Las estafas actuales pueden empezar por llamadas, SMS, correo electrónico, anuncios en redes sociales, video, resultados de búsqueda y pantallas de pago. Los patrones más importantes son la suplantación de policías u organismos públicos, las ofertas de inversión en redes sociales, el phishing que imita marcas conocidas y las falsas alertas de soporte técnico. Suelen compartir tres elementos: urgencia, autoridad prestada y solicitudes de verificación de identidad o protección de activos.
Este artículo resume comprobaciones prácticas para personas y pequeñas empresas, con base en información pública de la Agencia Nacional de Policía de Japón, el Consejo Antiphishing de Japón, IPA y el FBI IC3. No existe un control único que evite todas las estafas, pero separar la verificación del contacto, los pagos, la identidad y la protección de cuentas ayuda a detener muchos ataques antes de perder dinero o datos.
Puntos clave
- Desconfíe de solicitudes de transferencia de activos, compra de oro, pagos en criptomonedas o verificaciones por video, incluso si la persona dice ser policía o funcionario público.
- Las estafas de inversión y romance en redes sociales suelen usar promesas de rentabilidad garantizada, respaldo oficial, celebridades o oportunidades privadas.
- El phishing ya no se limita al correo electrónico. Use aplicaciones oficiales, marcadores guardados o un gestor de contraseñas en lugar de enlaces recibidos.
- Las organizaciones deben separar la aprobación de pagos, cambios de cuentas bancarias de proveedores, recuperación de administradores y solicitudes urgentes de directivos.
- Si sospecha que la estafa tuvo éxito, conserve mensajes, URL, datos de pago y capturas; contacte pronto al banco, la policía, servicios de consumo y la plataforma afectada.
Principales puntos de entrada
| Entrada | Pretexto habitual | Respuesta más segura |
|---|---|---|
| Llamada o videollamada | Policía, fiscalía, banco o soporte | Cuelgue y contacte un número oficial buscado por usted |
| Anuncio o mensaje en redes | Inversión, trabajo secundario, consejo de celebridad, amistad o romance | Rechace pasar a chats privados o flujos de pago |
| Correo o SMS | Verificación, deuda, entrega, impuesto, alerta de cuenta | No use el enlace; revise en la app oficial o marcador |
| Pago o criptoactivo | Protección de fondos, investigación, tasa, depósito o reembolso | Deténgase si otra persona dirige la operación |
Suplantación de policía y organismos públicos
La Agencia Nacional de Policía de Japón informó que los casos reconocidos de fraude especial en 2025 llegaron a 27.832, con pérdidas de unos 142.310 millones de yenes. Un factor principal fue la suplantación de policías que alegaban investigaciones para exigir efectivo u otros activos. Esa modalidad sumó 11.014 casos y 100.500 millones de yenes en pérdidas. Las cifras provisionales hasta finales de abril de 2026 también muestran pérdidas importantes por fraude de inversión en redes sociales y suplantación policial.
Las alertas recientes describen delincuentes que afirman que existe una orden de arresto o que los activos deben entregarse para demostrar inocencia. Algunos casos incluyen oro; otros, exigencias indebidas por videollamada. La policía no suele resolver estos asuntos solo por redes o video, ni pedir traslados de activos, compra de oro, envío de criptomonedas o verificaciones invasivas. Si el contacto resulta amenazante o inusual, corte la conversación y use un canal público verificado.
Inversión y romance en redes sociales
En las cifras japonesas de 2025, el fraude de inversión en redes sociales causó 9.523 casos reconocidos y 128.800 millones de yenes en pérdidas. El fraude romántico en redes causó 5.645 casos y 54.640 millones de yenes. El primer contacto suele llegar mediante anuncios o mensajes directos, a veces con imágenes o videos de personas conocidas y promesas de rentabilidad garantizada.
Estas estafas rara vez empiezan pidiendo dinero de inmediato. Construyen confianza con conversación, ganancias aparentes, grupos privados y atención personal. Las señales de riesgo aumentan cuando la otra persona pide pasar a otra aplicación, abrir una cuenta de criptoactivos, compartir pantalla, subir documentos de identidad o enviar fondos a una plataforma recomendada por ella.
Evalúe el phishing por la ruta, no por el diseño
El Consejo Antiphishing de Japón registró 151.112 reportes de phishing en abril de 2026. El informe señala abuso de marcas de comercio electrónico, tarjetas, valores, banca, pagos y servicios en línea, además de smishing y redirecciones a pantallas de pago que imitaban impuestos, servicios públicos, seguros y facturación de tarjetas.
