Estamos acostumbrados a que la mayoría de noticias sobre cibercrimen giren en torno a causas políticas... o, mucho más frecuentemente, al dinero: rescates millonarios, caídas de sistemas de grandes compañías, pérdidas bursátiles y grandes estafas online.

Sin embargo, este 2025 del que nos despedimos puede haber marcado un punto de inflexión, porque ha quedado definitivamente claro que los ataques digitales no solo afectan a servidores y cuentas bancarias, sino también cada vez más directamente a las vidas humanas.

Una muerte confirmada: cuando el ransomware alcanza a los hospitales

El caso más grave y simbólico fue el del ataque de ransomware contra Synnovis, proveedor de servicios de patología para hospitales clave de Londres. Aunque el ataque se produjo en 2024, no fue hasta 2025 cuando las autoridades sanitarias del Reino Unido confirmaron oficialmente que un paciente había fallecido durante el período en que los servicios se encontraban caídos a raíz del ciberataque.

Se trata del primer fallecimiento confirmado directamente vinculado a un ataque de ransomware: hasta ahora, muertes relacionadas con ciberataques se movían en el terreno de las estimaciones estadísticas o los indicios indirectos. Un hito sombrío, sin duda.

De lo digital a lo físico: violencia como servicio

Lo que durante años fue considerado un escenario extremo —la traducción directa del delito digital en agresión física— dejó de ser excepcional en 2025 para convertirse en una tendencia. Y es que, en los últimos meses, el auge del ciberdelitos vinculado a las criptomonedas ha venido acompañado de una escalada de brutalidad muy poco 'virtual'.

Empresas de ciberseguridad como CrowdStrike han estado alertando de un notable aumento en Europa de los casos de 'violence-as-a-service': la externalización de agresiones físicas —intimidaciones, secuestros, torturas o mutilaciones— como parte de esquemas de ciberextorsión digital.

En Genbeta

'Crime-as-a-Service': por qué ya todos podemos ser cibercriminales recurriendo a la subcontratación

Así, en lugar de limitarse a cifrar servidores o robar datos, los delincuentes ahora contratan o coordinan ataques en el mundo físico para reforzar sus demandas.

Criptomonedas: el catalizador de la violencia

A diferencia del dinero tradicional, las criptomonedas combinan alto valor, portabilidad inmediata y dificultad de rastreo, lo que convierte a sus poseedores en objetivos especialmente atractivos.

El resultado es una nueva clase de delito: un ataque que comienza con una investigación digital —filtrado de datos, análisis de redes sociales, rastreo de direcciones IP— y culmina con violencia presencial. Ni siquiera España se ha visto libre de casos de esta clase.

Un caso paradigmático, que tuvo lugar en Francia, fue el secuestro de David Balland (cofundador del fabricante de criptocarteras físicas Ledger): ambos fueron retenidos por una banda organizada que exigía un rescate directo a otros ejecutivos de la compañía. Él terminó sufriendo la mutilación de un dedo como forma de presión para el pago del rescate.

De la amenaza al terror creíble

A la par de estos episodios extremos, investigadores han documentado un aumento significativo de amenazas creíbles de violencia física durante negociaciones de ransomware. Estudios citados en el documento indican que cerca del 40% de las víctimas recibió advertencias explícitas contra ellas o sus familias: direcciones particulares, hábitos cotidianos, colegios de los hijos y rutinas domésticas detalladas con una precisión inquietante.

Esta hiperpersonalización del terror es posible gracias a la explotación masiva de datos abiertos y a las filtraciones previas. El mensaje implícito es claro: "sabemos quién eres y dónde encontrarte".

Secuestros virtuales y el poder del engaño con IA

La inteligencia artificial también ha añadido una nueva capa de terror. Los llamados 'secuestros virtuales' utilizan imágenes y voces manipuladas (a veces a la 'antigua usanza', pero cada vez más frecuentemente con IA, mediante 'deepfakes') para convencer a familias de que un ser querido está en peligro inmediato. Las pérdidas económicas ya se cuentan por millones.

Imagen | Marcos Merino mediante IA

En Genbeta | Cuando el 'timo del hijo' se vuelve más siniestro: este padre se convenció porque su estafador sabía dónde vivía su hija 

La delgada línea que separa la estafa penal de una mala decisión económica ha vuelto a situarse en el centro del debate judicial tras una reciente resolución del Tribunal Superior de Justicia de Canarias (TSJC). El alto tribunal autonómico ha absuelto a un hombre que había sido condenado a cuatro años de prisión por la Audiencia de Las Palmas, al concluir que el engaño del que se decía víctima el denunciante fue tan evidente que

"Cualquier persona mínimamente normal no hubiera caído en él".

Una condena anulada

El caso se remonta a finales de 2020, cuando el acusado y el denunciante se conocieron, y el primero se presentó como agente inmobiliario con amplia experiencia y comenzó a ofrecer oportunidades de inversión supuestamente irresistibles: viviendas procedentes de fondos buitre a precios muy por debajo del mercado.

La Audiencia de Las Palmas dio credibilidad a la versión del denunciante y condenó al acusado por un delito continuado de estafa: cuatro años de prisión, una multa de 2.400 euros y la obligación de devolver 146.000 euros por la venta ficticia de cinco inmuebles. Sin embargo, el TSJC ha desmontado esa interpretación.

