Scareware

¿Qué es el Scareware?

El scareware (de scare, «asustar», y software) es un tipo de software malicioso o estafa digital que utiliza tácticas de miedo, urgencia e intimidación para manipular a los usuarios haciéndoles creer que su dispositivo está gravemente infectado, comprometido o en peligro inminente. El objetivo final es que la víctima:

• Compre software fraudulento (un falso antivirus que no hace nada o empeora la situación).
• Llame a un número de soporte técnico falso (donde operadores la engañan para pagar por servicios inexistentes).
• Descargue malware adicional (troyanos, infostealers, ransomware).
• Proporcione acceso remoto a su ordenador (mediante herramientas como AnyDesk o TeamViewer).

El scareware explota un principio fundamental de la ingeniería social: el miedo. Cuando un usuario ve un mensaje alarmante que dice «¡Tu ordenador está infectado con 47 virus!» o «¡Tus datos bancarios están en peligro!», la reacción natural es actuar rápidamente, sin verificar la legitimidad del aviso. Esta respuesta emocional es exactamente lo que buscan los atacantes.

Historia y evolución del Scareware

Orígenes (2005-2010): La era del falso antivirus

El scareware surgió a mediados de la década de 2000 con la aparición de los rogue antivirus o falsos antivirus: programas que se hacían pasar por software de seguridad legítimo.

Ejemplos históricos de falsos antivirus:

Modus operandi del rogue antivirus clásico:

1. Usuario visita web comprometida o hace clic en anuncio malicioso
2. Se descarga e instala automáticamente (drive-by download)
   o se engaña al usuario para que lo instale
3. El programa realiza un "análisis" del sistema
4. Muestra decenas de "amenazas detectadas" (todas falsas)
5. Mensaje: "Su PC está en peligro. Compre la versión completa
   para eliminar las amenazas. Solo 49,99 €"
6. Si el usuario paga → no hace nada (o instala más malware)
7. Si no paga → sigue mostrando alertas cada minuto,
   bloquea otros programas, ralentiza el sistema

Modelo de negocio:

El scareware de esta era generó beneficios extraordinarios. Según estimaciones del FBI, las redes de distribución de falsos antivirus obtuvieron más de 150 millones de dólares entre 2008 y 2012. La operación más conocida, Innovative Marketing, procesó pagos de más de 500 000 víctimas antes de ser desmantelada por la FTC.

Transición (2010-2015): De software a pop-ups

A medida que los antivirus legítimos y los sistemas operativos mejoraron la detección de rogue antivirus, los atacantes evolucionaron hacia pop-ups web que no requerían instalar software:

<!-- Pop-up scareware típico de esta era -->
<div style="position:fixed; top:0; left:0; width:100%; height:100%;
            background:rgba(0,0,0,0.9); z-index:99999;">
  <div style="background:white; width:600px; margin:100px auto;
              padding:30px; border:3px solid red;">
    <h1 style="color:red;">⚠️ ¡ALERTA DE SEGURIDAD DE WINDOWS!</h1>
    <p>Se han detectado <b>47 virus</b> en su sistema:</p>
    <ul>
      <li>Trojan.GenericKD.46853247 — PELIGROSO</li>
      <li>Spyware.PasswordStealer.Gen — CRÍTICO</li>
      <li>Ransomware.WannaCry.variant — EMERGENCIA</li>
    </ul>
    <p style="color:red; font-size:18px;">
      Sus datos bancarios están en PELIGRO INMEDIATO.
      Llame ahora al <b>900-XXX-XXX</b> para asistencia.
    </p>
    <audio autoplay loop>
      <source src="alarm.mp3" type="audio/mp3">
    </audio>
    <!-- El pop-up impide cerrar la ventana normalmente -->
  </div>
</div>

Estos pop-ups:

• Impedían cerrar el navegador (bucles de alert() JavaScript, pantalla completa forzada).
• Reproducían sonidos alarmantes (sirenas, pitidos de alerta).
• Mostraban cuenta atrás para aumentar la urgencia.
• Incluían un número de teléfono de «soporte técnico».

