El ciberdelincuente no llama al timbre. Tampoco necesita forzar ninguna cerradura. Le basta con que alguien, al otro lado de la pantalla, pulse donde no debía.
En 2025 se registraron en España 489.248 infracciones relacionadas con la ciberdelincuencia (un 5,3% más que el año anterior), lo que convierte este tipo de delito en el 19,8% de todas las infracciones penales del país.
Esa realidad fue el punto de partida del encuentro que reunió el pasado jueves en el Hotel GF Victoria de Costa Adeje a expertos en ciberseguridad, derecho digital y tecnología, en una jornada organizada por BBVA y el CEST (Círculo de Empresarios del Sur de Tenerife) dirigida al tejido empresarial canario. El propósito, según subrayó Javier Cabrera, presidente del CEST, es “informar y hacer conscientes a las empresas de una situación en la que las estafas están a la orden del día”.
Quim Soler, director territorial de BBVA en Canarias, situó el fenómeno en su dimensión real y remarcó que “las tecnologías emergentes están amplificando estas amenazas: falsificaciones de voz o vídeo, mensajes maliciosos cada vez más creíbles y suplantaciones de identidad”.
Jonathan Barrera Delgado, CEO de Alturanet Group, puso nombre y consecuencias a esa amenaza: ocho de cada diez pymes que reciben un ciberataque acaban cerrando. “Dos pequeñas asesorías de la capital tinerfeña sufrieron un ataque que les encriptó todos los datos y no lograron recuperarse”, afirmó.
“La IA ha sobrepotenciado esto, y solo tenemos que equivocarnos una única vez para perderlo todo”.
El abogado Martín Rosa, del CEST y socio director de IUS Confidence, lleva años asesorando a empresas que han caído en esas trampas y conoce el catálogo de amenazas desde dentro. La más extendida, aseguró, es la suplantación de identidad (smishing a través de SMS, vishing mediante llamadas de voz, o el famoso fraude del CEO por correo electrónico).
Laura del Pino, responsable de Protección de Información y Cultura de Seguridad en BBVA España, con más de veinte años en el sector, identificó el error más recurrente. “Se suele pensar que todo se arregla con tecnología, pero nos olvidamos del componente humano”, explicó Del Pino. “Somos manipulables. Es nuestra condición”.
En ese esfuerzo, el marco regulatorio estatal comienza a estipularse. La Orden Ministerial del 12 de febrero de 2025 establece medidas específicas para combatir las estafas de suplantación de identidad a través de llamadas y mensajes fraudulentos, un avance que el sector valora pero que, en opinión de los ponentes, “necesita acelerar su implementación para ser realmente efectivo”.
Mientras tanto, BBVA avanza con un enfoque que combina tecnología (como la mensajería verificada mediante tecnología RCS, que dificulta la falsificación de remitentes). De hecho, ya ha formado presencialmente en ciberseguridad a más de 1.000 pymes y acumula más de 718.000 visitas en sus cursos de formación online.
La defensa eficaz, concluyeron los expertos, “no depende de una sola palanca”, sino de albergar equipos actualizados, antivirus activos, doble factor de autenticación (una capa adicional de seguridad más allá de la contraseña) y un sistema de parcheo sistemático ante las vulnerabilidades, una formación periódica de todo el personal y protocolos para el momento en que llegue el incidente.
La pausa digital: evitar decisiones irreflexivas, verificar y actuar
Y antes de que llegue el ataque -porque llegará, advierten- hay un concepto que todos los ponentes reivindicaron: la pausa digital. Ese instante en el que todo parece urgente, en el que un mensaje empuja a actuar sin pensarlo, es exactamente el momento en que hay que detenerse. Parar. Pensar. Verificar por otro canal antes de ejecutar cualquier instrucción recibida por vía digital.
El mecanismo es siempre el mismo: un SMS que reclama sacar dinero de inmediato, un correo que exige cambiar la contraseña antes de que expire la cuenta, una notificación que avisa de un paquete retenido. Mensajes diseñados para crear tensión, comprimir el tiempo de reacción y forzar una decisión irreflexiva. La urgencia que transmiten casi siempre es impostada. Reconocerla a tiempo no requiere tecnología ni inversión. Solo requiere un segundo de pausa, ese que puede ser la diferencia entre una empresa que resiste y una que cierra.