Doble Victimizacion en Ciberestafas
Tecnica de fraude en la que los ciberdelincuentes contactan a victimas de una estafa previa haciendose pasar por agentes de Europol, abogados o entidades de recuperacion, prometiendo devolver el dinero a cambio de un nuevo pago.
La estafa después de la estafa: que es la doble victimización
En diciembre de 2025, Europol desmantelo una red criminal en la Operación COINBLACK/WENDIMINE que habia estafado 4.5 millones de euros a víctimas de fraudes previos con criptomonedas. La red operaba desde call centers en Bulgaria y Chipre, contactando a personas que ya habian perdido dinero en pig butchering o esquemas de inversión falsos. Les ofrecian “recuperar sus fondos” a cambio de tasas administrativas, impuestos de desbloqueo y comisiones de abogados. Ninguna víctima recupero un solo euro. Muchas perdieron más dinero que en la estafa original.
Cómo perito informático forense, he analizado más de una docena de casos de doble victimización en los últimos dos años. Lo que más impacta es la precisión quirurgica del engaño: los estafadores conocen el importe exacto perdido, la plataforma donde se produjo el fraude y hasta el nombre del supuesto asesor que les atendio. Esa información no es fruto del azar. Proviene de bases de datos de víctimas que se compran y venden en foros de la dark web por entre 5 y 50 euros por registro.
Definicion en 30 segundos
Doble victimización en ciberestafas (también llamada recovery room fraud, advance fee recovery scam o refund fraud) es la técnica mediante la cual una organización criminal contacta a víctimas de estafas previas haciendose pasar por entidades de recuperación de fondos, agentes de Europol/INTERPOL, abogados o reguladores financieros, con el objetivo de extraer un segundo pago bajo la promesa falsa de devolver el dinero perdido.
| Dato clave | Cifra |
|---|---|
| Pérdida media por doble victimización en España | 12.400 euros (INCIBE 2025) |
| Porcentaje de víctimas de criptoestafas que reciben contacto de “recuperadores” | 48% en los 6 meses siguientes (Chainalysis 2025) |
| Tasa de éxito del engaño (víctima paga de nuevo) | 33% (FBI IC3 Report 2024) |
| Fondos desmantelados en Operación COINBLACK | 4.5 millones de euros (Europol, diciembre 2025) |
| Países con más call centers de recovery fraud | Bulgaria, Chipre, Israel, Georgia, Albania |
| Víctimas en España identificadas por INCIBE en 2025 | 2.340 (INCIBE Balance 2025) |
| Tiempo medio entre primera y segunda estafa | 2-6 meses (FBI IC3 2024) |
Cómo funciona la doble victimización: las 3 fases del fraude
Fase 1: Adquisición de datos de víctimas (semanas 1-4)
El punto de partida de toda operación de doble victimización es la lista de víctimas. Los delincuentes obtienen estos datos de tres fuentes principales:
- Bases de datos internas de la estafa original: Cuando la misma organización criminal (o una filial) ejecuto la primera estafa, ya dispone de nombres, teléfonos, emails e importes perdidos
- Compra de “sucker lists” en la dark web: Listas de víctimas verificadas que se venden en mercados cómo Génesis Market o Russian Market por entre 5 y 50 euros por registro, con datos cómo nombre, teléfono, importe perdido, plataforma usada y nivel de sofisticacion de la víctima
- Scraping de foros de víctimas y redes sociales: Las víctimas que publican su experiencia en foros cómo Reddit, Forocoches o grupos de Facebook de estafas cripto proporcionan involuntariamente datos que los estafadores recopilan de forma automatizada
Formato tipico de una “sucker list”:
| Campo | Ejemplo |
|---|---|
| Nombre completo | Maria Garcia Lopez |
| Teléfono | +34 612 XXX XXX |
| maria.gXXX@gmail.com | |
| Importe perdido | 47.200 euros |
| Plataforma estafa | CryptoFX Pro (pig butchering) |
| Fecha última interaccion | Agosto 2025 |
| Estado emocional estimado | Desesperada, busco activamente recuperación |
| Precio del registro | 25 euros |
Fase 2: Contacto y construcción de confianza (semanas 4-8)
Los estafadores utilizan perfiles altamente elaborados para establecer contacto. Los cinco canales más frecuentes son:
- Llamada telefónica fria: Un “agente de Europol” o “abogado especializado en fraude cripto” llama informando de que se han incautado fondos de la plataforma que estafo a la víctima
- Email con documentación oficial falsificada: Correos con logotipos de Europol, FCA (Financial Conduct Authority), CNMV o bufetes de abogados reales, incluyendo números de expediente falsos
- Anuncios en Google y redes sociales: “Has sido víctima de una estafa cripto? Recupera tu dinero. Consulta gratuita” con landing pages profesionales
- Contacto via WhatsApp o Telegram: Mensajes directos citando datos específicos de la estafa original para generar credibilidad
- Formularios web de “reclamación”: Sitios que imitan a reguladores financieros donde la víctima introduce sus datos voluntariamente
Ejemplo real de email fraudulento (caso analizado en mi despacho, datos anonimizados):
De: recovery.unit@europol-fraud-division.eu
Asunto: Caso REF-2025/ES/47829 - Fondos incautados a CryptoFX Pro
Estimada Sra. Garcia:
La Division de Cibercrimen de Europol, en coordinacion con la Guardia Civil
y la CNMV, ha completado la Operación SILVER GATE contra la plataforma
CryptoFX Pro. Se han incautado activos por valor de 23.4 millones de euros.
