· Jonathan Izquierdo · Ciberseguridad  ·

9 min de lectura

El nuevo cibercrimen: Ya no es un hacker, es un mercado organizado

Los expertos lo tienen claro: 'Nos ataca un mercado, no un cibercriminal'. Cómo ha evolucionado el cibercrimen y qué significa para la evidencia digital.

Los expertos lo tienen claro: 'Nos ataca un mercado, no un cibercriminal'. Cómo ha evolucionado el cibercrimen y qué significa para la evidencia digital.

“¿Pero esto no era cosa de cuatro frikis en un sótano?”

Es lo que me preguntó un juez hace dos semanas cuando le explicaba un caso de suplantación de identidad. Y mi respuesta fue clara: esa época ya pasó.

“Nos ataca un mercado, no un cibercriminal”, advertía esta semana Julián Delgado, experto de Factum, en el encuentro CiberIDiA 2026. Y tiene razón.

El cibercrimen ha evolucionado de hackers solitarios a una industria perfectamente organizada. Esta guía te explica qué significa este cambio y cómo afecta a la evidencia digital.

El fin del hacker romántico

Durante años tuvimos en mente la imagen del hacker solitario: un genio informático en un cuarto oscuro, rodeado de pantallas, movido por el reto intelectual.

Esa figura ya no existe en el cibercrimen actual.

Lo que tenemos ahora es una industria con:

  • Especialización por roles (como en cualquier empresa)
  • Canales de distribución organizados
  • Modelos de negocio probados y escalables
  • Subcontratación de servicios especializados
  • Atención al cliente (sí, en serio)

He visto grupos criminales con organigramas más complejos que muchas empresas legítimas.

Cómo funciona el mercado criminal actual

En mis análisis forenses veo siempre los mismos patrones. El cibercrimen actual funciona como una cadena de montaje:

Los “proveedores de acceso”

Se dedican exclusivamente a conseguir credenciales:

  • Campañas masivas de phishing
  • Ataques a bases de datos mal protegidas
  • Compra de credenciales filtradas en brechas
  • Ingeniería social dirigida contra empleados

Venden estos accesos a otros grupos por 50-500€ cada uno.

Los “operadores de ransomware”

Compran accesos y ejecutan el ataque:

  • Escalan privilegios dentro de la red
  • Mapean sistemas críticos
  • Cifran archivos estratégicamente
  • Negocian el rescate

Su margen: entre el 70-80% del rescate pagado.

Los “especialistas en lavado”

Se encargan de convertir criptomonedas en dinero limpio:

  • Mezclan transacciones en múltiples wallets
  • Usan exchanges sin KYC
  • Convierten a dinero fiat por países terceros
  • Cobran comisiones del 10-20%

Los “proveedores de infraestructura”

Alquilan servidores, dominios y herramientas:

  • Botnets para distribuir malware
  • Servidores “bulletproof” que no colaboran con policía
  • Dominios con nombres similares a empresas legítimas
  • Certificados SSL falsificados para parecer legítimos

La identidad como nuevo perímetro

Lo que más me llama la atención en los casos actuales es el cambio de objetivo.

Antes los atacantes querían romper sistemas. Ahora quieren suplantar usuarios.

Por qué ha cambiado todo

“El atacante ya no necesita romper un sistema, le basta con hacerse pasar por el usuario legítimo”, explica Delgado de Factum. Y es exactamente lo que veo en mis peritajes.

Los métodos tradicionales de defensa se quedan obsoletos:

  • Firewall: inútil si el atacante entra con credenciales válidas
  • Antivirus: no detecta comportamientos legítimos con credenciales robadas
  • VPN: si tienes las credenciales, entras sin problema
  • Autenticación de doble factor: se puede bypassear con ingeniería social

Técnicas de suplantación actuales

En 2025 he analizado estos métodos:

Token hijacking Microsoft alertó del incremento de ataques que capturan tokens válidos sin robar contraseñas:

  • Engañan al usuario para que “autorice” una aplicación maliciosa
  • La aplicación obtiene permisos para acceder a Office 365
  • Usan esos permisos para leer emails, descargar archivos, etc.
  • Todo parece acceso legítimo en los logs

Consent phishing Páginas que imitan pantallas de login de Microsoft/Google:

  • Usuario introduce credenciales normalmente
  • La página las captura y las usa inmediatamente
  • Mientras tanto, redirige al usuario al sitio real
  • Usuario piensa que se equivocó de contraseña la primera vez

SIM swapping empresarial Atacan directamente a operadoras telefónicas:

  • Consiguen empleado corrupto o engañan al soporte
  • Transfieren el número de un directivo a su control
  • Usan SMS de recuperación para acceder a cuentas corporativas
  • Cambian contraseñas y toman control total

Casos que he investigado

El CEO que no era CEO

Caso real de hace tres meses: empresa recibe email del CEO pidiendo transferir 50.000€ urgentemente.