246.000 euros entregados… sin una sola escritura

El elemento clave de la absolución está en los hechos objetivos: a lo largo de seis operaciones distintas, durante un año y medio, el denunciante entregó 246.000 euros sin que se formalizara ni una sola compraventa, sin visitas acreditadas a los inmuebles y sin documentos notariales o registrales que avalaran las transacciones.

Las operaciones se sucedieron así:

• Finales de 2020: 50.000 euros por un bungalow en El Cotillo (Fuerteventura).
• Enero de 2021: 60.000 euros por cuatro pisos en Sardina del Sur (Gran Canaria).
• Marzo de 2021: 46.000 euros para inmuebles en Santa Cruz de Tenerife.
• Junio de 2021: un cheque de 48.000 euros, alegando el acusado una necesidad puntual de liquidez.
• Febrero de 2022: 42.000 euros para invertir en apartamentos en Costa Calma (Fuerteventura).

En ninguno de los casos hubo contrato de arras, escritura pública ni inscripción registral. Pese a ello, eso no impidió que el denunciante siguiera pagando.

En Genbeta

La psicología detrás de los timos: así se aprovechan los estafadores de nuestra debilidad

¿Todo engaño es estafa?

La Sala es especialmente dura al describir la conducta del denunciante. En su resolución afirma que actuó con "desidia, desinterés, de forma negligente y torpemente", subrayando que fue "demasiado dinero, en demasiadas entregas sucesivas y durante demasiado tiempo" como para no advertir la inexistencia real de las operaciones.

El tribunal recuerda un principio esencial del derecho penal: no todo engaño es estafa. Para que exista delito, el ardid debe ser lo suficientemente elaborado como para vencer la diligencia media de una persona. Cuando la supuesta víctima no adopta las precauciones más elementales, el engaño puede quedar fuera del ámbito penal.

¿Víctima o socio imprudente?

Uno de los pasajes más llamativos de la sentencia apunta incluso a la posible existencia de "intereses de otro tipo" en unas operaciones que carecían de cualquier apariencia de realidad jurídica. Sin afirmarlo de forma expresa, el TSJC deja entrever que el denunciante pudo haber asumido conscientemente un riesgo extraordinario, atraído por la expectativa de beneficios rápidos.

El tribunal también reconoce que en la conducta del acusado existía codicia, pero subraya que el denunciante buscaba adquirir inmuebles de fondos buitre a precios irrisorios, un contexto que refuerza el carácter inverosímil de las propuestas.

La devolución parcial y la atenuante

Solo cuando el acusado tuvo conocimiento de que se preparaban acciones judiciales, devolvió 100.000 euros. Ese reintegro permitió aplicar la atenuante de reparación del daño, aunque finalmente la absolución dejó sin efecto todas las penas impuestas en primera instancia.

Imagen | Marcos Merino mediante IA

En Genbeta | El Supremo tiene claro que el banco debe devolver el dinero a las víctimas de estafa. Siempre que no sea negligente 

Durante años, los dominios web 'aparcados' han sido considerados una molestia menor a la hora de navegar: páginas sin contenido real, llenas de anuncios genéricos y de redirecciones automáticas, a las que accedemos como consecuencia de errores tipográficos al escribir una URL o de la desaparición de webs previamente activas.

Hoy, sin embargo, esta situación aparentemente inofensiva se ha transformado en un vector de riesgo masivo para la seguridad en Internet, según investigadores de la compañía de ciberseguridad Infoblox, que han revelado en un informe que entre el 20% y el 30% de estos dominios terminan redirigiendo a estafas, phishing o malware.

Del “dominio muerto” al arma digital

Un dominio aparcado suele ser un nombre web registrado pero sin un sitio web activo detrás. Puede tratarse de un proyecto abandonado, una dirección reservada para una futura venta o, muy a menudo, una variante tipográfica de un dominio popular. Durante años, estos dominios mostraban simples páginas de anuncios. El riesgo existía, pero era limitado: en 2014, estudios académicos situaban la probabilidad de acabar en un sitio malicioso por debajo del 5%.

Pero ahora, según los experimentos a gran escala realizados por Infoblox en 2024 y 2025, más del 90% de las visitas a determinados dominios aparcados acaban en contenido ilegal, fraudulento o directamente malicioso cuando el usuario navega desde una conexión residencial estándar. La clave no está solo en la existencia de anuncios peligrosos, sino en la cadena de intermediarios que se activa tras teclear una dirección errónea.

El negocio de la "búsqueda directa"

El corazón del problema es un modelo conocido como 'zero-click parking'. A diferencia del aparcamiento clásico —donde el usuario debía pulsar un anuncio—, aquí la simple visita al dominio desencadena una subasta automatizada: el tráfico se vende al mejor postor según ubicación, dispositivo o perfil del visitante.

En la práctica, el usuario es enviado a través de múltiples sistemas de distribución de tráfico (TDS), donde cada intermediario puede revender la visita a otro. El resultado es una red opaca en la que la página final poco o nada tiene que ver con el dominio original. Casinos fraudulentos, falsas alertas de virus, descargas de software malicioso o supuestas renovaciones de suscripciones son destinos habituales.

