El panorama de la ciberseguridad global ha sufrido una transformación radical en el último lustro. Según el Global Cybersecurity Outlook 2025 del Foro Económico Mundial, el fraude cibernético y el phishing han desplazado al ransomware como la principal preocupación.

Esta mutación en la percepción del riesgo responde a una realidad ineludible: el cibercrimen se ha democratizado y profesionalizado. Ya no se requiere ser un hacker de élite para vaciar una cuenta bancaria; basta con adquirir kits de phishing en la Dark Web o contratar servicios de “fraude como servicio” (Fraud-as-a-Service).

1) Crecimiento de intentos de estafas

En la República Argentina, esta tendencia global se ve exacerbada por factores locales como la crisis económica, la adopción masiva y a veces desordenada de billeteras virtuales y una cultura de informalidad cambiaria. El informe de gestión 2024 de la UFECI es lapidario: se registró un aumento interanual del 21,1% en la cantidad de reportes de delitos informáticos, alcanzando la cifra récord de 34.468 denuncias, frente a las 28.456 de 2023.(ver).

El impacto de estas cifras trasciende lo numérico. Un estudio focalizado en la ciudad de Mar del Plata, realizado por la Universidad FASTA, revela que la victimización es omnipresente: uno de cada tres habitantes (34%) fue víctima directa de un ciberdelito en el último año, y un abrumador 71% conoce a alguien en su círculo cercano que ha sido estafado.

La tecnología es el medio, pero la mente humana es el objetivo. La ingeniería social, definida como el arte de manipular a las personas para que cedan información confidencial, sigue siendo el vector de ataque más eficaz, presente en más del 80% de los incidentes de seguridad.

El cerebro humano opera bajo dos sistemas de pensamiento, descritos por el psicólogo Daniel Kahneman: el Sistema 1 (rápido, intuitivo, emocional) y el Sistema 2 (lento, deliberativo, lógico). Los ciberdelincuentes diseñan sus guiones (scripts) para forzar a la víctima a operar exclusivamente bajo el Sistema 1.

A través de la inducción de estados emocionales intensos —miedo, urgencia, euforia o curiosidad— logran lo que se conoce como un “secuestro de la amígdala”. En este estado, la capacidad del córtex prefrontal para evaluar riesgos y consecuencias se ve severamente inhibida.

Robert Cialdini, experto en la ciencia de la persuasión, identificó principios que los estafadores aplican con precisión quirúrgica

1. Autoridad: La suplantación de identidad (impersonation) de entidades como bancos, la AFIP, el Ministerio de Salud o Correo Argentino explota nuestra tendencia evolutiva a obedecer a figuras de poder o instituciones oficiales. El uso de logos, lenguaje técnico y referencias a leyes o normativas (“Ley de Blanqueo”, “Bloqueo por Normativa A del BCRA”) paraliza el escepticismo natural.

2. Escasez y Urgencia: “Su cuenta será bloqueada en 2 horas”, “Oferta válida solo por hoy”. La percepción de una pérdida inminente activa la aversión a la pérdida, un sesgo cognitivo que nos motiva más a evitar perder algo que a ganar algo de igual valor. El estafador impone un cronómetro artificial para impedir que la víctima verifique la información.

3. Prueba Social y Simpatía: En las estafas de WhatsApp (“Hola, agendá mi número nuevo”), el atacante se aprovecha de la confianza preexistente. Si el mensaje parece venir de un hijo o un amigo, la guardia baja inmediatamente. El cerebro busca coherencia y confía en los vínculos cercanos, lo que hace que el engaño sea devastadoramente efectivo cuando se triangula a través de contactos conocidos.

2) Anatomía del Engaño – Modalidades y Mecánicas

El arsenal de los ciberdelincuentes es vasto y dinámico. A continuación, se detallan las modalidades más prevalentes en el período 2024-2025, desglosando su funcionamiento técnico y psicológico.

2.1. Phishing 3.0

El phishing tradicional por correo electrónico ha mutado hacia formas más dirigidas y multiplataforma. Ya no se trata solo del “Príncipe Nigeriano” con mala ortografía; hoy enfrentamos campañas de spear phishingaltamente personalizadas.

2.1.1. El Caso Correo Argentino y la Aduana

Una de las campañas más persistentes en Argentina explota el auge del comercio electrónico internacional. La víctima recibe un SMS (smishing) o un correo electrónico con la estética visual exacta de Correo Argentino.

