AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Noticias

### Los hombres, principales víctimas de las estafas románticas digitales: casi el doble que las mujeres

admin

#### Introducción

El Día de San Valentín representa una de las fechas más señaladas para los ciberdelincuentes especializados en fraudes románticos. Según los últimos informes, los hombres son casi el doble de propensos que las mujeres a caer en las trampas de las llamadas “romance scams”, un vector de ataque que sigue en auge y que se adapta continuamente a nuevos entornos digitales y plataformas sociales. Este fenómeno plantea serios retos para CISOs, analistas SOC y profesionales de la ciberseguridad encargados de proteger tanto infraestructuras empresariales como usuarios finales frente a campañas de ingeniería social cada vez más sofisticadas.

#### Contexto del Incidente o Vulnerabilidad

Las estafas románticas no son un fenómeno nuevo, pero han experimentado un preocupante repunte en los últimos años, especialmente durante fechas señaladas como San Valentín. Las técnicas empleadas han evolucionado, pasando de simples mensajes en redes sociales a complejas campañas multicanal que se apoyan en plataformas de citas, aplicaciones de mensajería instantánea y redes sociales. Los atacantes emplean perfiles falsos cuidadosamente elaborados para ganarse la confianza de sus víctimas, estableciendo relaciones que pueden durar semanas o incluso meses antes de solicitar dinero o datos personales sensibles.

Un análisis reciente de la Federal Trade Commission (FTC) y de organismos europeos de ciberseguridad revela que en 2023 las pérdidas globales por romance scams superaron los 1.300 millones de dólares, con una media individual de 4.400 dólares por víctima. Un 62% de estos incidentes afectaron a hombres, lo que supone casi el doble de la tasa registrada entre mujeres.

#### Detalles Técnicos

Desde el punto de vista técnico, las campañas de romance scams emplean técnicas de ingeniería social (MITRE ATT&CK T1204: User Execution) y manipulación emocional (T1566: Phishing). Los atacantes suelen utilizar spear phishing a través de plataformas de citas como Tinder, Bumble o Meetic, así como redes sociales generalistas como Facebook e Instagram.

Los indicadores de compromiso (IoC) más habituales incluyen:

– Perfiles recién creados con escasa actividad previa.
– Solicitud de comunicación fuera de la plataforma (WhatsApp, Telegram, Signal).
– Petición de transferencias económicas a través de criptomonedas, tarjetas regalo o servicios de pago instantáneo.
– Uso de imágenes de stock o robadas (frecuentemente detectables con herramientas de OSINT como Google Reverse Image Search).
– Solicitud de datos personales o bancarios bajo pretextos emocionales.

En algunos casos se han utilizado frameworks de automatización y bots para escalar campañas masivas, dificultando la detección temprana. Además, se han documentado casos donde los atacantes aprovechan vulnerabilidades en APIs de servicios de mensajería para eludir controles antifraude.

#### Impacto y Riesgos

El impacto de las estafas románticas trasciende la pérdida económica. Para las empresas, la filtración de datos personales de empleados puede convertirse en una brecha de seguridad (GDPR, art. 32), especialmente si se utilizan credenciales corporativas para acceder a plataformas no autorizadas. Además, el robo de identidad puede dar lugar a ataques de phishing dirigidos y fraudes financieros a mayor escala.

Desde un punto de vista de compliance, la exposición de datos personales en este tipo de fraudes puede suponer sanciones importantes bajo la legislación europea, como el GDPR o la inminente Directiva NIS2, que refuerza la obligatoriedad de reportar incidentes de seguridad en plazos reducidos.

#### Medidas de Mitigación y Recomendaciones

Para mitigar el riesgo asociado a las romance scams, se recomienda:

– **Formación y concienciación:** Programas regulares de formación para empleados sobre ingeniería social y fraude online.
– **Sistemas de DLP:** Implantar soluciones de prevención de fuga de datos que detecten la exposición de información sensible en canales no autorizados.
– **Monitorización de redes sociales:** Uso de herramientas de threat intelligence para identificar perfiles fraudulentos y campañas activas.
– **Políticas de uso de dispositivos y acceso:** Restringir el uso de plataformas de citas en dispositivos corporativos mediante listas blancas/negra y soluciones MDM.
– **Alertas tempranas:** Integrar indicadores de compromiso en los sistemas SIEM y establecer correlaciones con eventos de autenticación sospechosos.

#### Opinión de Expertos

Fernando Sánchez, CISO de una importante empresa del IBEX 35, subraya: “La ingeniería social sigue siendo el mayor vector de ataque. Los atacantes saben explotar las vulnerabilidades humanas mejor que las técnicas; por ello, la formación y la monitorización proactiva son esenciales”.

Por otro lado, Laura Martín, analista senior de riesgos, apunta que “los hombres tienden a compartir más información personal en redes, facilitando el trabajo de los atacantes. Las campañas de concienciación deben adaptarse a los distintos perfiles de usuario y a los riesgos específicos de cada género y rango de edad”.

#### Implicaciones para Empresas y Usuarios

Las empresas deben considerar las romance scams como parte de su matriz de riesgos, especialmente en sectores donde la exposición pública de empleados es elevada (consultoría, banca, tecnología). La protección de la identidad digital y la gestión de incidentes relacionados con fraudes personales pasan a ser una responsabilidad compartida entre el usuario y la organización.

A nivel usuario, es imprescindible desconfiar de contactos desconocidos que soliciten información sensible o transferencias, así como verificar la identidad de los interlocutores por canales independientes.

#### Conclusiones

El auge de las estafas románticas, especialmente dirigidas a hombres durante periodos como San Valentín, pone de manifiesto la necesidad de ampliar el enfoque tradicional de la ciberseguridad. La gestión del riesgo humano y la protección de la identidad digital se sitúan en el centro de la estrategia, requiriendo una colaboración activa entre profesionales, empresas y usuarios. La anticipación, la formación y el uso de tecnología avanzada serán clave para frenar este tipo de amenazas en constante evolución.

(Fuente: www.darkreading.com)