En Genbeta

Dominios que parecen el mismo… pero no lo son. Estos son los trucos que usan los estafadores para que caigamos en webs maliciosas

Perfiles invisibles: así se decide quién recibe el engaño

Uno de los hallazgos más inquietantes de la investigación es el uso intensivo de técnicas de perfilado. Los investigadores comprobaron que muchos dominios aparcados se comportan de forma distinta según quién los visite:

• Escáneres de seguridad, VPNs o bots reciben páginas inofensivas.
• Usuarios reales desde IP residenciales son desviados a cadenas de redirección que terminan en estafas o malware.

Para decidirlo, los sistemas recopilan información como el tipo de navegador, resolución de pantalla, idioma, país, soporte de JavaScript o incluso huellas gráficas del dispositivo. Este filtrado permite esquivar controles automáticos y maximizar el impacto sobre víctimas humanas.

Typosquatting: cuando una letra cuesta caro

El riesgo se multiplica con el typosquatting, multiplicado por la compra masiva de dominios casi idénticos a marcas populares. Casos documentados incluyen variantes de servicios bancarios, plataformas de vídeo o correo electrónico: un ejemplo paradigmático es gmai.com, una omisión mínima que no solo redirige tráfico web, sino que recibe correos electrónicos enviados por error, algunos con información sensible o incluso adjuntos maliciosos utilizados en campañas de fraude empresarial.

La combinación de correos interceptados y redirecciones web convierte a estos dominios en herramientas polivalentes para el cibercrimen.

DNS trucado y redirecciones selectivas

Más allá de los errores tipográficos en direcciones web, los investigadores han identificado abusos del propio sistema DNS: basta con un fallo al configurar un dominio legítimo para que parte del tráfico de una empresa o institución termine en manos de redes publicitarias maliciosas.

En casos recientes, se ha observado incluso resolución selectiva de DNS, donde solo los usuarios que emplean determinados resolvers reciben respuesta y son redirigidos a contenido dañino. El resto simplemente ve un error, dificultando la detección del abuso.

El papel involuntario de las grandes plataformas

El ecosistema publicitario global tampoco es ajeno al problema. Cambios recientes en las políticas de Google, orientados a reducir el fraude en anuncios, han tenido un efecto colateral inesperado: al limitar la publicidad tradicional en dominios aparcados, muchos gestores han optado por el modelo de 'búsqueda directa', menos transparente y más difícil de auditar.

Aunque las grandes plataformas insisten en que no colaboran con anunciantes maliciosos, la realidad es que la cadena de reventa de tráfico rompe cualquier control efectivo de "conozca a su cliente". El anunciante final puede no tener relación directa con la empresa que gestiona el dominio aparcado.

Imagen | Marcos Merino mediante IA

En Genbeta | Cuidado, estos consejos de la Guardia Civil en Twitter para detectar webs fraudulentas son insuficientes 

Mark Cuban es una de las personas más ricas del mundo. Entre otros de sus negocios, es el dueño del equipo Dallas Mavericks de la NBA. Y suele tener consejos para la juventud para conseguir un dinero extra o le gusta compartir anécdotas de cómo empezó a acumular su dinero desde joven. 

Según una nueva historia que ha compartido en un podcast, para pagar sus estudios en el tercer año de la universidad en la Universidad de Indiana, a principios de los años ochenta, Cuban estableció una “carta en cadena” en su propio dormitorio, como explicó al podcast Life in Seven Songs del Estándar de San Francisco. Comenzó acercándose a una persona y les pidió que le dieran 100 dólares y de ahí el objetivo era montar una de las estafas conocidas con el nombre de esquema Ponzi. 

En Genbeta

"Si volviera a tener 16 años, empezaría este negocio secundario: no requiere un título universitario". El millonario Mark Cuban lo tiene claro

"Fue básicamente una estafa”, explicaba Cuban mientras se reía por su idea de joven: “Me aseguré de que todos mis amigos recuperaran su dinero. Y entonces llegué a la cima de la lista. Y fue increíble, porque iba a [mi buzón] y había sobres con 50 dólares de aquí, 50 dólares de allí, y así es como pagué mi tercer año de universidad”.

Así funcionaba su idea

Concretamente, él le dijo a la primera persona que dio los 100 dólares que iba a quedarse con 50 dólares de ahí y haría una lista de otras diez personas de la residencia donde vivían:

"Enviaremos 50 dólares a la habitación donde esté la persona que encabeza la lista. Luego, quitaremos su nombre de la lista y pondremos el tuyo al final. Así que haremos una cadena de 50 dólares. Y a medida que todos los demás hagan lo mismo, tu nombre irá subiendo en la lista hasta llegar al principio. Y a medida que la cadena crezca, con suerte recibirás más dinero del que has invertido".

En Genbeta

El CEO mejor pagado de EEUU gana mucho más que los líderes de Apple y Microsoft. Su nombre no es famoso, ni tampoco su empresa

No es así como logró hacerse millonario pero sí que le sirvió para pagarse parte de los estudios. Cuban creció en una familia de clase trabajadora. Según él, su padre trabajaba en la tapicería de automóviles y a veces le daba algo de dinero, pero él necesitaba formas de tener ingresos.  

En el pasado él mismo contó cuçal fue su primer trabajo real: vendía bolsas de basura puerta a puerta a sus vecinos con 12 años para comprarse unas zapatillas de baloncesto. Más adelante vendía objetos coleccionables como tarjetas de béisbol, sellos y monedas, lo que incluso le  ayudó a pagar su universidad, según él ha dicho.