• El Gancho: “Su envío internacional procedente del exterior se encuentra retenido en la sucursal de distribución debido a una diferencia en la tasa de gestión aduanera”.

• La Trampa: Se solicita el pago de un monto menor (ej. $5.000 o $10.000), una cifra que no genera grandes alarmas financieras pero que es suficiente para justificar el uso de una tarjeta de crédito.

• El Desenlace: Al hacer clic en “Pagar Tasas”, la víctima es redirigida a un sitio clonado. Al ingresar los datos de la tarjeta, no solo se realiza el cobro fraudulento, sino que los datos del plástico quedan capturados para realizar compras masivas o suscripciones en el acto.

2.1.2. La Falsa Autoridad Fiscal (AFIP)

Aprovechando la complejidad del sistema tributario, los estafadores envían correos alertando sobre “Deudas Pendientes”, “Embargos Judiciales” o “Necesidad de recategorización de Monotributo”.

• El Vector de Ataque: Estos correos suelen incluir archivos adjuntos (PDFs o Excels) o botones de “Verificar Estado”. Al descargar el archivo o acceder al enlace, se descarga en segundo plano un malware (troyano bancario) capaz de registrar las pulsaciones del teclado (keylogger) y robar las credenciales de acceso a la web real de AFIP y homebanking.

2.2. El DEBIN y la Estafa Inversa

El Débito Inmediato (DEBIN) fue diseñado por el Banco Central para agilizar los cobros, permitiendo que quien cobra envíe una solicitud a quien paga. Sin embargo, su interfaz y concepto resultaron contraintuitivos para gran parte de la población, convirtiéndolo en un arma predilecta para estafadores en plataformas de compraventa como Facebook Marketplace.¹

• El Escenario: Un usuario pone a la venta un producto (ej. una consola de juegos o muebles usados). El estafador se muestra muy interesado, no regatea el precio y promete una transferencia inmediata para “señar” el producto antes de que otro se lo lleve.

• La Manipulación: El estafador afirma: “Te voy a transferir ya mismo, pero como es una cuenta empresa/jurídica, tenés que aceptarme el ingreso del dinero en tu homebanking. Te va a llegar un aviso”.

• La Ejecución: El estafador, que tiene el CBU/Alias de la víctima (dato público para transferir), genera un DEBIN contra la cuenta de la víctima.

• El Error Fatal: A la víctima le llega una notificación al celular: “Solicitud de DEBIN recibida”. En la ansiedad de la venta, y confundido por la terminología, la víctima acepta, creyendo que está aceptando recibir dinero. En realidad, está autorizando que le debiten (saquen) dinero de su cuenta.

2.3. El Secuestro de WhatsApp y la Identidad Digital

El robo de cuentas de WhatsApp representa una crisis de identidad digital. En 2024, el 30% de los reportes de acceso ilegítimo correspondieron a esta aplicación. La mecánica es simple pero efectiva, basándose en la obtención del código de verificación de 6 dígitos que WhatsApp envía por SMS al registrar un número en un nuevo dispositivo.

2.3.1. Variantes del “Cuento del Código”

1. La Vacuna/Turno Médico: Durante las campañas de vacunación.  los estafadores llamaban simulando ser del Ministerio de Salud. “Tenemos su turno asignado. Para confirmarlo en el sistema y que no se pierda, dícteme el código de turno que le acaba de llegar por SMS”.

2. El Repartidor: “Hola, soy de Mercado Libre/Amazon. No encuentro su dirección. Para validar la entrega y que el sistema me deje bajar el paquete, necesito el código de seguridad que le envié”.

3. El Soporte Técnico: Una llamada con logo de WhatsApp informa sobre un “intento de hackeo” o “actividad inusual”. “Para proteger su cuenta, vamos a verificar que es usted el titular. Le enviamos un código…”.

En todos los casos, el código es el PIN de registro de WhatsApp. Al entregarlo, la sesión de la víctima se cierra y se abre en el teléfono del estafador. Acto seguido, el delincuente activa la verificación en dos pasos (2FA) con su propio PIN, impidiendo que la víctima recupere la cuenta por 7 días. Durante ese tiempo, el estafador pide dinero a todos los contactos de la agenda.