El email parecía legítimo:

  • ✅ Remitente correcto
  • ✅ Firma corporativa
  • ✅ Referencias a proyectos internos
  • ✅ Tono y vocabulario del directivo

Pero había un problema: el CEO estaba de vacaciones sin conexión.

Mi análisis reveló:

  • Cuenta de Office 365 comprometida 2 semanas antes
  • Atacante había leído 6 meses de emails para aprender su estilo
  • Usó información interna para hacer creíble la petición
  • Todo desde los propios servidores de la empresa

Resultado: La transferencia se paró porque la administrativa dudó del día de la fecha. Literalmente se salvaron por un detalle.

La suplantación perfecta

Otro caso: demanda por despido improcedente basada en supuestos emails insultantes del trabajador.

Los emails existían en el servidor. Las cabeceras eran correctas. Todo parecía auténtico.

Pero mi análisis forense detectó:

  • Login desde IP diferente a la habitual 30 minutos antes
  • Cambio del idioma del teclado (de español a inglés)
  • Patrones de escritura inconsistentes con emails anteriores
  • Uso de VPN comercial barata

Conclusión: Alguien había conseguido sus credenciales y enviado los emails para justificar el despido.

Cuándo SÍ necesitas análisis de identidad digital

No todos los casos de suplantación requieren perito, pero sí estos:

Transferencias económicas sospechosas

Si tu empresa ha hecho un pago basado en emails “del jefe”:

  • Análisis de cabeceras y trazabilidad IP
  • Verificación de autenticidad de cuentas
  • Timeline de actividad sospechosa
  • Comparación de patrones de escritura

Despidos basados en comunicaciones digitales

Si vas a despedir (o te han despedido) por emails o mensajes:

  • Verificación de autoría real
  • Análisis de metadatos y timestamps
  • Detección de accesos no autorizados
  • Cadena de custodia de la evidencia

Casos de acoso o amenazas online

Especialmente cuando el acusado niega haber enviado los mensajes:

  • Análisis forense de dispositivos
  • Trazabilidad de conexiones de red
  • Verificación de cuentas y perfiles
  • Detección de herramientas de anonimización
Cuidado con los falsos positivos

He visto casos donde familiares usan las mismas cuentas, empleados comparten ordenadores, o hay malware que envía mensajes automáticamente. No asumas que el titular de la cuenta es siempre el autor real.

Qué puede demostrar un análisis forense de identidad

Esto es lo que puedo determinar en un análisis típico:

  1. Autenticidad del remitente - ¿realmente lo envió él?
  2. Momento exacto del envío - ¿cuándo se creó y cuándo se envió?
  3. Ubicación geográfica - ¿desde dónde se conectó?
  4. Dispositivo utilizado - ¿su móvil habitual u otro?
  5. Contexto de la conexión - ¿VPN, wifi público, datos móviles?
  6. Patrones de comportamiento - ¿coincide con su forma habitual?
  7. Evidencia de compromiso - ¿hay signos de cuenta hackeada?

La combinación de todos estos elementos permite determinar la autoría real con alta fiabilidad.

Defensas que funcionan contra la suplantación

Basándome en casos reales, estas medidas son efectivas:

Autenticación multifactor resistente a phishing

No vale cualquier 2FA. Necesitas:

  • FIDO2/WebAuthn - imposible de replicar en sitios falsos
  • Push notifications con contexto - que muestren qué se está autorizando
  • Códigos de un solo uso con expiración muy corta
  • Biometría local combinada con el factor digital

Zero Trust en serio

No confíes en nada, ni siquiera si viene de “dentro”:

  • Verificación continua de identidad
  • Permisos mínimos por defecto
  • Monitorización de comportamientos anómalos
  • Re-autenticación para acciones críticas

Verificación fuera de banda

Para decisiones importantes:

  • Transferencias superiores a X€: llamada telefónica de confirmación
  • Cambios críticos de configuración: autorización presencial
  • Acceso a datos sensibles: notificación a supervisor
  • Comunicaciones urgentes del jefe: verificación por canal alternativo

Formación en ingeniería social

Los empleados deben saber identificar:

  • Peticiones urgentes fuera de procedimiento
  • Solicitudes de credenciales por cualquier medio
  • Presión emocional o amenazas veladas
  • Información que “solo podría saber el jefe”

El nuevo perfil del investigador forense

Este cambio en el cibercrimen también cambia mi trabajo como perito.

Antes investigaba sistemas, ahora investigo personas

  • Análisis de patrones de escritura - ¿es su forma habitual de expresarse?
  • Correlación de actividades - ¿estaba realmente conectado a esa hora?
  • Análisis de metadatos sociales - ¿coincide con su ubicación conocida?
  • Verificación de coartadas digitales - ¿hay evidencia de que estaba en otro sitio?