Era actual (2015-presente): Estafas de soporte técnico

La evolución más lucrativa del scareware es la estafa de soporte técnico (tech support scam), que combina pop-ups de miedo con call centers fraudulentos:

Cadena de ataque:

1. Pop-up scareware → "Llame al 900-XXX-XXX"
2. Víctima llama → Operador se identifica como "técnico de Microsoft"
3. Operador pide instalar AnyDesk/TeamViewer para "diagnóstico"
4. Operador ejecuta comandos en el PC de la víctima:
   - cmd → tree C:\ (muestra archivos "infectados")
   - eventvwr → muestra errores normales como "infecciones"
   - netstat → muestra conexiones como "hackers conectados"
5. "Hemos encontrado virus muy graves. La limpieza cuesta 299 €"
6. Víctima paga con tarjeta → Operador "limpia" el sistema
7. En realidad: instala software de monitorización, roba datos,
   o simplemente no hace nada después de cobrar

Tipos de Scareware actuales

1. Pop-ups de alerta falsa en el navegador

El tipo más común. Aparecen durante la navegación web (generalmente en sitios con publicidad agresiva, streaming ilegal, descargas, o mediante malvertising en sitios legítimos).

Variantes más frecuentes:

Características técnicas de los pop-ups:

// Técnicas para impedir que el usuario cierre la ventana

// 1. Bucle de alertas
window.onbeforeunload = function() {
  return "¡ADVERTENCIA! Si cierra esta ventana perderá sus datos.";
};

// 2. Pantalla completa forzada
document.documentElement.requestFullscreen();

// 3. Apertura continua de nuevas ventanas
setInterval(function() {
  window.open('alerta-virus.html', '_blank');
}, 500);

// 4. Captura de teclas (impedir Ctrl+W, Alt+F4)
document.onkeydown = function(e) {
  if (e.key === 'Escape' || (e.ctrlKey && e.key === 'w')) {
    e.preventDefault();
    return false;
  }
};

// 5. Reproducción de audio alarmante en bucle
var alarm = new Audio('siren.mp3');
alarm.loop = true;
alarm.play();

// 6. Vibración en móviles (API Vibration)
navigator.vibrate([200, 100, 200, 100, 200]);

2. Estafas de soporte técnico (Tech Support Scams)

La evolución más peligrosa del scareware. Implican interacción humana directa a través de call centers.

Estructura de la estafa:

# Comandos que usan los estafadores para simular infecciones

# Event Viewer: muestra errores normales como "virus"
eventvwr.msc → "Mire, hay 847 errores. Esto son virus."

# Tree: muestra estructura de archivos como "análisis"
tree C:\ → "Estamos escaneando... hay archivos infectados."

# Netstat: muestra conexiones como "hackers"
netstat -an → "Estas conexiones son hackers accediendo."

# Tasklist: muestra procesos como "malware"
tasklist → "Vea, svchost.exe aparece 12 veces. Eso es un virus."
(svchost.exe es un proceso legítimo de Windows que siempre
aparece múltiples veces)

# INF/PREFETCH: muestra archivos de sistema como "temporales infectados"
dir C:\Windows\Prefetch → "Estos son archivos dejados por hackers."

Infraestructura de los call centers:

Los call centers de estafas de soporte técnico operan como empresas organizadas, principalmente desde India (con centros documentados en Kolkata, Delhi, Jaipur y Noida), aunque también existen operaciones en Filipinas, Costa Rica y países de Europa del Este.

3. Scareware como servicio en móviles

El scareware se ha adaptado a dispositivos móviles con variantes específicas:

Android:

iOS:

4. Ransomware policial (Police Ransomware)

Un tipo de scareware que bloquea el dispositivo mostrando un aviso falso de las fuerzas de seguridad:

┌─────────────────────────────────────────────────┐
│                                                   │
│  [Logo Policía Nacional / Guardia Civil]         │
│                                                   │
│  ATENCIÓN                                         │
│  Su ordenador ha sido bloqueado por               │
│  visualización de contenido ilegal.               │
│                                                   │
│  Artículo 202 del Código Penal:                   │
│  Distribución de material prohibido.              │
│                                                   │
│  Para desbloquear su equipo, debe pagar           │
│  una multa de 100 EUR mediante Ukash/Paysafe.    │
│                                                   │
│  Si no paga en 48 horas, se iniciará              │
│  un procedimiento penal contra usted.             │
│                                                   │
│  [Campo para introducir código de pago]           │
│                                                   │
└─────────────────────────────────────────────────┘

Variantes conocidas en España:

• Virus de la Policía (2011-2014): una de las campañas de scareware más exitosas en España, que utilizaba el logo de la Policía Nacional y la Guardia Civil. Afectó a cientos de miles de usuarios españoles.
• Virus de la SGAE: variante que acusaba al usuario de piratería y solicitaba un pago para evitar la denuncia.
• Europol Ransomware: utilizaba el logo de Europol y del ECSC para intimidar a las víctimas.

