Las estafas ya no empiezan solo con una llamada sospechosa.
También llegan por SMS, correo electrónico, redes sociales, anuncios de búsqueda, aplicaciones de citas y aplicaciones de pago.
La defensa práctica no consiste en memorizar cada frase dudosa, sino en decidir de antemano cómo verificar una solicitud por una vía independiente y confiable.
La información publicada por la Agencia Nacional de Policía de Japón, el Council of Anti-Phishing Japan, la Agencia de Asuntos del Consumidor y la Agencia de Servicios Financieros muestra tres prioridades.
- Las pérdidas por estafas de inversión en redes sociales y falsas llamadas de la policía siguen siendo elevadas.
- El uso indebido de cuentas y credenciales reales puede hacer que el phishing parezca más creíble.
- Pagos públicos, facturas de telecomunicaciones, servicios financieros, entregas y aplicaciones de pago se usan como pretexto para llevar a la víctima al pago.
Este artículo resume lo que deberían comprobar personas, familias, operadores de sitios web y empresas antes de confiar en una solicitud.
La Regla Principal
Cuando un mensaje o llamada crea urgencia, no utilices el enlace, número de teléfono, código QR, destino de transferencia ni pantalla de pago que aparecen en ese contacto.
Verifica mediante una aplicación oficial, un sitio oficial guardado en marcadores, un número impreso en un contrato o tarjeta, o el sitio web público de una institución.
Este paso adicional es necesario porque las estafas actuales combinan nombres familiares, pantallas convincentes y presión para actuar rápido.
Qué Muestran las Advertencias Públicas
Las estafas de inversión en redes sociales y las falsas llamadas policiales tienen alto impacto
Según las cifras provisionales publicadas por el proyecto SOS47 de la Agencia Nacional de Policía para el final de mayo de Reiwa 8, el total de la tabla muestra 18.067 casos reconocidos y 151.470 millones de yenes en pérdidas.
Dentro de esa tabla, las estafas de inversión en redes sociales sumaron 5.099 casos y 70.040 millones de yenes en pérdidas, mientras que las falsas llamadas policiales sumaron 3.667 casos y 40.320 millones de yenes en pérdidas.
Las estafas de inversión suelen generar confianza diciendo que una persona conocida recomienda el esquema, que se puede empezar con poco dinero o que los beneficios se ven dentro de una aplicación dedicada.
Las falsas llamadas policiales usan expresiones como orden de arresto, verificación de bienes o prueba de inocencia para aislar a la víctima y quitarle tiempo para consultar.
Aunque el primer contacto sea una llamada o un mensaje en redes sociales, el proceso puede pasar a chat privado, videollamadas, transferencias bancarias, criptoactivos, compra de metales preciosos o aplicaciones de pago.
Se ha informado de phishing enviado mediante credenciales de ISP mal utilizadas
El Council of Anti-Phishing Japan ha advertido sobre correos de phishing que parecen haber sido enviados tras el uso indebido de credenciales o cuentas de correo de ISP nacionales.
Entre los ejemplos figuran asuntos que imitan restricciones de tarjetas, restricciones de cuentas de Amazon y problemas de entrega de paquetes.
Un remitente o asunto que parece natural no hace que el mensaje sea seguro si conduce al inicio de sesión, pago o entrega de datos personales mediante un enlace.
El consejo recomienda a los usuarios de servicios afectados considerar el cambio de contraseña y acceder mediante aplicaciones oficiales o marcadores, no mediante enlaces incluidos en mensajes.
Los pagos públicos se usan para inducir pagos en aplicaciones
Se ha informado de un caso de phishing que imita solicitudes de pago de la pensión nacional y dirige al usuario desde el correo electrónico al pago mediante la aplicación PayPay.
Impuestos, primas de seguros, servicios públicos, entregas y restricciones de tarjetas son temas frecuentes porque crean urgencia y están cerca de la vida cotidiana.
Antes de abrir una pantalla de pago, confirma la solicitud con el sitio oficial, el municipio, la oficina de pensiones o la entidad financiera correspondiente.
También requieren atención los esquemas de telecomunicaciones y falsa policía
La Agencia de Asuntos del Consumidor ha advertido sobre operadores que se hacen pasar por grandes empresas de telecomunicaciones y por policías, y que exigen cargos administrativos ficticios afirmando que existe una orden de arresto.
La agencia describe consultas en las que una llamada desde un número internacional primero se presenta como una gran empresa de telecomunicaciones y después transfiere a la víctima a alguien que se hace pasar por policía.
Si una persona dice llamar desde una empresa de telecomunicaciones o desde la policía, cuelga y llama de nuevo a un número oficial publicado.
Comprobaciones que Conviene Decidir de Antemano
| Situación | Flujo peligroso | Qué comprobar |
|---|---|---|
| Correo o SMS | Un enlace pide datos de inicio de sesión, tarjeta o información personal | No uses el enlace; comprueba desde la aplicación oficial o un marcador |
| Llamada telefónica | Se exige pago por facturas impagas, arrestos, bloqueo de cuenta o verificación de identidad | Cuelga y llama al número oficial de un contrato o sitio público |
| Redes sociales | Inversión, romance, trabajo adicional u ofertas laborales pasan a un chat privado | Verifica identidad, registro y destinatario del pago por otra vía |
| Aplicación de pago | Un pago público, reembolso o comisión lleva a una transferencia | Confirma si la organización oficial indica ese método de pago |
| Cuentas | Una contraseña reutilizada permite secuestrar varios servicios | Deja de reutilizar contraseñas y activa autenticación multifactor con un gestor de contraseñas |
Frases como actúa ahora, no se lo digas a nadie, mantén la videollamada abierta o comparte tu pantalla deben tratarse como señales de alerta.