2.4. Préstamos Preaprobados: El Vaciamiento Instantáneo

Esta modalidad es la que genera mayor daño patrimonial y la que ha motivado los fallos judiciales más contundentes contra los bancos. La vulnerabilidad reside en la facilidad extrema con la que los bancos otorgan créditos de libre disponibilidad a un solo clic (one-click loans), sin medidas de seguridad adicionales.

• La Secuencia: Una vez que el delincuente accede al homebanking (ya sea por phishing o ingeniería social), no se conforma con el saldo en cuenta. Inmediatamente navega a la sección de “Préstamos”.

• El Daño: En cuestión de segundos, solicita un préstamo personal preaprobado por el máximo monto posible (a menudo millones de pesos). El sistema bancario lo acredita instantáneamente.

• El Desvío: Acto seguido, transfiere la totalidad de los fondos (saldo original + préstamo) a cuentas de “mulas” bancarias o billeteras virtuales de difícil rastreo. La víctima se queda sin ahorros y con una deuda millonaria a pagar en 60 meses con intereses altísimos.

3) Historias Reales

Para comprender la devastación de estos delitos, debemos descender de la estadística a la vivencia humana. A continuación, se reconstruyen casos reales basados en reportes periodísticos y fallos judiciales.

Caso 1: La Abuela y la Devaluación Inminente

Basado en hechos reales reportados en Libertador Gral. San Martín

El Escenario: 10:30 AM, un martes cualquiera. El teléfono fijo suena en la casa de una mujer de 80 años.

La Llamada: Una voz femenina, quebrada por el llanto, dice: “¡Mamá, soy yo! Estoy en el banco, ¡es terrible!”. La víctima, condicionada por el miedo, asume que es su hija.

El Nudo: La falsa hija explica: “El gerente me acaba de decir que se viene un corralito hoy mismo. Van a cambiar todos los billetes, los dólares cara chica no sirven más y los pesos se devalúan a la mitad. Tenemos que entregar todo ya para que nos den los billetes nuevos de la serie dorada”.

La Tensión: El estafador mantiene la línea abierta (“No me cortes mamá, que te paso con el contador, él te explica”). Un hombre con tono profesional y autoritario toma el teléfono: “Señora, soy el Contador Martínez del Banco Nación. Tenemos una ventana de 30 minutos para salvar sus ahorros. Un blindado está pasando por su zona”.

El Desenlace: La víctima, en estado de pánico absoluto, reúne USD 10.000 (los ahorros de toda su vida), $280.000 pesos y joyas familiares. Minutos después, un hombre bien vestido toca el timbre. Ella entrega la bolsa. El hombre se va caminando tranquilamente. Cuando la verdadera hija llama horas después, el mundo de la mujer se derrumba. No hubo violencia física, pero la violencia psicológica fue brutal.

Caso 2: El Crédito Fantasma de Julieta

 Julieta, empleada administrativa y madre soltera, recibió un correo electrónico un viernes por la tarde. El asunto decía: “ALERTA DE SEGURIDAD: Intento de acceso a su cuenta desde un dispositivo no reconocido”. El correo tenía el logo exacto de su banco y un botón rojo: “Desconocer Acceso”.

Julieta, asustada por perder su sueldo recién cobrado, hizo clic. Se abrió una página idéntica al homebanking. Ingresó su usuario y clave. La pantalla mostró un mensaje de “Verificando…”. A los pocos segundos, recibió un llamado.

“Buenas tardes, Julieta. Habla Rodrigo del área de Ciberseguridad. Vemos que ingresó sus datos para bloquear el acceso. Para finalizar el bloqueo, necesito que me dicte el Token que le acaba de llegar”.

Julieta dictó el Token. “Listo, cuenta asegurada. Quédese tranquila”.

El lunes siguiente, su tarjeta de débito fue rechazada en el supermercado. Al entrar al banco (esta vez al real), vio el saldo en $0. Pero lo peor estaba en la pestaña de “Préstamos”: un crédito por $420.000 había sido sacado a su nombre el viernes, acreditado y transferido en el acto a una cuenta desconocida.

El banco le dijo: “Usted entregó las claves. Usted es responsable”. Julieta se enfrentó a la realidad de pagar durante 5 años un dinero que nunca vio, robado por alguien que usó su propio miedo para engañarla.

4)  Encuadre Legal y Jurisprudencia – La Batalla en los Tribunales

Frente a la desprotección inicial, los tribunales argentinos han comenzado a construir una doctrina robusta de protección al consumidor financiero, basada en la premisa de que la seguridad es un componente intrínseco del servicio bancario.