5. Scareware por email

Variante que se distribuye mediante correos electrónicos alarmantes:

De: security-alert@microsoft-support.com
Asunto: ⚠️ URGENTE: Su cuenta de Microsoft ha sido comprometida

Estimado usuario,

Hemos detectado acceso no autorizado a su cuenta de Microsoft
desde una ubicación en Rusia (IP: 91.234.xx.xx).

Se han intentado las siguientes acciones:
- Acceso a su correo Outlook ✓
- Acceso a su OneDrive ✓
- Cambio de contraseña ✗ (bloqueado)

Para proteger su cuenta, instale inmediatamente nuestra
herramienta de seguridad actualizada:

[DESCARGAR PROTECCIÓN DE EMERGENCIA]

Si no actúa en las próximas 2 horas, perderá acceso
permanente a su cuenta.

Departamento de Seguridad de Microsoft
Ref: MS-SEC-2026-03-47291

El enlace descarga un falso antivirus o un troyano real.

Estadísticas del Scareware

Cifras globales

• 3 200 millones de USD: pérdidas estimadas por estafas de soporte técnico en 2023 (FBI IC3).
• 28 500 quejas de tech support scams recibidas por el IC3 en 2023.
• El 66 % de las víctimas de estafas de soporte técnico tiene más de 60 años (FTC).
• El 4 % de los españoles conoce el término «scareware» (Kaspersky, 2020).
• El 67 % de los españoles ha encontrado alguna vez una alerta falsa de virus.
• El 13 % de los usuarios que ven un pop-up de scareware proporciona datos personales o paga (Norton, 2022).
• 150 millones de USD: beneficios estimados de redes de falsos antivirus entre 2008-2012 (FBI).

Estadísticas en España

• INCIBE recibe miles de consultas anuales relacionadas con estafas de soporte técnico falso.
• Las personas mayores de 65 años son el grupo más afectado.
• El importe medio de la estafa de soporte técnico en España es de 200-400 EUR.
• Se han documentado call centers en España (Madrid, Barcelona) que operaban estafas de soporte técnico hacia otros países europeos.

Evolución temporal

Análisis forense de Scareware

Artefactos forenses en el navegador

El primer lugar donde buscar evidencia de scareware es el navegador web:

Historial de navegación:

-- SQLite: Chrome History database
-- Identificar la web que mostró el pop-up de scareware
SELECT
  url,
  title,
  visit_time,
  from_visit,    -- De dónde vino (referrer)
  transition     -- Cómo llegó (link, typed, redirect)
FROM visits
JOIN urls ON visits.url = urls.id
WHERE visit_time > [fecha_incidente]
ORDER BY visit_time;

-- Buscar URLs típicas de scareware
-- Dominios comunes: *-alert.com, *-warning.com, *-security.com
-- Paths: /virus-alert/, /windows-defender/, /microsoft-support/

Caché del navegador:

# Buscar archivos HTML/JS del pop-up scareware en caché
Ruta Chrome Windows:
  %LOCALAPPDATA%\Google\Chrome\User Data\Default\Cache\

# Los archivos cacheados pueden contener:
- El HTML del pop-up falso
- Audio de alarma (MP3/WAV)
- Imágenes de logos falsos (Microsoft, Apple, Policía)
- JavaScript de bloqueo de navegador

Cookies y localStorage:

// El scareware a menudo almacena datos en localStorage
// para tracking o para mostrar el pop-up repetidamente
localStorage.getItem('scareware_shown');
localStorage.getItem('phone_displayed');
localStorage.getItem('user_location');  // Geolocalización para personalizar

Artefactos del sistema operativo

Windows Registry (si se instaló software):