Cómo fueron sus emprendimientos más conocidos de adulto

En sus años universitarios trabajó como camarero, organizó fiestas cobrando una entrada y fue profesor de baile. Tras graduarse Cuban se dedicó a emprender. Vendió su primera empresa, una startup de software llamada MicroSolutions, a CompuServe por 6 millones de dólares en 1990. Pero antes de eso dice que le tocó vivir en un “hotel del infierno” con otros cinco chicos. 

En Genbeta

Después de 15 años programando, esto es lo que desearía haber sabido el primer día: hablan siete profesionales de la programación

La carrera empresarial de Cuba se disparó. A mediados de la década de los noventa, Cuban y dos de sus amigos, Cameron Christopher Jaeb y Todd Wagner, fundaron la compañía de radio por Internet Audionet.com, que más tarde fue renombrada a Broadcast.com. Vendieron esa compañía a Yahoo en 1999 por más de cinco mil millones de dçolares, durante el apogeo de la burbuja de las puntocom.

En Xataka

El multimillonario Mark Cuban tiene un consejo para la generación Z: "Si tienen tiempo, úsenlo para aprender más sobre la IA"

En las décadas siguientes, Cuban se centró en gran medida en hacer inversiones empresariales, con su llamado Shark Tank para empresas nuevas. Ahora, Cuban está en nuevas y muy diferentes aventuras. Lanzó Cost Plus Drugs en 2022 con la misión de eliminar al intermediario en la industria farmacéutica. 

En Genbeta | La pregunta más infravalorada en entrevistas de trabajo a desarrolladores: demuestra la experiencia con muchos lenguajes

El Tribunal Supremo ha puesto fin a la discusión jurídica sobre si falsificar un parte de baja médica mediante una mera fotocopia —o un archivo escaneado— constituye delito. La respuesta es clara: sí lo es, porque lo relevante no es el soporte utilizado, sino el documento que se simula.

Así lo establece la sentencia 807/2025, que hace un mes condenaba a un trabajador a seis meses de prisión y a una multa económica por manipular un parte de incapacidad temporal para justificar un día más de ausencia laboral y cobrarlo indebidamente.

El caso, aparentemente menor por la cuantía defraudada —31,96 euros—, ha terminado por fijar doctrina sobre una cuestión de enorme trascendencia práctica: cualquier intento de crear, alterar o simular un documento oficial de baja médica, incluso partiendo de una fotocopia o archivo digital, es considerado falsedad en documento oficial.

Y, por tanto, delito penal.

Un día de baja real y otro inventado

Los hechos probados muestran que el trabajador, empleado de Ego Appliance Control S.L., acudió el 6 de junio de 2017 al centro de salud con una gastroenteritis aguda y recibió una baja médica válida únicamente para ese mismo día. La remitió a su empresa sin problema.

Sin embargo, decidió no acudir al trabajo también el día siguiente y, para justificarlo, confeccionó un nuevo parte de baja falsificado, modificando la fecha para simular una recaída. Posteriormente, envió el documento manipulado, e incluso tuvo que reenviarlo una segunda vez al detectar errores en el primer envío.

En Genbeta

Las 'bajaciones' son las bajas que los empleados inventan: "Se usan de castigo a la empresa por un trato que se considera injusto"

La empresa detectó la irregularidad y presentó denuncia. El Juzgado de lo Penal condenó al trabajador por falsedad en documento oficial.

Pero luego la Audiencia Provincial de Barcelona lo absolvió al considerar que, si lo manipulado era una fotocopia y no el original, el documento falsificado debería considerarse privado, no oficial, lo que impediría la condena al no acreditarse perjuicio a tercero. Esa absolución fue recurrida por el Ministerio Fiscal.

Alteración o simulación: la diferencia clave

El Supremo ha revocado ahora esa absolución. Y lo ha hecho apoyándose en una línea jurisprudencial que distingue dos conceptos jurídicos esenciales: alteración y simulación de documentos.

Según explica la sentencia, una alteración afecta a un documento ya existente. En cambio, la simulación implica crear desde cero un documento que no existe, haciéndolo pasar como auténtico.

Y eso es exactamente lo que hizo el trabajador al diseñar un parte de baja médica inexistente, aunque para ello utilizara una fotocopia del original como plantilla.

En palabras del propio Tribunal Supremo:

"(…) Sin embargo, cuando utilizando una fotocopia se confecciona un documento que se pretende que sea considerado como un documento oficial, o dicho con otras palabras, cuando mediante una fotocopia se simula un documento oficial, la falsedad, en estos casos tipificada en el artículo 390.1.2º del Código penal, habrá de referirse a la clase de documento simulado. De manera que se tratará de un delito de falsedad en documento oficial".

Por eso, el alto tribunal concluye que lo determinante, a efectos penales, es el tipo de documento que se simula, no el soporte utilizado para crearlo. Lo falsificado no es la fotocopia —que no deja de ser un instrumento— sino el documento oficial de baja médica que se intenta reproducir.

En Genbeta

Casi todas las bajas médicas que se investigan son un fraude. Hay una buena explicación: solo se investigan cuando hay indicios de fraude

La sentencia se apoya además en precedentes recientes, como las resoluciones 577/2021 y 183/2025, que ya insistían en que el uso de medios digitales o fotográficos para generar documentos falsos no rebaja la gravedad del delito cuando el resultado pretende ser un documento oficial.