Según nuestros registros, usted realizo inversiones por valor de 47.200 euros
que son elegibles para reembolso completo.
Para proceder a la devolucion, necesitamos que:
1. Verifique su identidad (copia DNI + justificante bancario)
2. Abone la tasa administrativa de tramitacion: 1.850 euros
3. Firme el formulario de reclamación adjunto
Plazo máximo: 15 días habiles desde la recepción de este email.
[Documento PDF adjunto: "Formulario_Reclamacion_Europol_2025.pdf"]Por que funciona: La víctima reconoce el nombre de la plataforma y el importe exacto. El email utiliza lenguaje jurídico creible, cita operaciones policiales reales (o inventadas de forma plausible) y establece urgencia con un plazo.
Fase 3: Extracción de fondos (semanas 8-16+)
Una vez que la víctima acepta cooperar, los pagos se escalan progresivamente:
Tasa administrativa inicial (800-2.500 euros): “Gastos de tramitacion del expediente y verificación de identidad ante Europol”
Impuesto de desbloqueo (1.500-5.000 euros): “La legislación del país donde estan los fondos exige un depósito fiscal previo a la repatriacion”
Comisión del abogado (2.000-8.000 euros): “Honorarios del letrado que gestionara la transferencia internacional”
Tasa anti-blanqueo AML (1.000-3.000 euros): “Cumplimiento normativo contra el blanqueo de capitales, exigido por el banco receptor”
Coste de conversión cripto a fiat (variable): “Comisión del exchange autorizado para convertir sus Bitcoin a euros”
Cada pago genera una nueva “complicacion” que requiere otro desembolso. El ciclo continua hasta que la víctima se queda sin fondos o detecta el fraude.
Técnicas de manipulación psicológica: la ingenieria emocional del recovery fraud
La doble victimización no es un fraude genérico. Es un ataque de ingenieria social diseñado especificamente para explotar el estado emocional de alguien que ya ha sido estafado. En mi experiencia analizando estos casos, los call centers utilizan manuales de manipulación que aplican técnicas documentadas en la literatura de psicología del fraude.
Las 7 técnicas de manipulación más frecuentes
| Técnica | Como la aplican | Defensa |
|---|---|---|
| Falacia del coste hundido | ”Ya has perdido 47.000 euros. Con 1.800 más los recuperas todos” | Recordar que el dinero ya perdido no se recupera pagando más |
| Sesgo de confirmación | Proporcionan exactamente lo que la víctima quiere oir: “tu dinero esta localizado” | Buscar información contradictoria, no solo la que confirma lo que deseas |
| Apelacion a la autoridad | Uso de nombres de Europol, INTERPOL, CNMV, FCA con sellos falsificados | Verificar llamando al número oficial del organismo (no al que proporcionan) |
| Urgencia artificial | ”Si no pagas en 15 días, los fondos se reasignan” | Ningún proceso legal tiene plazos de 15 días para cobrar tasas |
| Reciprocidad fabricada | ”Ya hemos trabajado 3 meses en tu caso gratis, ahora necesitamos la tasa” | Nadie trabaja gratis durante meses para un desconocido |
| Aislamiento social | ”No comente esto con nadie hasta que se resuelva, por seguridad del expediente” | Siempre consultar con un abogado o con la policia antes de pagar |
| Escasez | ”Solo quedan 3 plazas para el programa de reembolso de esta operación” | Los programas de reembolso judicial no tienen “plazas limitadas” |
Escalada gradual: el principio del pie en la puerta
Los call centers aplican sistematicamente el principio del pie en la puerta (foot-in-the-door technique, Freedman y Fraser, 1966): comienzan con una solicitud pequeña (rellenar un formulario gratuito) y escalan progresivamente:
- Formulario gratuito: “Solo necesitamos sus datos para verificar que es elegible para el reembolso”
- Documento de identidad: “Para confirmar su identidad, envie copia de su DNI”
- Primer pago pequeño: “Solo 185 euros de tasa de verificación, reembolsable con los fondos”
- Segundo pago mayor: “1.850 euros de tasa administrativa, obligatoria por normativa europea”
- Tercer pago aun mayor: “3.200 euros de impuesto de desbloqueo del país donde estan los fondos”
Cada paso incrementa el compromiso psicológico de la víctima. Una vez que ha proporcionado su DNI y ha pagado 185 euros, abandonar significa aceptar que también eso fue una estafa. La mente busca coherencia: “ya que he pagado 185, tiene sentido pagar 1.850 para recuperar 47.000”.
