Los ciberdelincuentes están utilizando listas de víctimas previas para ofrecer falsos servicios de recuperación de dinero. Con promesas de reembolsos garantizados y tácticas de ingeniería social, esta red de engaños generó pérdidas millonarias el año pasado al explotar la desesperación de los usuarios por recuperar sus fondos.
Centroamérica, 14 de abril de 2026. ESET, compañía líder en detección proactiva de amenazas, analiza las estafas de recuperación de fondos -recovery scams-, un fraude de recuperación de fondos que funciona como un paraguas de varias tácticas depredadoras, todas orientadas al mismo objetivo: un segundo golpe. Además, advierte que si se dedica un momento para entender cómo funcionan, se tendrá una buena probabilidad de mantenerse a salvo en caso de que haya un contacto.
“A los estafadores solo les importa hacer dinero y aprovechan cada oportunidad para conseguirlo. Si se cayó en un fraude, no se debe bajar la guardia ya que no dudan en revictimizarlas ni en explotar la desesperación por recuperar los fondos robados”, advierte Martina López, investigadora de Seguridad Informática de ESET Latinoamérica.
Estos engaños comienzan cuando los estafadores compran a otros criminales las listas de víctimas que ya han caído en un fraude, o apuntan directamente a víctimas de fraudes que ellos mismos cometieron. Una vez identificadas, las contactan y se hacen pasar por proveedores de servicios de recuperación, agencias de protección al consumidor, funcionarios gubernamentales, fuerzas del orden, reguladores, etc.
Cuando intercambian información sobre el caso, prometen intentar recuperar los fondos a cambio de un pago adelantado, o también pueden afirmar que ya tienen el dinero y que lo están redistribuyendo a clientes afectados. Otra alternativa es que mencionen que solo necesitan completar papeleo para liberar un reembolso supuestamente gestionado por una agencia o entidad gubernamental.
“Esto es básicamente una forma de estafa de pago por adelantado (advance fee scam), que en los Estados Unidos durante 2024 hubo más de 7.000 reportes que generaron más de 102 millones de dólares en pérdidas. Incluso así, probablemente estos números representan solo la punta del iceberg”, agrega López.
ESET muestra que hay señales de alerta para evitar un recovery scam:
· Afirmaciones exageradas: dicen que ya tienen fondos o que “garantizan” recuperarlos.
· Contacto no solicitado: llegan sin que se los busque, por email, redes sociales, SMS o llamada.
· Pago por adelantado: piden un cargo inicial, quizá llamado retainer fee, processing fee, administrative charge o incluso un cobro relacionado con impuestos.
· Ingeniería social: presionan para que se tomen decisiones apresuradas.
· Suplantación: afirman ser de un organismo oficial, un banco o un equipo de fraude.
· Medios de pago no rastreables: solicitan crypto, gift cards o apps de pago difíciles de revertir.
· Correos poco profesionales: usan cuentas de Gmail u otros webmails en lugar de direcciones corporativas legítimas.
Para evitar volver a ser víctima, desde ESET comparten algunas recomendaciones para tener en cuenta: nunca pagar tarifas por adelantado a quien hizo un contacto de la nada; verificar siempre la identidad de la persona que te contacte buscando sus datos en sitios oficiales; y evitar publicar en línea historias sobre cómo se fue estafado, ya que los delincuentes monitorean la web en busca de víctimas para volver a atacar.
En caso de haber sido víctima de una estafa de recupero de fondos, según ESET, las opciones son limitadas. Aconsejan el reportar el incidente a la autoridad oficial que corresponda a cada país. Esto ayuda a las autoridades a mapear el panorama del fraude y proteger a futuras víctimas. Si se pagó a través del banco, notificarles lo antes posible. Monitorear las cuentas y congelar tarjetas afectadas. Si se entregó información personal, cambiar contraseñas, activar MFA y prepararse para recibir phishing más convincente en el futuro.