El soporte no importa: lo que cuenta es el carácter oficial del documento

El fallo de la Sala de lo Penal, con ponencia de la magistrada Susana Polo, va más allá del caso concreto y fija un criterio de enorme relevancia: da igual si se manipula un papel, una fotocopia, un PDF o un archivo escaneado. Si el propósito es simular un documento oficial, la falsedad será en documento oficial.

En consecuencia, la conducta del trabajador cumple todos los elementos del delito: creó un documento oficial inexistente, lo presentó como auténtico y lo usó para justificar una ausencia laboral y cobrar un salario que no le correspondía. Por ello, el Supremo restablece la condena a seis meses de prisión y seis meses de multa, además de mantener la responsabilidad por la estafa leve derivada del cobro indebido.

Una advertencia que afecta a miles de trabajadores y empresas

Aunque la cuantía defraudada parezca insignificante, el fallo tiene un impacto enorme en el ámbito laboral y administrativo. En España, los partes de baja médica se transmiten cada vez más por medios electrónicos, y el trabajador ya no está obligado a entregarlos físicamente a la empresa. Este sistema ha generado nuevas áreas 'grises' y, también, tentaciones: modificar un PDF, reenviar un parte antiguo cambiando una fecha o presentar una imagen manipulada con el móvil.

Con esta sentencia, el Supremo deja claro que esas prácticas no solo son sancionables laboralmente, sino que pueden constituir delito penal con pena de cárcel.

Vía | Confilegal

Imagen | Marcos Merino mediante IA

En Genbeta | Estoy de baja laboral y quiero salir a pasear o ir de viaje: esto es lo que dice la legislación española 

En el mundo de la ciberseguridad, encontrar vulnerabilidades reales en sistemas y programas es una tarea compleja, laboriosa y sumamente valiosa. Por ello existen los llamados bug bounty programs —programas de recompensas por errores—, mediante los cuales empresas e instituciones pagan a investigadores de ciberseguridad por reportar fallos de seguridad antes de que los delincuentes puedan localizarlos y explotarlos. Los pagos pueden llegar a ser millonarios.

Sin embargo, en los últimos meses ha emergido una nueva amenaza inesperada: las vulnerabilidades falsas inducidas por la IA. Y es que estamos experimentando una oleada de "descubrimientos" inexistentes que está inundando las plataformas de referencia de bug bounty como HackerOne o Bugcrowd, en un intento de usuarios por conseguir recompensas rápidas sin hacer investigación real.

El fenómeno ha alcanzado tal nivel que incluso proyectos emblemáticos como cURL, una de las herramientas más utilizadas de la red, han tenido que tomar medidas drásticas: bloquear de inmediato a quienes envían reportes generados por IA.

Qué está pasando realmente

El caso de cURL es ilustrativo. Su responsable principal, Daniel Stenberg, recopiló recientemente decenas de reportes de 'vulnerabilidades' supuestamente críticas enviadas al programa oficial de recompensas de la herramienta. Los títulos suenan bastante alarmantes:

• “Buffer Overflow Vulnerability in WebSocket Handling”
• “HTTP/3 Stream Dependency Cycle Exploit”
• “Use of Deprecated strcpy() with Fixed-Size Buffers”

Pero tras una revisión mínima, se descubrió que ninguna de ellas tenía la más mínima base técnica. Los informes repetían patrones comunes de descripciones generadas por IA: lenguaje vago, ejemplos de código inventado, ubicaciones de archivo incorrectas y referencias a funciones inexistentes.

En Genbeta

Siete hackers se hicieron millonarios 'cazando' vulnerabilidades en 2019: qué son los programas de 'bug bounty' que lo hacen posible

En palabras de los propios responsables del proyecto:

"Nuestra política actual establece que banearemos instantáneamente a todos los que envían 'AI slop'".

El término AI slop (literalmente 'papilla de IA') es uno de esos que seguramente estará generalizado en unos meses: se usa ya en varios entornos para describir contenido de baja calidad generado por modelos de lenguaje (coherente a simple vista, pero carente de sustancia técnica o de verificación factual).

Cómo se detecta el 'slop' generado por IA

Los responsables de seguridad están desarrollando estrategias para filtrar automáticamente este tipo de reportes. Como decíamos, algunos indicios comunes son:

• Repetición de frases idénticas en múltiples informes.
• Referencias a funciones, rutas o ficheros que no existen.
• Código de ejemplo que no compila o carece de coherencia lógica.
• Falta total de Proof of Concept (prueba de concepto) o de exploit verificable.

La economía del bug bounty y los incentivos perversos

Los bug bounty programs ofrecen incentivos financieros legítimos: grandes empresas como Google, Meta o Apple pagan entre cientos y miles de dólares por vulnerabilidades comprobadas. Esto ha generado un ecosistema de investigadores, muchos de ellos 'freelance', que dedican su tiempo a auditar código y buscar errores reales.

Pero con la expansión de herramientas generativas, apareció una tentación obvia: ¿y si una IA puede redactar un informe convincente de 'caza de bugs' sin que el supuesto experto se moleste en hacer su trabajo?