Antes buscaba malware, ahora busco anomalías de comportamiento

  • Conexiones desde ubicaciones inusuales
  • Actividad fuera de horarios habituales
  • Cambios en patrones de comunicación
  • Acceso a recursos que normalmente no usa

Antes analizaba discos duros, ahora analizo identidades

  • Logs de autenticación en múltiples servicios
  • Historial de ubicaciones de dispositivos móviles
  • Patrones de actividad en redes sociales
  • Correlación temporal entre diferentes servicios

Tendencias para 2026

Veo estos desarrollos en el horizonte:

IA para personalizar ataques

Los atacantes empiezan a usar inteligencia artificial para:

  • Analizar el estilo de escritura de sus objetivos
  • Generar emails más convincentes
  • Automatizar la ingeniería social
  • Crear deep fakes de voz para llamadas de verificación

Ataques a la cadena de confianza

En lugar de atacar a la empresa, atacan:

  • A sus proveedores de cloud
  • A las empresas de soporte técnico que contratan
  • A los auditores externos que tienen acceso
  • A las familias de los directivos para presionarlos

Criminalización de la defensa

Grupos criminales empiezan a:

  • Demandar a empresas que los investigan
  • Filtrar datos personales de investigadores de seguridad
  • Atacar a familiares de profesionales de ciberseguridad
  • Usar el propio sistema legal para ralentizar las investigaciones
Mi predicción

En 2026 veremos los primeros casos de “defamation washing” - grupos criminales demandando por difamación a empresas que publican información sobre sus ataques. El sistema legal se convertirá en parte de su estrategia.

Implicaciones legales del nuevo cibercrimen

Este cambio tiene consecuencias jurídicas importantes:

Atribución más compleja

Demostrar quién hizo qué es cada vez más difícil:

  • Los atacantes usan identidades de víctimas reales
  • Las técnicas de ocultación son más sofisticadas
  • La línea entre víctima y cómplice se difumina
  • La evidencia se distribuye entre múltiples jurisdicciones

Nuevos tipos de responsabilidad

¿Quién es responsable cuando:

  • Un empleado cae en un engaño muy elaborado?
  • Se usan credenciales válidas obtenidas ilícitamente?
  • El ataque viene de infraestructura comprometida de terceros?
  • La víctima inicial se convierte en vector de ataque involuntario?

Evolución de las defensas legales

Aparecen nuevas estrategias:

  • “Sophisticated attacker” - el ataque era tan elaborado que no se podía evitar
  • “Reasonable security” - teníamos medidas proporcionales al riesgo
  • “Contributory negligence” - la otra parte también tenía responsabilidad
  • “Force majeure digital” - el ataque estaba fuera de nuestro control

Conclusión: adaptarse o morir

El cibercrimen ha evolucionado de actividad individual a industria organizada. Los que seguimos pensando en términos de “hackers solitarios” vamos con 10 años de retraso.

Mi recomendación basada en cientos de casos analizados:

Para empresas:

  • Cambia tu modelo mental: no te defiendas de individuos, defiéndete de una industria
  • Invierte en protección de identidad digital, no solo en perímetros técnicos
  • Forma a tus empleados en el nuevo perfil de amenazas
  • Prepárate para ataques que no parecen ataques

Para abogados:

  • La suplantación de identidad digital va a explotar como área de litigio
  • Aprende a distinguir entre acceso autorizado y acceso legítimo
  • Los casos de “el ordenador se equivocó” van a multiplicarse
  • La pericial va a ser imprescindible para determinar autoría real

Para investigadores:

  • El futuro es la investigación de identidades, no de sistemas
  • Las herramientas tradicionales de forensics se quedan cortas
  • Hay que correlacionar evidencia de múltiples fuentes y servicios
  • La antropología digital se vuelve tan importante como la informática

El mensaje es claro: nos ataca un mercado, no un cibercriminal. Y nuestra defensa debe evolucionar en consecuencia.

¿Tu empresa ha sufrido suplantación de identidad digital? Puedo ayudarte a determinar la autoría real y la extensión del compromiso. Contacta conmigo para un análisis forense especializado.

Artículo basado en el encuentro CiberIDiA 2026 y mi experiencia analizando casos de suplantación digital en España.

Sobre el autor

Jonathan Izquierdo es perito informático forense especializado en Ciberseguridad con conocimientos en blockchain, criptomonedas, AWS Cloud, desarrollo de software y seguridad. Experiencia tecnológica de más de 20 años al servicio de la justicia digital, liderando equipos de desarrollo de software en ámbitos internacionales.

Ver más sobre mí

Volver al Blog

Posts Relacionados

Ver Todos los Posts »
Jonathan Izquierdo

Jonathan Izquierdo · Perito Forense

+15 años experiencia · AWS Certified

WhatsApp