4.1. La Obligación de Seguridad y el Riesgo Creado

El Artículo 42 de la Constitución Nacional garantiza a los consumidores el derecho a la seguridad e intereses económicos. La Ley de Defensa del Consumidor (LDC 24.240) establece en sus artículos 5 y 40 la responsabilidad objetiva y solidaria de la cadena de comercialización.

Los jueces están aplicando la Teoría del Riesgo Creado: los bancos introducen en el mercado plataformas digitales riesgosas para abaratar costos y maximizar ganancias. Por ende, deben asumir los costos de los riesgos que esas plataformas generan, independientemente de la “culpa” subjetiva de la víctima. Si el sistema permite un fraude, el sistema es defectuoso.

4.2. Análisis de Sentencias Paradigmáticas (2024-2025)

4.2.1. Fallo “C. S., J. V. c/ Banco Itaú Argentina S.A.” (Fuero CABA)

Este fallo es fundamental porque introduce el concepto de Consumidor Hipervulnerable.

• Los Hechos: Un jubilado sufrió el vaciamiento de su cuenta y la toma de préstamos mediante phishing. El banco alegó que las claves eran personales e intransferibles.

• La Sentencia: El juez Cánepa falló a favor del consumidor. Argumentó que, tratándose de un adulto mayor, el banco tenía un deber de tutela agravado. Destacó que el banco falló en detectar la incongruencia transaccional: un cliente conservador que repentinamente realiza transferencias masivas en horarios inhábiles.

• La Condena: Nulidad de los préstamos, restitución del dinero extraído, más daño moral y daño punitivo. Se estableció que el sistema de seguridad del banco fue ineficaz para prevenir un daño previsible.

4.2.2. Fallo contra Banco Provincia (Juzgado Civil y Comercial La Plata)

Un caso emblemático por la cuantía del Daño Punitivo.

• Los Hechos: Un empleado municipal fue víctima de una estafa telefónica donde le tomaron créditos y adelantos de sueldo. Denunció inmediatamente, pero el banco siguió cobrándole las cuotas y lo trató con displicencia.

• La Sentencia: La jueza impuso una multa de $4.000.000 en concepto de Daño Punitivo, sumado a la restitución y daño moral.

• El Fundamento: El daño punitivo no solo castiga la falla de seguridad, sino el trato indigno ex post facto. El banco obligó a la víctima a peregrinar por sucursales sin darle respuestas, mostrando un menosprecio grave por sus derechos. La multa busca ser ejemplificadora y disuasoria para que al banco “le convenga más invertir en seguridad que pagar juicios”.

4.2.3. Fallo “M c/ Banco Patagonia” (Río Negro) – Medida Cautelar

Este caso ilustra la importancia de la acción rápida.

• La Acción: Ante la estafa de un préstamo preaprobado, la abogada de la víctima no esperó al juicio final. Solicitó una medida cautelar de no innovar.

• La Resolución: El juez ordenó al banco que se abstenga de debitar las cuotas del préstamo cuestionado y de informar a la víctima en el Veraz hasta tanto se resuelva el fondo de la cuestión.

• El Razonamiento: Se protegió el carácter alimentario del haber jubilatorio. Si se permitía el descuento, la víctima caería en la indigencia durante el juicio. La verosimilitud del derecho se probó con la denuncia penal y la inmediatez de la transferencia a un tercero desconocido.

4.3. El Concepto de “Bystander”

La protección legal se extiende incluso a quienes no son clientes directos. Si un estafador usa el DNI de una persona para abrir una cuenta en un banco digital (usurpación de identidad) y genera deudas, la persona afectada es un bystander (usuario expuesto). La jurisprudencia sostiene que el banco falló en su deber de verificar la identidad (“Know Your Customer”) y es responsable de los daños causados a ese tercero ajeno a la relación contractual.

5) Guía de Prevención y Detección Temprana

La prevención es la única barrera infalible. Como experto en seguridad, propongo un protocolo de “Higiene Digital”.

5.1. Señales de Alerta (Red Flags)

Si detecta una de estas señales, deténgase. Si detecta dos, es una estafa confirmada.

1. Urgencia Injustificada: “Hazlo ya o pierdes la cuenta/dinero/oferta”. Los procesos bancarios y legales reales tienen tiempos administrativos, nunca son instantáneos ni por teléfono.

