Hay momentos en la vida que, sin esperarlo, se convierten en pequeñas lecciones de ciberseguridad. Y no hace falta que te pase algo traumático, ni que recibas un ataque sofisticado de ingeniería social, ni que se te infiltre un troyano ruso o te instalen Pegasus. A veces basta una llamada de teléfono hecha desde el coche, un instante en el que confías “porque sí” y… pum: dudas, susto y un “¿pero qué acaba de pasar?” que te deja con la mosca detrás de la oreja durante horas.
Hace unas semanas, alguien cercano me contó una situación de esas que parecen tontas, pero que en realidad explican muy bien cómo funcionan muchos engaños hoy en Internet. Iban en el coche, volviendo a casa, y recordaron que tenían que llamar a Iberdrola para resolver una gestión pendiente. Nada urgente. Una llamada rutinaria como la que hacen miles de personas cada día.
Como una de las personas iba conduciendo, la otra buscó en Google “teléfono Iberdrola” y, como le pasa a muchísima gente, pulsó el primer resultado. Llamó. Y ahí empezó la historia.
Nada más descolgar, saltó una locución automatizada. Pero había algo extraño:
- El tono no era el habitual.
- No había música corporativa, esa musiquita cansina pero reconocible que suele sonar cuando llamas a una gran empresa.
- La voz sonaba genérica, como si fuese un sistema telefónico prefabricado más que un servicio oficial.
En ese momento, la persona que conducía dijo casi por instinto:
—Cuélgalo. Esto no es Iberdrola.
El problema no era solo la locución. Era la sensación general. Algo no encajaba. Y la intuición —esa herramienta de ciberseguridad que casi nunca se menciona pero que muchas veces funciona— se activó sola.
Entonces hicieron lo correcto: entrar en la web oficial de Iberdrola, buscar ahí el número y llamar desde dentro.
Y al hacerlo:
- sonó la música corporativa habitual,
- la locución era la de siempre,
- y la estructura del menú telefónico sí parecía la oficial.
Ahí quedó clarísimo: el primer número al que habían llamado no era Iberdrola.
¿Qué era entonces?
Un call center falso. Un servicio intermedio “pirata”. O, directamente, un timo.
Hoy en día existen empresas, y también grupos de estafadores, que compran anuncios en Google para posicionarse arriba del todo cuando alguien busca “Iberdrola teléfono”, “Movistar atención al cliente”, “Hacienda cita previa”, “Renfe atención” y similares.
No solo juegan con la urgencia. Juegan con la confianza automática que muchas personas depositan en el primer resultado.
Esto tiene nombre: malvertising
Lo que ocurrió en esa llamada, y lo que le pasa a mucha más gente de la que parece, se llama malvertising: una mezcla de malicious (malicioso) y advertising (publicidad).
Básicamente consiste en comprar anuncios en plataformas como Google Ads para:
- engañar a usuarios,
- redirigirles a números falsos,
- capturar datos,
- o venderles servicios que no han solicitado.
Lo peor es que estas campañas no siempre buscan estafarte económicamente de inmediato: a veces simplemente quieren hacer de “intermediarios”, cobrarte por un servicio gratuito o derivarte a gestores externos que nada tienen que ver con la empresa.
Pero el resultado es el mismo:
contactas con alguien que NO ES quien tú crees que es.
Y ahí es donde empiezan los problemas.
El malvertising funciona porque se aprovecha de patrones de comportamiento muy humanos:
1) Somos rápidos con el móvil
Buscamos, vemos el primer resultado, pulsamos.
Automático. Ni lo pensamos.
2) Confiamos en Google como si fuera infalible
“Si está arriba es que será lo bueno”, creemos.
Error.
3) No analizamos la URL ni el dominio
Porque estamos pensando en resolver nuestro problema, no en hacer auditoría forense.
4) Google Ads no distingue ética: si pagas, sales arriba
Y ahí está la clave:
Los primeros resultados NO SIEMPRE SON ORGÁNICOS.
Muchos son anuncios. Y cualquiera puede comprarlos.
Y permíteme añadir otra historia reciente, porque ilustra lo mismo desde otro ángulo.
Mis padres compraron hace poco unas entradas para ver a Andrea Rieri en el Roig Arena en Valencia. Buscaron “Andrea Rieri roig arena” y… adivina: hicieron clic en el primer resultado.
¿Dónde terminaron?
En Viagogo.
Sí, esa plataforma de reventa de la que Juan Dávila avisa constantemente que NO compremos jamás. De hecho, lo dice tanto que ya forma parte de su show.
Mis padres no tenían ni idea.
Y, como tanta gente, compraron sin saber que:
- El precio no era el original,
- No era venta oficial,
- Y podían quedarse sin entrar perfectamente.
En su caso hubo final feliz: pudieron ver a Andrea Rieri sin problemas.
Pero un final feliz no elimina el riesgo.
Y sirve como recordatorio de lo mismo:
no hay que pulsar el primer resultado por defecto. Jamás.
La moraleja: la primera opción rara vez es la mejor
La historia de esa llamada.
La historia de las entradas.
Y la de miles de personas cada día.
Todo tiene una raíz común:
Pulsamos antes de pensar.
Hoy en día no nos engañan con técnicas avanzadísimas.
Nos engañan con prisas, automatismos y confianza excesiva.
Y eso, por desgracia, es más eficaz que cualquier zero-day.
Cómo evitar caer en estos engaños
Aquí te dejo recomendaciones adaptadas al día a día. No requieren saber de hacking, ni ser técnico, ni tener un máster en ciberseguridad.
1) Evita los resultados patrocinados (Ads) cuando busques teléfonos
Pueden ser legítimos… o no.
Pero si buscas algo crítico, no te la juegues.
2) Entra SIEMPRE en la web oficial y busca desde dentro
Para empresas de energía, bancos, salud, servicios públicos, entradas, etc.
3) Desconfía de locuciones raras o sin branding corporativo
La primera impresión suele avisarte.
4) Si la voz automática ofrece demasiadas opciones extrañas, sospecha
Algunos números falsos intentan mantenerte en línea para cobrarte la llamada.
5) Comprueba la URL antes de hacer clic
Si no termina en .es, .com o el dominio oficial conocido… mala señal.
6) Cuando compres entradas, hazlo SIEMPRE desde la página oficial del recinto
O desde plataformas principales (Ticketmaster, El Corte Inglés, etc.)
7) Utiliza marcadores para los servicios que usas a menudo
Cuanto menos teclees, menos riesgos corres.
8) Y lo más importante: si algo “no te cuadra”, haz caso a tu intuición
Nueve de cada diez veces… acertarás.
Las estafas basadas en malvertising son baratas, escalables y muy rentables para los delincuentes.
Mientras haya personas que pulsen sin mirar, seguirán existiendo.
La buena noticia es que la solución NO es tecnológica:
es cultural.
Es aprender, compartir, avisar, educar.
Es contar estas experiencias —como hago ahora— para que otras personas estén un poco más alerta mañana.
Y es entender que, en Internet, lo fácil no siempre es lo seguro.
La ciberseguridad no es solo firewalls, cifrado o auditorías.
Es también decisiones pequeñas:
dónde pulsas, a quién llamas, qué resultado eliges.
La próxima vez que busques el teléfono de Iberdrola, Movistar, un hospital o un evento…
no pulses la primera opción.
Respira.
Mira.
Comprueba.
Y luego sí, pulsa.
Ese segundo que te tomas puede evitarte horas, días o semanas de problemas.
Y si este artículo sirve para que una sola persona cuelgue una llamada sospechosa o compre entradas en la web correcta… habrá valido la pena.