Aunque la explicación parezca plausible, la presión para impedir la verificación ya es una señal de riesgo.
Reglas para Familias y Equipos
La prevención falla cuando depende solo de la atención de una persona.
Familias y equipos deberían acordar reglas simples antes de una crisis.
- No decidir a solas sobre dinero, verificación de identidad, recuperación de cuentas, policía, impuestos o inversiones.
- Si una llamada o chat presiona, terminar el contacto sin discutir.
- Definir una frase de verificación familiar o un flujo interno de aprobación.
- Requerir confirmación de otra persona para transferencias bancarias, compra de criptoactivos, tarjetas regalo y pagos por aplicaciones.
- Guardar capturas, números de teléfono, fechas, destinos de pago y nombres de cuenta cuando haya un contacto sospechoso.
Las personas jóvenes también son objetivo mediante inversiones, aplicaciones de citas, trabajos secundarios, ofertas laborales y anuncios en redes sociales.
Las rutinas de verificación son más fiables que la confianza en los conocimientos digitales personales.
Qué Deben Revisar Empresas y Operadores de Sitios
Las empresas deben facilitar que los clientes distingan una comunicación oficial de una suplantación cuando se abuse del nombre o dominio de la compañía.
La Agencia Nacional de Policía recomienda considerar tecnologías de autenticación del remitente como SPF, DKIM y DMARC como parte de las medidas contra el phishing.
DMARC es importante porque permite al remitente indicar cómo deben tratar los sistemas receptores los correos que no superan la autenticación.
- Limitar los dominios oficiales de envío y publicarlos claramente para los clientes.
- Configurar SPF, DKIM y DMARC, y revisar los informes de DMARC de forma periódica.
- Evitar URL acortadas y dominios externos poco naturales en instrucciones de inicio de sesión o pago.
- Preparar plantillas de aviso, flujos de soporte y páginas de preguntas frecuentes para incidentes de phishing.
- Revisar anuncios, afiliados y campañas de socios para que la urgencia comercial no parezca una estafa.
- Indicar claramente que el soporte no pedirá contraseñas, códigos de un solo uso ni números completos de tarjeta.
Aunque la empresa no haya sido vulnerada, credenciales filtradas, dominios parecidos, espacios publicitarios y cuentas sociales pueden ser utilizados indebidamente.
Una ruta oficial de verificación clara es una medida de confianza y seguridad.
Si Ya Introdujiste Datos o Enviaste Dinero
Actuar después del incidente todavía puede reducir daños adicionales.
- Contacta con la emisora de la tarjeta, el banco o el servicio de pago y solicita suspensión o investigación.
- Cambia las contraseñas reutilizadas desde otro dispositivo y activa la autenticación multifactor.
- Revisa el historial de inicio de sesión y los datos de recuperación en correo, redes sociales, comercio electrónico y cuentas financieras.
- Contacta con el canal de consulta adecuado, como el número policial #9110, la línea del consumidor 188, la Agencia de Servicios Financieros o la Comisión de Vigilancia de Valores y Bolsa.
- Informa de mensajes o sitios sospechosos a organizaciones como el Council of Anti-Phishing Japan.
Retrasar la consulta por vergüenza puede permitir que el daño se extienda a cuentas, trabajo y familiares.
Cuanto antes se informe, más opciones quedan.
Preguntas Frecuentes
¿Y si el mensaje puede ser realmente de una empresa u oficina pública?
No uses el enlace ni el número de teléfono del mensaje.
Comprueba mediante una aplicación oficial, un sitio oficial guardado, un documento contractual o el sitio de la institución pública.
¿Una URL es segura si se parece a la real?
No necesariamente.
Dominios parecidos, subdominios, caracteres engañosos y sitios falsos impulsados por anuncios pueden parecer plausibles.
¿Cuándo debo detener una conversación sobre inversión o trabajo adicional?
Detente si no puedes verificar el registro, si se garantizan beneficios, si te llevan a un chat externo, si te apuran a endeudarte o pagar, o si exigen una comisión antes de retirar dinero.
¿Qué deberían publicar las empresas para sus clientes?
Deben publicar dominios oficiales, aplicaciones oficiales, métodos de pago, información que el soporte nunca solicitará y vías de contacto en caso de emergencia.
También deben preparar autenticación de remitente y un proceso de aviso ante incidentes.
Resumen
La prevención de estafas no consiste en memorizar palabras sospechosas.
Consiste en verificar por otra vía, rechazar pagos o credenciales urgentes y definir reglas de consulta antes de que empiece la presión.
Las personas deben usar rutas oficiales y las empresas deben hacer que esas rutas sean claras.
Con ambos hábitos mejora la resistencia frente al phishing, las estafas de inversión en redes sociales, la falsa policía y los cobros ficticios.
Referencias
- Agencia Nacional de Policía SOS47: casos reconocidos y aclarados de fraude hasta finales de mayo de Reiwa 8
- Agencia Nacional de Policía SOS47: métodos característicos de la falsa policía
- Agencia Nacional de Policía: medidas contra el phishing
- Council of Anti-Phishing Japan: correos de phishing enviados mediante credenciales de ISP nacionales mal utilizadas
- Council of Anti-Phishing Japan: phishing que suplanta solicitudes de pago de la pensión nacional
- Agencia de Asuntos del Consumidor: advertencia sobre suplantación de telecomunicaciones y policía
- Agencia de Servicios Financieros: nombres de operadores financieros no registrados