En Genbeta

Vio que podía ganar dinero arreglando bugs... y empezó a crearlos a propósito. Cinco ejemplos de malos incentivos para programadores

Algunos usuarios han empezado a alimentar a modelos con repositorios completos de código fuente y pedirles que 'encuentren vulnerabilidades', o simplemente que inventen ejemplos plausibles. En cuestión de minutos, generan descripciones que parecen profesionales y las envían a plataformas de recompensas.

El resultado: un volumen creciente de reportes falsos, que consumen tiempo de revisión y reducen la confianza en los investigadores legítimos.

Un problema ético y de confianza

Todo esto no es más que un reflejo de un fenómeno que afecta a toda la red: la sobreproducción de contenido artificial sin verificación humana. Lo que antes era un campo de perfil técnico y hasta artesanal —la búsqueda de vulnerabilidades— se está viendo colonizado por el mismo ruido que invade la escritura, el arte o las redes sociales.

La IA puede ser una aliada poderosa en ciberseguridad —para análisis estático, detección de anomalías o simulaciones de ataque—, pero sólo si se usa con criterio y bajo supervisión humana.

El impacto de este fenómeno va más allá del tiempo perdido. Los bug bounty dependen de la confianza entre las partes:

• La empresa asume que quien reporta actúa de buena fe.
• El investigador confía en que su trabajo será valorado justamente.

La llegada de reportes fabricados por IA erosiona esa relación. Los equipos de seguridad se vuelven más escépticos y los verdaderos investigadores pueden ser penalizados injustamente por la desconfianza generada.

Además, existe un dilema ético: ¿debería considerarse válido el uso de IA como apoyo para analizar código, siempre que el resultado sea verificado por una persona? La frontera entre asistencia legítima y fraude automatizado es cada vez más difusa.

Imagen | Marcos Merino mediante IA

En Genbeta | El 'vibe coding' hará que cada vez escribamos menos código. Así que los ingenieros de software tendrán una tarea titánica 

En el mercado podemos encontrar múltiples elecciones en lo que respecta a dispositivos de almacenamiento para nuestros equipos. Ya sean discos duros, SSDs, tarjetas de memoria y demás, son una opción obligada para guardar nuestra información y archivos. También son carne de cañón para las estafas online. Y es que no es extraño encontrar en Internet usuarios afectados por timos de unidades de almacenamiento que en el interior dejan mucho que desear.

Uno de los ejemplos más llamativos fue el de un usuario que compartió en Reddit la compra de un disco duro externo de 6 TB por eBay. Como en muchos de estos casos, acabó encontrándose algo que no esperaba.

La realidad: una tarjeta SD, pesos y pegamento

Cuando tenemos que comprar unidades de almacenamiento en Internet, es recomendable echarle un ojo a productos de fabricantes fiables y con buenas opiniones. Se puede extrapolar a cualquier producto que compremos por Internet, por lo que aunque encontremos una buena oferta, más vale echarle un ojo a las especificaciones y encontrar reseñas sobre el modelo que queremos comprar antes de proceder con ello.

Imagen: u/Ecksters (Reddit)

Ecksters, el usuario de Reddit, encontró una buena oferta de un disco duro de 6 TB en eBay que acabó adquiriendo. Lo que le llegó a casa fue toda una sorpresa: el disco duro era en realidad una carcasa en cuyo interior había un pequeño adaptador para tarjetas microSD y 60 gramos de metal para compensar el peso del producto.

Como se puede comprobar en la imagen, todo lo que había en el interior de la carcasa de plástico estaba pegado con superglue. Según el usuario, al retirar la tarjeta SD del interior y colocarla en un adaptador normal, el sistema mostraba que contaba con 7,5 GB de almacenamiento disponible.

“Al sacar la tarjeta SD y ponerla en un lector normal hace que aparezca con 7.5GB. Ahora, si ese número es real o no, no voy a invertir demasiado tiempo tratándolo de confirmar”, comentó el usuario en la publicación.

En Genbeta

Un programador compró doce memorias USB en Amazon. Tras descubrir que todos eran timos, lanzó esta app gratis para detectarlos

Este tipo de estafas son muy habituales. Hace un tiempo comentábamos el caso de un comprador que adquirió un disco duro de 2 TB por poco más de dos euros en el mercadillo. Se acabó dando cuenta de que en el interior no había disco duro, el componente principal para leer y escribir datos en el dispositivo.

También está el caso de aquel usuario que compró un SSD por poco más de tres euros en AliExpress. El resultado fue un rendimiento muy pobre (por debajo de una tarjeta SD) y de pésima calidad. Por último, también contamos hace poco una compra de un disco duro de 1 TB que dio problemas a los tres años, y fue ahí cuando su propietario se dio cuenta de la estafa: lo que tenía realmente era una carcasa con una tarjeta flash. Sorprendentemente, su dueño nunca notó la falta de velocidad frente a un disco duro real.

Mirándolo por el lado positivo, son casos donde los usuarios han pagado muy poco dinero. Sin embargo, queda más que claro que no debemos de fiarnos de este tipo de ofertas para unidades de almacenamiento de este estilo, ya que es un componente crucial para nuestros sistemas que puede acabar deteriorando gravemente el rendimiento de nuestro PC.

Una versión anterior de este artículo se publicó en 2024.