2. Salida del Canal Oficial: Un vendedor de Mercado Libre que pide hablar por WhatsApp. Un banco que llama por WhatsApp.

3. Solicitud de Claves/Códigos: Ningún banco, ni WhatsApp, ni Google, ni el Gobierno pide jamás un código que llegó por SMS. Jamás.

4. Ofertas Mágicas: Dólares baratos, préstamos sin requisitos, premios de concursos en los que no se inscribió.

5. Errores de Origen: Direcciones de correo remitente que no coinciden con la empresa (visa-alertas@hotmail.com en lugar de @visa.com.ar).

5.2. Herramientas de Blindaje Técnico

Tabla 6.1: Medidas de Seguridad Personales

Herramienta	Acción Recomendada	Por qué funciona
2FA (Doble Factor)	Activar en WhatsApp, Instagram, Email y Mercado Pago.	Aunque roben la contraseña, necesitan el segundo código.
App Autenticadora	Usar Google/Microsoft Authenticator en lugar de SMS.	Evita el riesgo de Sim Swapping(duplicación de chip).
Límites de Transferencia	Bajar los límites diarios en el Homebanking.	Si acceden, limita el monto que pueden robar de inmediato.
Biometría	Activar huella/rostro para entrar a apps bancarias.	Es mucho más difícil de falsificar que un PIN numérico.
Privacidad en RRSS	Ocultar foto de perfil y lista de amigos a desconocidos.	Dificulta la ingeniería social y la suplantación de identidad.

---

6. Protocolo de Acción Ex-Post – Qué hacer si ya ocurrió

El tiempo es dinero. La reacción en las primeras 24 horas es crítica para la posibilidad de recupero.

Fase 1: Contención Inmediata

1. Corte de Comunicación: Si está al teléfono con el estafador, corte inmediatamente. No intente negociar ni insultar.

2. Bloqueo Financiero: Llame a los números de emergencia de su banco (tenga estos números agendados de antemano). Pida el bloqueo total de cuentas, tarjetas y acceso digital. Solicite el número de reclamo.

3. Denuncia Digital: Si fue en una billetera virtual (Mercado Pago), use la opción de ayuda en la app para desconocer la transacción. En algunos casos, el sistema puede retener los fondos si se hace rápido.

4. Cierre de Sesiones: Si entregó credenciales de redes o WhatsApp, intente recuperar la cuenta reinstalando la app. Cierre sesiones abiertas en otros dispositivos (WhatsApp Web).

Fase 2: Formalización Legal

1. Preservación de Prueba: No borre nada. Haga capturas de pantalla de chats, perfiles, correos y registros de llamadas. Exporte los audios. Son la evidencia forense.³⁰

2. Denuncia Penal: Es obligatoria para reclamar al banco.  Contactar a la fiscalía o comisaría para hacer la denuncia (Fiscalía especializada).

Fase 3: Reclamo Civil y Administrativo

1. Carta Documento: Envíe una Carta Documento al banco. Rechace las operaciones, niegue la solicitud del préstamo y exija la restitución bajo apercibimiento de acciones legales y daño punitivo. Cite la Ley 24.240.

2. COPREC / Defensa del Consumidor: Inicie el reclamo en la ventanilla de Defensa del Consumidor. Es un trámite gratuito y obligatorio antes del juicio. Muchas veces los bancos ofrecen arreglos aquí para evitar multas.

3. Medida Cautelar: Si el banco descuenta cuotas de un préstamo falso, contacte a un abogado para interponer una medida cautelar urgente (“autosatisfactiva” o “no innovar”) para frenar los descuentos mientras se investiga.²⁰

---

Anexo: Glosario de Términos Técnicos

• Phishing: Suplantación de identidad vía correo electrónico.

• Smishing: Phishing vía SMS.

• Vishing: Phishing vía llamada de voz.

• Spear Phishing: Phishing altamente dirigido y personalizado a una víctima específica.

• Keylogger: Software malicioso que registra las teclas pulsadas (para robar contraseñas).

• Mula Bancaria: Persona que transfiere dinero robado a cambio de una comisión, lavando los activos.

• DEBIN: Débito Inmediato, mecanismo de cobro online.

• 2FA (Two-Factor Authentication): Autenticación de dos factores (contraseña + código temporal).