Perfiles de víctimas: quien cae en la doble victimización
Según el estudio del National Fraud Intelligence Bureau del Reino Unido (NFIB, 2024) y datos de INCIBE (Balance Ciberseguridad 2025), los perfiles más vulnerables a la doble victimización son:
| Perfil | Porcentaje | Caracteristicas | Importe medio segunda estafa |
|---|---|---|---|
| Jubilados con ahorros perdidos en cripto | 34% | Mayor de 60 años, perdio ahorros de jubilacion, alta desesperacion | 15.200 EUR |
| Profesionales de 40-55 que invirtieron en plataformas falsas | 28% | Formacion universitaria, invirtio 20.000-100.000 EUR, verguenza social | 11.800 EUR |
| Jovenes 25-35 con prestamos para invertir | 18% | Pidio prestamo para invertir, doble presión (deuda + pérdida) | 8.400 EUR |
| PYMES estafadas por BEC o fraude de CEO | 12% | Empresa pequeña, pérdida afecta la viabilidad del negocio | 22.600 EUR |
| Víctimas de estafas romanticas | 8% | Vinculo emocional previo, aislamiento, víctima busca “cierre” | 9.100 EUR |
La verguenza cómo aliada del estafador
El 71% de las víctimas de recovery fraud reconocen haber tenido dudas durante el proceso, pero continuaron pagando por miedo a perder la oportunidad de recuperar sus fondos iniciales (NFIB 2024). El 63% no denuncio la segunda estafa por verguenza de haber caido dos veces. Este silencio es exactamente lo que los estafadores buscan: una víctima que no denuncia es una víctima que puede ser estafada una tercera vez.
Factores de vulnerabilidad psicológica
En los casos que he analizado cómo perito, he identificado cuatro factores que incrementan dramaticamente la probabilidad de caer en la doble victimización:
- Pérdida de ahorros vitales: Cuando la primera estafa se llevo ahorros de jubilacion, herencia o fondo de emergencia, la desesperacion anula el pensamiento crítico. He visto víctimas que vendieron propiedades para pagar “tasas de recuperación”
- Aislamiento informativo: Víctimas que no han contado a nadie que fueron estafadas. Sin un interlocutor externo que cuestione la lógica de pagar para recuperar, la víctima queda sola frente al manipulador
- Baja alfabetizacion digital: No entender cómo funcionan las criptomonedas, las transferencias internacionales o los procesos judiciales hace que cualquier explicación técnica suene creible
- Experiencia previa con “sistemas que funcionan”: Personas que han tenido experiencias positivas con reclamaciones (seguros, devoluciones bancarias) extrapolan esa confianza a contextos fraudulentos
Caso 1: Profesora valenciana estafada dos veces (pig butchering + recovery fraud)
En un caso que analice durante 2025 (datos anonimizados por protección de la víctima), documente la siguiente secuencia:
Primera estafa (pig butchering): La víctima perdio 47.200 euros en una plataforma de inversión en criptomonedas tras 4 meses de relación con un supuesto trader en Telegram. La plataforma desaparecio de la noche a la manana.
Segunda estafa (recovery fraud, 3 meses después):
- Contacto via llamada telefónica: “agente de la Division de Cibercrimen de Europol”
- Conocia el importe exacto perdido y el nombre de la plataforma
- Envio email con “expediente de incautacion” y documentos con sellos de Europol
- Solicito 3 pagos sucesivos: 1.850 euros (tasa administrativa), 3.200 euros (impuesto desbloqueo) y 4.500 euros (comisión del abogado internacional)
- Total segunda estafa: 9.550 euros
- Total perdido: 56.750 euros
Hallazgos periciales: El análisis de cabeceras de email revelo que los correos de “Europol” procedian de un servidor en Bulgaria (mismo país del call center de la estafa original). Los metadatos del PDF del “expediente” mostraban que fue creado con la misma versión de Adobe Acrobat y la misma plantilla utilizada en documentos de la primera estafa. La wallet de Bitcoin proporcionada para el “impuesto de desbloqueo” habia recibido fondos de la plataforma original, cerrando el circulo probatorio.