Imagen de portada | Art Wall - Kittenprint

En Genbeta | Compró online un disco SSD y notó que algo iba mal: lo habían reprogramado para que engañase al ordenador

La Policía Nacional de Palma ha anunciado la detención de un hombre al que acusan de delitos de estafa, amenazas graves y reclamación judicial. Ha logrado estafar más de 30.000 euros, que se conozca por ahora, a 20 personas ofreciendo sus servicios de carpintería a precios asequibles. 

Una investigación del Grupo de Delincuencia Económica y Delitos Tecnológicos se encargó de investigar durante meses una veintena de denuncias y es que en todas se explicaba un patrón de actuación: el arrestado se anunciaba en portales de Internet y chats de mensajería, usando nombres de empresas conocidas en el sector de las puertas y las personas y ofrecía lacado y barnizado a precios muy asequibles.

En Genbeta

Tres adolescentes cometieron en España el mayor fraude contra Amazon de Europa. La política de devoluciones lo puso en bandeja

La gente le contactaba para encargar sus servicios y él, incluso, acudía a su domicilio, acordaban un presupuesto y también se encargada de recoger los materiales que había que arreglar. Les solicitaba el 50% del costo de la reparación, por adelantado. 

Cómo lograba sonsacar más dinero

Como recogen desde La Crónica Balear, unos días más tarde pedía más dinero a sus clientes alegando motivos lógicos como que necesitaba comprar más materiales o que el trabajo era más complicado de lo esperado y necesitaba contar con los servicios de otro carpintero. También alegaba que tenía que alquilar un local para seguir con su labor. 

En Genbeta

Cómo denunciar un fraude o delito: qué hacer paso a paso y dónde acudir

Según las denuncias puestas por las víctimas de esta estafa incluso enviaba documentación en fotografías de quiénes eran esos otros carpinteros que iban a ayudar y a veces alegaba que, al final de la reforma, les daría un descuento sobre el precio inicialmente pactado. 

Como añade Europa Press, a la hora de la verdad, cuando tenía que devolver las puertas o las ventanas, no lo hacía y además dejaba de contestar las llamadas o los mensajes. Con algunas de sus víctimas sí llegó a mostrarse agresivo verbalmente y les exigió más dinero para devolverles sus cosas. 

Imagen | Foto de Paul Trienekens en Unsplash

En Genbeta | Un trabajador se reunió con su jefe, que le pedía enviar 23 millones a una cuenta. Tras hacerlo se enteró de que era un deepfake

Roberto Gamboa se definía como "trafficker digital", y decía estar "haciendo historia, creando de cero el cambio que otros nos niegan en el mercado de oportunidades más grande de la historia de la Humanidad, y formando la comunidad más libre y unida del mundo". 

La realidad es muy distinta según el juzgado de Primera Instancia 52 de Madrid, que le va a obligar, por primera vez en España en un caso de este tipo, a devolver 4.840 euros al demandante, un usuario que le denunció por estafa. Ha tardado en llegar, pues ya hace 4 años, el youtuber Tamayo "desmontaba" a Gamboa en un vídeo de más de 20 minutos. Por su parte, Gamboa se defendía de todas estas acusaciones afirmando que todas estaban basadas en el odio.

La realidad detrás del "máster" del "trafficker digital"

La víctima de estas prácticas, según detalla El Mundo, fue un hombre de 48 años y trabajador de Correos, que tras ver algunos vídeos, quiso hacer el curso. Pero la cosa olía mal desde el comienzo. Le obligaron a pagar 121 euros por hacer una entrevista para cribar a los mejores, cuando en realidad seleccionaban a todo el mundo que quisiera. Tras pasar esa entrevista, y sin ningún tipo de garantía de éxito, el demandante pagó los 4.840 euros del curso.

La realidad de Gamboa era muy diferente a la prometida. En primer lugar, el master no estaba homologado por ninguna institución. En segundo lugar, el líder del proyecto no tenía más que un FP en Informática. Eso sí, hizo creer que todo sería mucho más grande, realizando una gran inversión publicitaria en Google y motivadores reels y una imagen de triunfador.

En Genbeta

Los hombres de la generación Z están tan desesperados por ganar dinero que apuestan todos sus ahorros online y en directo

Convertirte en eso mismo es lo que prometía a sus alumnos. Sin embargo, los cursos estaban completamente vacíos, como acostumbran últimamente los que proceden de esta suerte de personajes de Internet. El juez le ha condenado por "abuso" hacia sus clientes, de cuya ansiedad se aprovechaba. Y es que pese a pagar esas ingentes cantidades de dinero, el curso comenzaba haciendo algo tan accesible como crear perfiles en Facebook Ads. 

Tras darse cuenta de la estafa, la víctima pidió la devolución del dinero, y le fue denegado. Le dijeron, como cabía esperar, que no triunfaba haciendo el curso porque no se esforzaba lo suficiente. 

El caso de Gamboa es pionero por su conclusión judicial, pero no una novedad en sí. En los últimos años, no han faltado las acusaciones de estafa piramidal a Llados. Se aprovechan del alcance viral de las redes para atraer a un tipo de público ávido de ingresos, con la promesa de que se harán ricos. 

La cosa no acaba bien (a esta hora la web de Gamboa está caída y sus perfiles cerrados), y está tan extendido que hay incluso cuentas como la de Alejandro Colom, un traer que se dedica a destapar estafas. Según contaba a laSexta Patricia Suárez, presidenta de Asufin, una asociación de usuarios financieros nacida para luchar contra las estafas, este tipo de cursos y trucos "suponen en muchas ocasiones perder tu dinero, cuando se trata de un producto, otras veces se trata de verdaderas estafas".

