Desde finales de 2024 y principios de este crepuscular 2025, España está experimentando una oleada masiva de correos fraudulentos que varían en todo tipo de casos. Uno de ellos, según el propio Instituto de Ciberseguridad de España, publicado hoy 2 de diciembre, es uno de los chantajes psicológicamente más devastadores: el de supuestos vídeos privados con contenido sexual.
Esta estafa, conocida como «sextorsión», explota el pánico, la vergüenza y la presión social para obligar a las víctimas a actuar movidas por el terror. Pero lo más sofisticado es que en sus correos se incluyen detalles reales del Banco de España, imágenes falsas que «comprueban» el supuesto vídeo y hasta contraseñas reales que se han filtrado anteriormente.
Es decir, que se crea una tapadera que parece extremadamente real, pero no lo es. El INCIBE ya está alertando oficialmente en su web de esta campaña, advirtiendo de que la inmensa mayoría de este tipo de amenazas están completamente vacías, por sofisticadas que sean. Los ciberdelincuentes no tienen vídeo alguno, pero el pánico hace su propio papel en un gran porcentaje de casos que sí llegan a pagarse por parte de usuarios asustados.
Cómo funciona la «sextorsión»
El correo de sextorsión típico llega con un asunto a nuestro correo del tipo «A la espera del pago». Y lo hacen de remitentes falsificados de dominios que no tienen relación con el Banco de España, pero lo parece realmente. De hecho, incluyen un pie de página con enlaces reales del banco para simular la legitimidad del mensaje.
El mensaje mezcla español y, a veces inglés, sin errores ortográficos, pero con una gramática poco oficiosa. El atacante adjunta una imagen, normalmente en formato tipo PNG o JPG donde deja entrever la «evidencia» del supuesto vídeo que compromete a la víctima. Como explicación, afirma que el usuario en algún momento instaló malware indetectable en su PC y que grabó al usuario en situaciones íntimas propias.
Junto a todo ello, se expone una amenaza clara: o pagas mediante Bitcoin, o expondrá el vídeo en todas las redes sociales supuestamente hackeadas en 48 horas. Pero lo que más terror puede generar es que algunos de esos correos incluyen contraseñas reales extraídas de brechas de seguridad para hacerlo aún más creíble. Ello junto a la presión temporal de 24-48 horas impide que la víctima razone con tranquilidad o busque ayuda. Según la propia Avast, en 2025, el uso de la IA ha sofisticado aún más este tipo de estafas y creado deepfakes con mensajes más logrados.
Cómo identificar el fraude y actuar
Una de las claves más importantes está en verificar el remitente real del correo. Hablamos no del nombre que se muestra, sino la dirección técnica. Los correos en este tipo de fraude provienen de un dominio que nada tiene que ver con el del Banco de España.
Además, has de tener en cuenta que la institución oficial del Banco de España JAMÁS pedirá un pago en Bitcoin ni solicitará un pago que pueda constituir un delito. Si a ello le añadimos la amenaza de las 48 horas, puedes estar seguro de que estás ante un caso de fraude. Pero puedes estar tranquilo, pues los estafadores no tienen videos de ti. Envían millones de correos idénticos esperando que un cierto porcentaje aporte ganancias.
Por lo tanto, lo primero que debes hacer en estos casos es bloquear el remitente y denunciarlo ante INCIBE a través del buzón de incidentes. O bien puedes optar por llamar a la Línea de Ayuda en Ciberseguridad: 017. Jamás respondas ni intentes comunicarte con el estafador, ya que confirmarías que tu cuenta está activa y podrías ser blanco de más ciberataques en el futuro.
En el caso de que hayas pagado antes de informarte, recopila todas las evidencias (correos, direcciones de pago, conversaciones…) y contacta al momento con las Fuerzas y Cuerpos de Seguridad, como la G.C. o la Policía Nacional. Por último, escanea tu dispositivo con un antivirus y llama al 017 de INCIBE para que te asesoren de manera personalizada. Pero siempre recuerda: la inmensa mayoría de las veces, el contenido sexual es ficticio. Pagar no previene nada.