Caso 2: PYME madrileña estafada por BEC y luego por “abogado internacional”
Primera estafa (BEC, enero 2025): Una empresa de importacion de Madrid perdio 68.000 euros en un fraude BEC cuando un atacante intercepto la comunicación por email con un proveedor chino y modifico el número de cuenta bancaria de destino. El pago se desvio a una cuenta mula en Lituania.
Segunda estafa (recovery fraud, abril 2025): Un supuesto “bufete internacional especializado en fraude comercial” contacto al CEO por LinkedIn. El perfil del “abogado” era sofisticado: 500+ conexiones, publicaciones sobre ciberseguridad, recomendaciones de perfiles que parecian reales. El bufete afirmo tener un acuerdo con la Fiscalia lituana para la incautacion de fondos y solicito:
- 2.400 euros de “apertura de expediente y traduccion jurada”
- 5.800 euros de “depósito cautelar exigido por la Fiscalia lituana”
- 3.200 euros de “tasa de repatriacion de fondos UE”
- Total segunda estafa: 11.400 euros
Hallazgos periciales: El análisis del perfil de LinkedIn revelo que la foto era generada por IA (artefactos en las orejas y fondo inconsistente detectados con herramientas de análisis forense multimedia). El dominio web del bufete fue registrado 45 días antes del primer contacto. El certificado SSL del sitio web era un Let’s Encrypt gratuito (no inválido, pero atipico para un bufete internacional). Las cuentas bancarias proporcionadas para los pagos estaban a nombre de sociedades limitadas registradas en Bulgaria, el mismo país de origen de la red COINBLACK.
Impacto total: 79.400 euros perdidos. La empresa tuvo que despedir a 2 empleados para absorber las pérdidas.
Caso 3: Jubilado andaluz y la estafa de la CNMV falsa
Primera estafa (plataforma de trading falsa, septiembre 2024): Un jubilado de 72 años de Almeria invirtio 23.500 euros en una plataforma de trading de forex que le mostraba rentabilidades ficticias del 30% mensual. Cuando intento retirar fondos, la plataforma bloqueo su cuenta y dejo de responder.
Segunda estafa (falsa CNMV, febrero 2025): Recibio una llamada de una persona que se identifico cómo “inspector de la Comisión Nacional del Mercado de Valores” asignado a la investigación de la plataforma. El falso inspector:
- Conocia el nombre de la plataforma, el importe invertido y la fecha del último intento de retirada
- Envio un correo desde cnmv-recuperaciones@cnmv-es.org (dominio falso, similar al real cnmv.es)
- Adjunto un “certificado de registro de víctima” con número de expediente, sello de la CNMV y firma digital falsificada
- Explico que la CNMV habia “bloqueado los activos de la plataforma en un exchange custodiado en Suiza”
- Solicito 1.200 euros de “tasa de conversión a euros” y 2.800 euros de “comisión del exchange suizo”
- Total segunda estafa: 4.000 euros
Hallazgos periciales: Las cabeceras del email mostraban que el servidor de origen era un VPS en Ucrania. El PDF del “certificado” contenia metadatos que indicaban creación con Canva (herramienta de diseño gráfico, no software de la CNMV). El número de teléfono desde el que llamaron estaba registrado en un servicio VoIP rumano. La CNMV confirmo que nunca contacta a inversores para solicitar pagos y público una alerta específica sobre esta modalidad de fraude en su web.
Nota del caso: Este jubilado habia sido estafado una tercera vez antes de que su hija descubriera la situación. Un tercer grupo, haciendose pasar por “la Interpol”, le solicito otros 1.800 euros. Total acumulado entre las tres estafas: 29.300 euros, la mayor parte de su ahorro vital.
Conexión con la Operación COINBLACK/WENDIMINE de Europol
En diciembre de 2025, Europol coordino una de las mayores operaciones contra la doble victimización en ciberestafas. Los datos clave de la operación fueron:
| Aspecto | Detalle |
|---|---|
| Nombre operación | COINBLACK / WENDIMINE |
| Países participantes | Bulgaria, Chipre, Alemania, Austria, España, otros 6 |
| Detenidos | 38 sospechosos en call centers |
| Víctimas identificadas | 830+ en toda Europa |
| Fondos defraudados estimados | 4.5 millones de euros |
| Modus operandi | Call centers con scripts profesionales, identidades falsas de Europol |
| Plataformas suplantadas | Europol, FCA, bufetes de abogados reales |
| Método de pago exigido | Transferencia bancaria + criptomonedas (Bitcoin, USDT) |
La operación revelo que los call centers operaban con turnos de 8 horas, manuales de ventas de 40+ páginas y guiones específicos para superar las objeciones de las víctimas. Los operadores recibian comisiones del 10-15% sobre cada pago extraido.