# Claves de registro modificadas por scareware

# Programas instalados
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\[FakeAV]

# Inicio automático (persistencia)
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

# Deshabilitar antivirus real
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender
  → DisableAntiSpyware = 1

# Deshabilitar actualizaciones
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate
  → DisableWindowsUpdateAccess = 1

# Modificar el escritorio (mensajes de alerta)
HKCU\Control Panel\Desktop
  → Wallpaper = "C:\FakeAV\warning_wallpaper.bmp"

Archivos instalados:

# Ubicaciones típicas de scareware instalado
C:\Program Files\[NombreFalsoAntivirus]\
C:\ProgramData\[NombreAleatorio]\
C:\Users\[usuario]\AppData\Local\Temp\
C:\Users\[usuario]\AppData\Roaming\[NombreAleatorio]\

# Archivos típicos
scanner.exe       → El "motor de análisis" falso
database.dat      → Base de datos falsa de "definiciones de virus"
license.dll       → Módulo de licenciamiento/pago
alert.wav         → Sonido de alerta reproducido constantemente
quarantine\       → Carpeta vacía de "cuarentena"

Windows Event Log:

# Eventos relevantes para el timeline

# Instalación de software
Event ID 11707 (MsiInstaller) → Instalación completada
Event ID 1033 (MsiInstaller)  → Producto instalado

# Ejecución de programas
Event ID 4688 (Security)      → Nuevo proceso creado
Event ID 1 (Sysmon)           → Proceso creado con hash

# Conexiones de red (si se instaló acceso remoto)
Event ID 5156 (Security)      → Conexión de red permitida

Artefactos de acceso remoto

Si la víctima instaló software de acceso remoto (AnyDesk, TeamViewer) por indicación del estafador:

AnyDesk:

# Logs de conexiones AnyDesk
Windows: %APPDATA%\AnyDesk\ad_svc.trace
         %PROGRAMDATA%\AnyDesk\ad_svc.trace

# Información extraíble:
- ID del estafador que se conectó
- Timestamp de inicio y fin de la conexión
- Dirección IP del estafador
- Acciones realizadas durante la sesión

TeamViewer:

# Logs de TeamViewer
Windows: %APPDATA%\TeamViewer\TeamViewer15_Logfile.log
         %APPDATA%\TeamViewer\Connections_incoming.txt

# Formato del log de conexiones:
ID_remoto  Nombre_remoto  Inicio_conexión  Fin_conexión  Usuario

# Connections_incoming.txt registra:
# Quién se conectó, cuándo, durante cuánto tiempo

ConnectWise / SupRemo / LogMeIn:

# Cada herramienta tiene sus propios logs
# El perito debe identificar qué software se instaló
# y localizar los registros específicos

# Registro general de Windows: instancias de instalación
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\

Análisis de pagos y transacciones

Si la víctima realizó un pago, el perito puede documentar:

Metodología de investigación forense

Herramientas de análisis

Casos reales en España

Operación «Virus de la Policía» (2011-2013)

Una de las campañas de scareware más exitosas en España. El malware mostraba una pantalla de bloqueo con el logo de la Policía Nacional o la Guardia Civil, acusando al usuario de haber accedido a contenido ilegal y exigiendo un pago de 100 EUR mediante Ukash o Paysafecard.

Detalles de la operación:

• Detenidos: en febrero de 2013, la Policía Nacional detuvo a los cabecillas de la red en Málaga y Benalmádena, en cooperación con Europol y la Interpol.
• Víctimas: se estiman cientos de miles solo en España, con millones a nivel europeo.
• Recaudación: la red obtuvo más de 1 millón de euros anuales solo del «mercado» español.
• Infraestructura: servidores en Rusia y Ucrania, sistema de pago mediante Ukash y Paysafecard (prepago anónimo).

Desarticulaciones de call centers en España (2019-2024)

Varias operaciones policiales han desarticulado call centers en España que operaban estafas de soporte técnico:

Operación en Madrid (2021):

• Call center con 35 empleados que operaban estafas de soporte técnico dirigidas a usuarios del Reino Unido, Alemania y Francia.
• Facturaban más de 2 millones de euros anuales.
• Los operadores se hacían pasar por técnicos de Microsoft y BT (British Telecom).