La apariencia visual no basta. Los atacantes copian logotipos, usan dominios parecidos, abusan de servicios en la nube, ocultan enlaces y compran anuncios en buscadores. Cuando un mensaje pide iniciar sesión, pagar, introducir tarjeta o códigos de un solo uso, cierre el mensaje y compruebe desde la aplicación oficial, un marcador guardado o un gestor de contraseñas que solo rellena datos en el sitio legítimo.
Soporte falso y fraude de correo empresarial
La lista de amenazas 2026 de IPA incluye phishing, soporte falso, uso indebido de banca en línea y extorsión o fraude por correo y redes sociales para personas. Para organizaciones, el fraude de correo empresarial sigue siendo una amenaza destacada. Estos ataques entran en flujos normales como facturas, proveedores, contratación, solicitudes de directivos y recuperación de cuentas.
El informe FBI IC3 2025 también identifica fraude de inversión, fraude de correo empresarial y soporte técnico falso como fuentes importantes de pérdidas. Como los medios sintéticos y las herramientas de lenguaje hacen más convincentes los mensajes, audios, videos y perfiles, no basta con buscar errores de redacción o imágenes sospechosas. Cambios de pago, transferencias urgentes, recuperación de cuentas o solicitudes de secreto deben verificarse por otro canal.
Defensas prácticas para personas
- Use passkeys o autenticación multifactor para banca, valores, pagos, correo y redes siempre que sea posible.
- No reutilice contraseñas y permita que el gestor abra el sitio legítimo.
- Para inversión, reembolsos, beneficios públicos, deudas, policía o gobierno, verifique con un canal encontrado por usted.
- Defina una regla familiar: pausar y consultar antes de enviar dinero, documentos, códigos o acceso de pantalla.
- Revise la privacidad en redes y reduzca información pública útil para suplantaciones.
Controles para empresas
La prevención no es solo tarea de TI. Quien recibe facturas, quien aprueba pagos, quien gestiona anuncios y quien responde a clientes pueden ser atacados por canales distintos. Los riesgos comunes incluyen chats falsos del director, cambios de cuenta bancaria de proveedores, malware disfrazado de candidatura y toma de cuentas publicitarias.
Empiece por los procesos que mueven dinero o controlan cuentas. Exija verificación por otro canal para cambios bancarios, doble aprobación para pagos urgentes, autenticación fuerte para administradores, revisiones de permisos de redes y anuncios, y métodos de contacto claros para clientes. Es más eficaz crear un procedimiento de pausa segura que exigir a todos detectar perfectamente cada mensaje sospechoso.
Si sospecha daño
Si ya envió dinero o datos personales, actúe rápido y conserve pruebas. Contacte al banco o emisor de la tarjeta, cambie contraseñas, revise dispositivos, avise al servicio afectado y guarde mensajes, teléfonos, URL, datos de pago, direcciones de criptoactivos y capturas.
También tenga cuidado con estafas de recuperación. Otro delincuente puede prometer recuperar fondos por una tarifa anticipada. Limite la ayuda a instituciones verificadas como policía, servicios de consumo, entidades financieras y el servicio oficial involucrado.
FAQ
¿Qué hago si alguien dice ser policía?
Pida el departamento y el motivo, luego termine la llamada. No use números o enlaces dados por la persona. Busque un contacto oficial y verifique por separado. Las solicitudes de activos, oro, criptoactivos o verificaciones por video son especialmente peligrosas.
¿Y si alguien conocido en línea recomienda invertir?
No base la inversión en la relación personal. Chats separados, plataformas privadas, criptoactivos, ganancias pequeñas mostradas y presentaciones exclusivas son señales de alerta. Verifique registro y legitimidad antes de cualquier pago.
¿Hay una forma sencilla de saber si un correo es real?
No existe un método perfecto. Un mensaje puede parecer profesional y ser falso. El hábito más seguro es evitar enlaces recibidos y revisar desde la aplicación oficial, marcador o gestor de contraseñas.
¿Por dónde debe empezar una empresa?
Revise cambios de cuentas bancarias, pagos urgentes, recuperación de administradores y permisos de cuentas publicitarias. Exija verificación doble o por otro canal antes de mover dinero o privilegios.
Referencias
- Agencia Nacional de Policía de Japón SOS47: cifras hasta abril de 2026
- Agencia Nacional de Policía de Japón SOS47: fraude especial e inversión/romance en redes en 2025
- Agencia Nacional de Policía de Japón SOS47: tácticas de suplantación policial
- Agencia Nacional de Policía de Japón SOS47: sitios falsos y anuncios fraudulentos de gobierno
- Consejo Antiphishing de Japón: informe de abril de 2026
- IPA: 10 principales amenazas de seguridad de la información 2026
- FBI IC3: informe de delitos en Internet 2025