correo electrónico no está dirigido, o presenta errores gramaticales y ortográficos.
Instale una solución de seguridad: en cualquier tipo de dispositivo que se utilice, debe contar con una solución de seguridad robusta es casi imperativo, ya que representa una barrera de defensa contra las ciberamenazas, incluyendo el mencionado phishing.
“Frente a un hackeo, los primeros enemigos suelen ser el pánico y la ansiedad. Por eso, contar con un plan de acción permite tomar mejores decisiones”, dijo Micucci.