Operación en Barcelona (2023):

• Desarticulada red que operaba pop-ups de scareware dirigidos a usuarios españoles.
• Utilizaban números 900 (llamada gratuita) para parecer más legítimos.
• Más de 500 víctimas identificadas con pérdidas individuales de 150-600 EUR.

Casos de víctimas documentados por INCIBE

INCIBE ha documentado numerosos casos de ciudadanos españoles víctimas de scareware:

Caso tipo 1 — Persona mayor:

Víctima: Mujer, 72 años, Sevilla
Vector: Pop-up durante navegación normal (sitio de recetas)
Desarrollo: Llamó al número 900 del pop-up.
  El "técnico" instaló AnyDesk, realizó un "análisis"
  y cobró 299 EUR por tarjeta por "limpieza y protección".
Pérdida: 299 EUR + compromiso de datos bancarios
Resolución: Denuncia, contracargo parcial del banco

Caso tipo 2 — Pequeña empresa:

Víctima: Autónomo, 45 años, Valencia
Vector: Llamada telefónica no solicitada ("soporte Microsoft")
Desarrollo: El estafador convenció al autónomo de que
  su ordenador estaba comprometido y que sus datos
  de clientes estaban en peligro (RGPD).
  Instaló TeamViewer y cobró 499 EUR por "certificado
  de seguridad RGPD".
Pérdida: 499 EUR + acceso no autorizado a datos de clientes
Resolución: Denuncia, posible notificación AEPD por brecha

Caso tipo 3 — Estafa repetida:

Víctima: Hombre, 68 años, Madrid
Vector: Pop-up scareware que quedó instalado como programa
Desarrollo: El scareware mostraba alertas cada día.
  La víctima llamó al "soporte" 4 veces en 3 meses,
  pagando 199 EUR cada vez por "mantenimiento".
  En la última llamada, el estafador accedió a banca online.
Pérdida: 796 EUR en "soporte" + 3 200 EUR transferencia
Resolución: Denuncia, informe pericial, recuperación parcial

Marco legal en España

Delitos aplicables

Artículo 248 del Código Penal (estafa)

El scareware encaja plenamente en el tipo penal de estafa:

«Cometen estafa los que, con ánimo de lucro, utilizaren engaño bastante para producir error en otro, induciéndole a realizar un acto de disposición en perjuicio propio o ajeno.»

Elementos del tipo aplicados al scareware:

• Engaño bastante: las alertas falsas de virus constituyen un engaño diseñado para producir error en la víctima, haciéndole creer que su ordenador está infectado.
• Error en la víctima: la víctima cree genuinamente que necesita el servicio o software.
• Acto de disposición: el pago por el falso antivirus o servicio de soporte.
• Ánimo de lucro: el beneficio económico obtenido por el estafador.
• Perjuicio: la pérdida económica de la víctima.

Artículo 197 bis (acceso ilícito)

Cuando el estafador obtiene acceso remoto al ordenador de la víctima:

• Aunque la víctima «consiente» instalar AnyDesk/TeamViewer, el consentimiento está viciado por el engaño (la víctima cree que es un técnico legítimo de Microsoft).
• El acceso se realiza sin autorización real porque se basa en una identidad falsa y un pretexto fraudulento.
• El acceso al sistema informático vulnera las medidas de seguridad del usuario.

Agravantes aplicables

Dónde denunciar

Recuperación del dinero

El papel del Perito Informático

En la investigación de scareware

El perito informático desempeña un papel clave en los casos de scareware:

1. Documentar la naturaleza fraudulenta:

• Demostrar que el «antivirus» instalado no tiene capacidad real de detección.
• Probar que los «virus detectados» eran ficticios (archivos del sistema presentados como malware).
• Documentar que los comandos ejecutados por el «técnico» son herramientas estándar de Windows manipuladas para aparentar infección.

2. Reconstruir la sesión remota:

• Analizar los logs de AnyDesk/TeamViewer para determinar qué hizo exactamente el estafador.
• Verificar si accedió a archivos sensibles, contraseñas guardadas o banca online.
• Determinar si instaló software adicional (backdoors, keyloggers).
• Establecer el timeline exacto de la conexión.

3. Evaluar el alcance del compromiso:

• ¿Se comprometieron credenciales almacenadas en el navegador?
• ¿Se accedió a documentos personales o profesionales?
• ¿Se instaló persistencia para acceso futuro?
• ¿Se exfiltraron datos durante la sesión remota?

