Egidio
Dossier · mecanismo · 2026

La filtración es solo el primer paso

Un nombre y un número de teléfono que se filtran no se convierten en una estafa por sí solos. Hay una cadena, con etapas precisas y documentadas, entre el momento en que tus datos salen de una base vulnerada y el momento en que tu teléfono suena con un guion que parece saberlo todo de ti.

La cadena completa, paso por paso

1

La filtración

Una dependencia, un hospital, una escuela o una aerolínea sufre un hackeo. Tú no hiciste nada mal — la falla está del lado de quien resguardaba tus datos. Ve el dossier de filtraciones de datos en México para los casos documentados.

2

La circulación

Los datos robados se ponen a la venta o se filtran de acceso libre, casi siempre en foros especializados o canales de Telegram. Un lote de datos de identidad completo (nombre, dirección, CURP, a veces número de seguridad social) puede negociarse en distintos precios — las cifras exactas varían enormemente según la fuente y el tipo de dato, pero el principio es el mismo: es un mercado, con oferta y demanda, y un dato de este tipo no caduca nunca, a diferencia de una contraseña que se puede cambiar.

3

La construcción del guion

Esta es la etapa menos visible y la más determinante. El estafador no trabaja al azar: cruza varias filtraciones o fuentes para armar un guion coherente — tu banco, tu sucursal, tu dependencia de gobierno, a veces incluso tu escuela o tu aerolínea. La ingeniería social explota la psicología humana, no una falla técnica: los ataques se construyen por capas, con una legitimidad percibida que aumenta con cada dato exacto que se menciona.

4

La ejecución

El contacto llega por llamada, SMS o WhatsApp, con una urgencia fabricada ("detectamos una transferencia irregular en tu cuenta", "tu trámite debe regularizarse de inmediato"). En México, el patrón documentado por CONDUSEF se repite: llamadas que simulan ser del banco, mensajes SMS con alertas urgentes y sitios clonados, con manipulación emocional basada en miedo, urgencia o incertidumbre — no en errores de ortografía ni promesas de premios improbables.

CONDUSEF, alertas 2025-2026
5

La petición final

Transferencia a una "cuenta segura", código de verificación a compartir, o redirección a un sitio falso. Los reclamos por presunto fraude ante CONDUSEF en la banca múltiple aumentaron 18% entre enero y mayo de 2026 respecto al mismo periodo del año anterior.

CONDUSEF, reclamaciones enero-mayo 2026

Lo que confirman las cifras oficiales

Los reportes de CONDUSEF y de medios especializados documentan una aceleración clara, justamente en las categorías de fraude que dependen de datos personalizados:

2.4 millones+
Fraudes bancarios registrados en México solo en el primer semestre de 2025, con pérdidas superiores a 10 mil millones de pesos.
CONDUSEF, datos citados por Xataka México y Vanguardia, 2025.
+24.6%
Aumento anual de los fraudes por suplantación de identidad reportados por usuarios en el primer semestre de 2025, por un monto de 634 millones de pesos.
CONDUSEF, primer semestre de 2025.
+11.4%
Aumento de las quejas por fraude bancario digital entre enero y mayo de 2026 (11,061 quejas ante CONDUSEF).
CONDUSEF, enero-mayo 2026.
+17.3%
Repunte de quejas del grupo de 60 a 69 años, de 5,756 a 6,750 casos, entre enero y mayo de 2026 — el mayor incremento de vulnerabilidad de todos los grupos de edad.
CONDUSEF, enero-mayo 2026.
🔒 Estas cifras confirman lo que ya documenta el Reporte México: 2.48 millones de reclamaciones por fraude bancario y apenas 24.3% de restitución en el periodo más reciente analizado por CONDUSEF, Banxico y la Guardia Nacional.

Quién es el objetivo

Las personas de 60 años y más siguen sobrerrepresentadas entre las víctimas, pero no exactamente por las razones que suele suponerse:

32.2%

Proporción de las reclamaciones por fraude ante CONDUSEF que corresponde a personas de 60 años o más en México.

1 de cada 3

Es la proporción de víctimas de fraude bancario digital que ya pertenece al sector de adultos mayores, según la alerta de CONDUSEF de junio de 2026.

Factores acumulados

Menor familiaridad con canales digitales, aislamiento social — pero también un patrimonio acumulado (pensión, ahorro, propiedad) que vuelve al objetivo económicamente más atractivo, según CONDUSEF e INAPAM.

Un matiz importante

La personalización con datos robados reduce la ventaja que normalmente tienen los perfiles más informados. Ningún perfil está completamente exento.

🔒 Precisamente porque estos ataques usan información real, una protección estática —lista negra de números, palabras clave sospechosas— resulta estructuralmente ciega: el número no está en ninguna lista negra conocida, el mensaje no contiene ninguna palabra clave típica de estafa. Lo que delata el patrón es la constelación de comportamientos a través de los canales (un contacto que pasa de una llamada a un SMS y luego a WhatsApp, con una urgencia financiera que se introduce de forma progresiva) — exactamente lo que Medusa está diseñado para reconocer. Ve cómo funciona Medusa.

Preguntas frecuentes

¿Una filtración de datos lleva automáticamente a una estafa?

No de forma automática ni inmediata — los datos robados circulan, se revenden y a veces se explotan meses después de la filtración original. Pero el vínculo estadístico es claro: en México, las quejas por suplantación de identidad y fraude bancario digital han crecido de forma sostenida en 2025-2026, justo en los años de mayor filtración de datos documentada.

¿Por qué una llamada de estafa puede conocer datos reales sobre mí, como mi CURP o mi banco?

Porque esa información probablemente se filtró en alguna de las violaciones de datos que han afectado a instituciones mexicanas — desde el IMSS hasta escuelas o aerolíneas. Los estafadores compran estos lotes de datos para construir un guion que parece imposible de adivinar al azar.

¿Por qué las personas adultas mayores son más buscadas por los estafadores en México?

Una combinación de factores documentados por CONDUSEF: menor familiaridad con canales digitales, mayor aislamiento social, y en muchos casos un patrimonio acumulado (pensión, ahorro, propiedad) que vuelve al objetivo económicamente más atractivo. Pero la personalización con datos robados reduce la ventaja que suelen tener los perfiles más informados — nadie está exento.

Para profundizar