Estructura organizativa de un call center de recovery fraud
Según la información publicada por Europol tras la Operación COINBLACK y documentación que he analizado en casos relacionados, la estructura tipica es:
| Rol | Función | Salario/comisión |
|---|---|---|
| Organizador | Dirige la operación, gestiona “sucker lists”, blanqueo | 15-25% de todo lo recaudado |
| Team leader | Supervisa equipos de 5-8 operadores, revisa scripts | 5.000-8.000 EUR/mes + 5% comisión |
| Closer (operador senior) | Gestiona víctimas “calientes” que ya han pagado al menos una vez | 2.000-4.000 EUR/mes + 10-15% del pago |
| Opener (operador junior) | Primer contacto, seleccion de víctimas, scripts básicos | 800-1.500 EUR/mes + 5% del primer pago |
| Soporte técnico | Crea documentos falsificados, gestiona dominios, emails spoofing | 2.000-3.000 EUR/mes |
| Mulas bancarias | Reciben y transfieren fondos (frecuentemente víctimas de trata) | 5-10% de lo transferido |
Tabla de red flags: cómo identificar una estafa de recuperación de fondos
| Senal de alerta | Nivel de riesgo | Que significa |
|---|---|---|
| Contacto no solicitado tras una estafa previa | CRITICO | Tienen tus datos de una sucker list |
| Piden pago anticipado para “liberar” fondos | CRITICO | Ningún organismo legítimo cobra por adelantado |
| Usan nombre de Europol, INTERPOL o CNMV | ALTO | Estos organismos nunca contactan víctimas para pedir dinero |
| Documentos con sellos oficiales por email | ALTO | Los documentos oficiales se entregan por correo certificado o via judicial |
| Conocen el importe exacto de tu estafa previa | ALTO | Confirmación de que manejan base de datos de víctimas |
| Urgencia con plazo límite | MEDIO-ALTO | Presión para evitar que verifiques |
| Solicitan pago en criptomonedas | ALTO | Irrecuperabilidad del pago |
| Te piden datos bancarios “para el reembolso” | CRITICO | Acceso a tus cuentas para vaciado completo |
| Web profesional con testimonios de “clientes satisfechos” | MEDIO | Testimonios fabricados, dominio registrado recientemente |
| Abogado que no aparece en el colegio de abogados | CRITICO | Verificable en www.abogacia.es (Censo General) |
| Te piden que no comentes con nadie “por seguridad del expediente” | CRITICO | Aislamiento para evitar que alguien te avise |
| Perfil de LinkedIn creado recientemente con foto de apariencia artificial | ALTO | Probable foto generada por IA (verificar con herramientas cómo Hive Moderation) |
Marco legal: cómo se tipifica la doble victimización en España
Artículo 248 del Código Penal: estafa agravada
La doble victimización se tipifica cómo estafa agravada bajo el artículo 248 y siguientes del Código Penal:
- Estafa básica (art. 248 CP): Pena de prision de 6 meses a 3 años por engaño bastante que produzca error en otro, induciendole a realizar acto de disposición en perjuicio propio o ajeno
- Agravante de reincidencia sobre la misma víctima (art. 250.1.5 CP): Cuando la cuantia de lo defraudado supera 50.000 euros, la pena sube a 1-6 años de prision y multa de 6-12 meses
- Agravante de vulnerabilidad (art. 250.1.1 CP): Abuso de la situación de vulnerabilidad de la víctima, aplicable cuando se aprovecha el estado emocional de quien ya ha sido estafado
- Grupo criminal u organización criminal (arts. 570 bis y ter CP): Cuando opera una estructura organizada (call centers), las penas se agravan considerablemente
Jurisprudencia relevante: La STS 543/2024 confirmo que la explotacion de una víctima previa de fraude constituye circunstancia agravante del art. 250.1.1 CP por abuso de situación de especial vulnerabilidad.
Otros tipos penales aplicables
| Tipo penal | Artículo | Aplicación | Pena |
|---|---|---|---|
| Suplantación de organismo público | Art. 402 CP | Hacerse pasar por agente de Europol | 1-3 años prision |
| Falsedad documental | Art. 390 CP | Documentos con sellos de Europol/CNMV falsificados | 3-6 años prision |
| Blanqueo de capitales | Art. 301 CP | Movimiento de fondos entre cuentas mula | 6 meses - 6 años prision |
| Pertenencia a organización criminal | Art. 570 bis CP | Estructura de call centers con jerarquia | 2-5 años (lider: 4-8 años) |
| Estafa agravada por medio telemático | Art. 248.2 CP | Uso de internet y telecomunicaciones | Agravante específica |
| Usurpacion de funciones públicas | Art. 402 CP | Actuar cómo inspector de la CNMV o agente policial | 1-3 años prision |
Marco europeo: Directiva 2012/29/UE
La Directiva 2012/29/UE del Parlamento Europeo establece normas minimas sobre los derechos, el apoyo y la protección de las víctimas de delitos. Su artículo 18 obliga a los Estados miembros a garantizar protección contra la victimización secundaria y reiterada. España transpuso esta Directiva mediante la Ley 4/2015 del Estatuto de la víctima del delito (BOE 28 abril 2015), cuyo artículo 19 recoge expresamente la protección frente a la victimización secundaria, que incluye la doble victimización por estafa.