Imagen | Roberto Gamboa en YouTube y Dash Cryptocurrency en Unsplash

En Genbeta | Los hombres de la generación Z están tan desesperados por ganar dinero que apuestan todos sus ahorros online y en directo

España vuelve a situarse en el punto de mira del cibercrimen: en los últimos días, los expertos en ciberseguridad han lanzado una alerta sobre Klopatra, un nuevo y sofisticado troyano bancario para Android que se disfraza de aplicación de televisión por internet (IPTV) o, incluso, de red privada virtual (VPN), con el fin de robar dinero directamente de las cuentas bancarias de sus víctimas.

¿Su principal objetivo? Los usuarios españoles que buscan por Internet aplicaciones para ver fútbol gratis.

Un troyano disfrazado de entretenimiento

Según el equipo de Inteligencia de Amenazas de Cleafy, la empresa que ha identificado la amenaza, Klopatra es un troyano de acceso remoto (RAT) que empezó a circular a finales de agosto: El malware se distribuye bajo la apariencia de Mobdro, una conocida aplicación de streaming de contenidos con copyright que ya fue cerrada por las autoridades españolas en 2021. Los atacantes la promocionan aprovechando el atractivo de ofrecer canales deportivos 'gratuitos'.

Una vez que la víctima instala la aplicación, esta solicita permisos de accesibilidad, una función legítima pensada para ayudar a personas con discapacidad. Pero al otorgarlos, el usuario entrega al troyano el control total del dispositivo. Desde ese momento, Klopatra puede grabar la pantalla, registrar pulsaciones de teclado, acceder a las aplicaciones instaladas e incluso desbloquear el móvil sin intervención del usuario.

El ataque: cuando duermes, Klopatra trabaja

El comportamiento del malware ha sorprendido a los investigadores por su nivel de planificación y sigilo: Klopatra espera a que el móvil esté inactivo, normalmente durante la noche, cuando detecta que la pantalla está apagada. En ese momento, el atacante accede al dispositivo de forma remota, introduce el PIN o patrón de desbloqueo, reduce el brillo de la pantalla y entra en la aplicación bancaria de la víctima. Una vez dentro, realiza transferencias sucesivas hasta vaciar por completo la cuenta.

El proceso puede completarse en cuestión de minutos, sin que el propietario del teléfono llegue a percibir actividad extraña. Por la mañana, la víctima simplemente descubre que su saldo ha desaparecido.

• España e Italia, los principales objetivos: Las investigaciones de Cleafy revelan que España e Italia son los países más afectados. Ambos comparten un elemento común: la popularidad de las IPTV con contenido no autorizado y el fútbol como principal reclamo. Los ciberdelincuentes se aprovechan de este fenómeno para atraer a los usuarios que buscan alternativas gratuitas a los servicios de televisión de pago.

En Genbeta

Cuidado con este peligroso troyano bancario que se disfraza de todo tipo de apps (y se desinstala cuando ha terminado de robarte)

• Desde Turquía con amor. Cleafy ha identificado dos campañas activas y al menos 3.000 dispositivos comprometidos, de los cuales cerca de 1.000 pertenecen a usuarios españoles. Los servidores de mando y control (C2) utilizados por el malware apuntan a un grupo criminal de habla turca, que opera de forma profesional y organizada.

Un malware muy sofisticado

Klopatra no es un troyano más. Utiliza técnicas avanzadas de evasión y ocultamiento que dificultan su detección incluso por los antivirus más potentes. Entre ellas destaca el uso de Virbox, una herramienta comercial de protección de software que encripta y oculta el código malicioso, impidiendo que los sistemas de análisis lo identifiquen.

Además, recurre a bibliotecas nativas de Android en lugar del habitual código Java, lo que complica el trabajo de los analistas y refuerza su persistencia dentro del dispositivo. En palabras de los expertos, Klopatra representa un salto cualitativo en la profesionalización del cibercrimen móvil. Ya no se trata de simples estafas, sino de operaciones estructuradas, con infraestructura propia y una clara intención de monetizar las infecciones a gran escala.

Cómo protegerte

La principal puerta de entrada del malware es la instalación de aplicaciones fuera de la Play Store, algo habitual entre quienes buscan ver fútbol o series sin pagar. Los especialistas recomiendan seguir unas pautas básicas para evitar caer en la trampa:

• No instales apps desde fuentes desconocidas. Descarga solo desde tiendas oficiales como Google Play o la App Store.
• Desconfía de las ofertas demasiado buenas. Si una app promete acceso gratuito a contenidos de pago, probablemente sea un fraude.
• Revisa los permisos antes de aceptar. Un servicio de televisión no necesita acceso a tus servicios de accesibilidad o tus SMS bancarios.
• Mantén el sistema operativo actualizado. Las actualizaciones pueden corregir vulnerabilidades que los atacantes podrían explotar.
• Activa las alertas bancarias por SMS o correo para detectar transferencias no autorizadas en tiempo real.

Vía | Europa Press

Imagen | Marcos Merino mediante IA

En Genbeta | Cómo denunciar un fraude o delito: qué hacer paso a paso y dónde acudir