Cómo documenta el perito forense la cadena de doble victimización
En mi experiencia cómo perito informático, documentar la doble victimización requiere un enfoque específico que conecte ambas estafas cómo parte de una cadena probatoria única. El proceso que sigo es:
Preservación de comunicaciones de ambas estafas: Extracción forense de todas las comunicaciones con la primera estafa Y con los supuestos “recuperadores”. Comparo números de teléfono, direcciones IP y patrones de escritura entre ambas fases
Análisis de cabeceras de email: Las cabeceras de email de los mensajes de “Europol” o “abogados” revelan los servidores reales de origen. He documentado casos donde los emails de la estafa original y los de “recuperación” salian del mismo servidor
Trazabilidad de pagos: Rastreo de transferencias bancarias y movimientos en blockchain. Los fondos de la fase 1 y la fase 2 frecuentemente convergen en las mismas wallets o cuentas mula. Utilizo herramientas de análisis blockchain forense cómo Chainalysis Reactor para trazar la convergencia
Análisis de documentos falsificados: Examen de metadatos EXIF/XMP de PDFs y documentos enviados. Los sellos de Europol falsificados suelen reutilizar las mismas plantillas, permitiendo conectar multiples casos. Verifico la autenticidad de firmas digitales y certificados
Correlación de infraestructura técnica: Dominios web, certificados SSL, hosting compartido entre la plataforma de la primera estafa y la web de “recuperación”. Uso OSINT para identificar registros de dominio, WHOIS histórico y relaciones entre IPs
Análisis de perfiles falsos: Verificación de fotos de perfil mediante detección de imagenes generadas por IA, comprobacion de la existencia real de abogados en el Censo General de la Abogacia, y análisis de la antiguedad y coherencia de perfiles de LinkedIn
Informe pericial integrado: Documento único que presenta ambas fases cómo eslabones de la misma cadena criminal, con timeline, evidencias digitales y conexiones técnicas verificables. Incluyo diagrama de flujo de fondos y mapa de infraestructura técnica compartida
Herramientas forenses que utilizo en casos de doble victimización
| Herramienta | Función | Uso en doble victimización |
|---|---|---|
| Chainalysis Reactor | Rastreo de criptomonedas | Conectar wallets de fase 1 y fase 2 |
| Cellebrite UFED | Extracción forense de dispositivos | Recuperar mensajes borrados de WhatsApp/Telegram con estafadores |
| Maltego | Análisis de relaciones OSINT | Mapear infraestructura compartida entre estafas |
| Email Header Analyzer | Análisis de cabeceras de email | Identificar servidor de origen real de emails fraudulentos |
| ExifTool | Análisis de metadatos | Detectar plantillas reutilizadas en documentos falsificados |
| Hive Moderation | Detección de IA en imagenes | Verificar si fotos de perfiles son generadas por IA |
| DomainTools | WHOIS histórico y DNS | Datar registro de dominios de “bufetes” falsos |
| Oxygen Forensic Detective | Extracción forense de nube | Acceder a datos de plataformas de mensajeria |
Guia de prevención: 10 reglas para evitar la doble victimización
Europol, INTERPOL y la Policia Nacional nunca contactan víctimas para pedir dinero. Si recibes un contacto así, es fraude al 100%. Europol ha publicado alertas específicas sobre esta suplantación en su web (europol.europa.eu)
Ningún organismo legítimo cobra tasas previas para devolver fondos incautados. La recuperación de activos se gestiona a través del proceso judicial, no mediante pagos anticipados. La CNMV lo recuerda en su seccion de alertas
Verifica siempre la identidad del contacto llamando directamente al número oficial del organismo (no al número que te proporcionan). Para la CNMV: 900 535 015. Para Europol: +31 70 302 5000
Desconfia de quien conoce detalles de tu estafa previa. Eso no demuestra que sea policia; demuestra que tiene acceso a bases de datos de víctimas
No publiques detalles de tu estafa en redes sociales o foros públicos. Los estafadores monitorizan estos espacios para captar nuevas víctimas
Consulta el Censo General de la Abogacia (www.abogacia.es) para verificar si el abogado existe y esta colegiado. Todo abogado en ejercicio en España debe estar en este censo
Denuncia inmediatamente ante la Policia Nacional (comisaria.policia.es) o Guardia Civil (www.guardiacivil.es) si recibes contacto sospechoso
Verifica dominios de email: Los organismos oficiales usan dominios institucionales (@europol.europa.eu, @cnmv.es, @policia.es). Cualquier variacion (europol-fraud-division.eu, cnmv-es.org) es una falsificación
Cuenta a alguien de confianza lo que esta pasando: La verguenza es el arma más poderosa del estafador. Hablar con un familiar, amigo o abogado rompe el aislamiento que necesitan para manipularte
Contacta con INCIBE (017): La linea gratuita de ayuda en ciberseguridad de INCIBE atiende víctimas de fraude y puede orientarte sobre los pasos a seguir. Disponible de 8:00 a 23:00 los 365 días del año
Preguntas relacionadas
Las víctimas de doble victimización pueden recuperar su dinero?
La recuperación es posible pero difícil. Depende de la velocidad de la denuncia (las primeras 72 horas son críticas para bloquear fondos bancarios), del método de pago utilizado (las transferencias SEPA son más rastreables que las criptomonedas) y de la cooperacion internacional. En los casos que he analizado, la tasa de recuperación parcial es del 15-20% cuando se actua rapidamente y se aporta evidencia digital forense sólida. La Operación COINBLACK logro la incautacion de 4.5 millones de euros, pero la devolucion a víctimas aun esta en proceso judicial. Para transferencias bancarias dentro de la UE, el protocolo de retrocesion bancaria (a través del banco emisor y receptor) tiene mayor probabilidad de éxito si se activa en las primeras 48 horas.
Cómo saben los estafadores que fui víctima de una estafa previa?
Las bases de datos de víctimas (conocidas cómo sucker lists) se comercializan activamente en foros de la dark web. Contienen nombre, teléfono, email, importe perdido y hasta el nivel de “cooperacion” de la víctima. Los precios oscilan entre 5 y 50 euros por registro. En algunos casos, la misma organización criminal que ejecuto la primera estafa opera la segunda bajo una identidad diferente, utilizando directamente su propia base de datos de clientes. Según Chainalysis (Crypto Crime Report 2025), el 48% de las víctimas de criptoestafas reciben al menos un contacto de “recuperadores” en los 6 meses siguientes a la estafa.
Puedo denunciar una doble victimización si me da verguenza haber caido dos veces?
Si. La denuncia es completamente confidencial y los cuerpos de seguridad estan formados para tratar a las víctimas sin juicio. La doble victimización explota sesgos psicologicos documentados: no es una cuestion de inteligencia ni de ingenuidad. Aportar la denuncia con un informe pericial que documente la cadena de fraude (primera estafa conectada con la segunda) fortalece significativamente el caso. La Ley 4/2015 del Estatuto de la víctima del delito garantiza expresamente la protección de la dignidad de la víctima durante todo el proceso.
Cual es la diferencia entre recovery room fraud y advance fee fraud?
El recovery room fraud es una modalidad específica de advance fee fraud (fraude de pago anticipado). Mientras que el advance fee fraud es genérico (cualquier estafa que pida un pago previo para un beneficio futuro, como la carta nigeriana o la herencia del principe), el recovery room fraud se dirige exclusivamente a víctimas de estafas previas con la promesa de recuperar fondos. La personalizacion y el conocimiento de datos de la estafa anterior lo hacen mucho más efectivo: la tasa de conversión es del 33% frente al 0.1% de los advance fee genericos (FBI IC3 Report 2024).
Que papel tiene el perito informático en estos casos?
El perito informático forense cumple tres funciones clave: primero, documenta tecnicamente la cadena de fraude conectando ambas estafas mediante análisis de cabeceras de email, trazabilidad blockchain e infraestructura compartida. Segundo, preserva la evidencia digital conforme a los estandares ISO 27037 para que sea admisible en juicio. Tercero, elabora el informe pericial que el abogado utiliza tanto en la denuncia penal cómo en la reclamación civil de daños y perjuicios. En casos internacionales, el informe pericial es fundamental para las comisiones rogatorias que solicitan cooperacion judicial de otros países.
Existe alguna entidad legítima que ayude a recuperar dinero de ciberestafas?
Si, pero son entidades públicas y no cobran por su servicio. En España: la Policia Nacional (Brigada Central de Investigación Tecnológica), la Guardia Civil (Grupo de Delitos Telematicos), INCIBE (linea 017) y la CNMV (para fraudes de inversión). A nivel europeo, Europol coordina operaciones contra el ciberfraude pero nunca contacta directamente a víctimas. Cualquier empresa privada que prometa “recuperar tu dinero” a cambio de un pago anticipado debe tratarse con extrema cautela: verifica su existencia real, busca opiniones en internet y consulta con un abogado antes de pagar.
Conceptos relacionados
- Pig Butchering: Estafa romantica-inversión cripto, frecuente primera fase
- Ingenieria Social: Base de todas las técnicas de manipulación
- Blockchain Forense: Trazabilidad de pagos en criptomonedas
- BEC (Business Email Compromise): Otra modalidad de estafa por suplantación
- Cabeceras de Email: Clave para rastrear el origen real de los correos
- Cadena de Custodia: Protocolo para preservar la evidencia digital
Referencias y fuentes
- Europol. (2025). “Operation COINBLACK/WENDIMINE: 38 arrested in crackdown on recovery fraud call centres”. Nota de prensa, diciembre 2025. europol.europa.eu
- FBI. (2024). “Internet Crime Complaint Center (IC3) Annual Report 2024”. - Recovery fraud: tasa conversión 33%. ic3.gov
- Chainalysis. (2025). “Crypto Crime Report 2025”. - 48% víctimas contactadas por recuperadores. chainalysis.com
- INCIBE. (2025). “Balance de Ciberseguridad 2025”. - 2.340 víctimas doble victimización identificadas. incibe.es
- National Fraud Intelligence Bureau (NFIB). (2024). “Recovery Fraud: Victim Profiles and Psychological Factors”. UK. cityoflondon.police.uk
- CNMV. (2025). “Alertas sobre entidades no autorizadas y chiringuitos financieros”. cnmv.es
- Código Penal (LO 10/1995). Arts. 248, 250, 390, 402, 570 bis y ter. boe.es
- Ley 4/2015, de 27 de abril, del Estatuto de la víctima del delito. Art. 19 (protección victimización secundaria). boe.es
- Directiva 2012/29/UE del Parlamento Europeo y del Consejo. Art. 18 (protección victimización reiterada). eur-lex.europa.eu
- Freedman, J.L. y Fraser, S.C. (1966). “Compliance without pressure: the foot-in-the-door technique”. Journal of Personality and Social Psychology, 4(2), 195-202
- STS 543/2024 (Sala Segunda, Penal). Agravante de vulnerabilidad en víctimas de fraude previo. CENDOJ. poderjudicial.es
- Tribunal Supremo. (2025). STS 629/2025. Doctrina sobre prueba digital y sana crítica. CENDOJ
Aviso legal: Este artículo analiza la doble victimización en ciberestafas con finalidad informativa y educativa. Los casos descritos estan anonimizados para proteger la identidad de las víctimas. No constituye asesoramiento jurídico. Las estadisticas proceden de las fuentes citadas.
Sobre el autor: Jonathan Izquierdo, perito informático forense, ex-CTO y 5x AWS Certified, con metodología de trabajo basada en ISO 27037. Especializado en documentación de cadenas de fraude y trazabilidad de fondos en criptomonedas para procedimientos penales en toda España.
Última actualización: 16 de marzo de 2026 Categoria: Ciberataques Código: ATK-030
Has sido víctima de una estafa y alguien te promete recuperar el dinero? Contacta con un perito informático forense antes de realizar ningún pago. Analizamos las comunicaciones, documentamos la cadena de fraude y elaboramos el informe pericial para tu denuncia.
Preguntas Frecuentes
¿Que es la doble victimizacion en ciberestafas?
Es una tecnica de fraude donde los delincuentes contactan a victimas de una estafa previa haciendose pasar por agentes de Europol, abogados o entidades de recuperacion de fondos, prometiendo devolver el dinero robado a cambio de tasas, impuestos o gastos de gestion que nunca se devuelven.
¿Como detectar una estafa de recuperacion de fondos?
Las principales señales de alerta son: contacto no solicitado tras una estafa previa, solicitud de pago anticipado para liberar fondos, urgencia extrema, uso de nombres de organismos reales como Europol o INTERPOL, y documentos falsificados con sellos oficiales.
¿Que hago si me contactan prometiendo recuperar dinero de una estafa?
No realice ningun pago. Verifique la identidad del contacto llamando directamente al organismo que dice representar. Denuncie ante la Policia Nacional o Guardia Civil y conserve todas las comunicaciones como evidencia digital.
Términos Relacionados
Ingeniería Social
Conjunto de técnicas de manipulación psicológica utilizadas por atacantes para engañar a las personas y conseguir que revelen información confidencial, realicen acciones perjudiciales o comprometan la seguridad de sistemas informáticos.
BEC (Business Email Compromise)
Fraude empresarial mediante suplantación de identidad en correos corporativos. Técnica de ingeniería social que causó €1.8B pérdidas globales 2025, con deepfakes IA aumentando éxito 340%.
Blockchain Forense
Disciplina del análisis forense digital especializada en investigar transacciones de criptomonedas, rastrear fondos ilícitos y obtener evidencia válida judicialmente de actividades en redes blockchain.
¿Necesitas un peritaje forense?
Si necesitas ayuda profesional con análisis forense digital, estoy aquí para ayudarte.
Solicitar Consulta Gratuita