4. Elaborar informe pericial:

• Descripción técnica detallada del scareware y su funcionamiento.
• Evidencia de que las alertas de virus eran falsas.
• Timeline de la interacción con el estafador.
• Evaluación del daño causado (económico y de privacidad).
• Conclusiones sobre la sofisticación del engaño.

En la defensa de víctimas

El informe pericial es especialmente valioso en los siguientes escenarios:

Reclamación al banco (contracargo):

• Documentar que el pago se realizó bajo engaño (estafa).
• Demostrar la sofisticación del engaño (pop-up profesional, operador convincente).
• Probar que un usuario medio podía ser engañado razonablemente.

Procedimiento penal:

• Aportar evidencias técnicas que sustenten la denuncia.
• Identificar al estafador cuando sea posible (ID de acceso remoto, número de teléfono, datos de pago).
• Cuantificar el daño sufrido por la víctima.

Reclamación laboral:

• Si un empleado cayó en la estafa en el entorno de trabajo, demostrar que fue víctima de un ataque sofisticado y no negligencia grave.
• Documentar el impacto en los datos de la empresa.

En la evaluación de vulnerabilidad

El perito también puede evaluar el contexto de la víctima:

Prevención del Scareware

Para usuarios individuales

Para personas mayores (guía simplificada)

Dada la alta incidencia de scareware en personas mayores, es importante comunicar las medidas de forma clara:

REGLAS SENCILLAS PARA EVITAR ESTAFAS DE ORDENADOR

1. Si aparece un aviso de virus EN EL NAVEGADOR → Es falso.
   Cierre todo y no haga nada más.

2. Si le piden LLAMAR A UN NÚMERO → Es una estafa.
   Microsoft y Apple NUNCA hacen eso.

3. Si alguien le pide instalar AnyDesk o TeamViewer → CUELGUE.
   Nunca deje que un desconocido controle su ordenador.

4. Si le piden PAGAR con tarjeta regalo → Es estafa SEGURA.
   Ninguna empresa legítima cobra con tarjetas regalo.

5. Si tiene dudas → Llame al 017 (INCIBE, gratuito).
   Le ayudarán en español, sin coste.

Para empresas

Para propietarios de sitios web

Los propietarios de sitios web deben evitar que sus sitios sean utilizados como vehículo para distribuir scareware:

Tendencias y evolución

Scareware potenciado por IA

Los atacantes están incorporando inteligencia artificial para crear scareware más convincente:

• Chatbots de soporte falso: en lugar de un número de teléfono, algunos pop-ups de scareware ahora incluyen un chatbot que imita un servicio de soporte automatizado, utilizando LLMs para mantener conversaciones convincentes.
• Deepfake de voz: llamadas de «soporte técnico» donde la voz del operador es generada o modificada por IA para sonar más profesional y local.
• Personalización: IA que personaliza el pop-up según el dispositivo, navegador, ubicación y posiblemente el nombre del usuario.
• Generación de sitios: creación automatizada de sitios web de «antivirus» con apariencia profesional.

Scareware en el ecosistema IoT

Nuevos vectores de scareware dirigidos a dispositivos del Internet de las Cosas:

• Smart TVs: alertas de virus en Smart TVs (Android TV, Tizen).
• Routers: notificaciones falsas de «firmware comprometido».
• Cámaras de seguridad: alertas de «acceso no autorizado a su cámara».
• Asistentes de voz: mensajes de voz alarmantes a través de Alexa/Google Home.

Scareware como vector de ransomware

El scareware evoluciona cada vez más como puerta de entrada para ataques más graves:

Evolución de la cadena de ataque:

Pop-up scareware (fase 1)
  → Víctima llama al "soporte"
  → Instalación de acceso remoto (fase 2)
  → Estafador evalúa el valor del objetivo
    → Si es particular: cobra 200-500 EUR y sale (fase 3a)
    → Si es empresa: instala Cobalt Strike (fase 3b)
      → Reconocimiento de la red (fase 4)
      → Ransomware en toda la organización (fase 5)
      → Rescate de 100 000 - 5 000 000 EUR

Regulación creciente

Varios países están endureciendo la legislación contra el scareware y las estafas de soporte técnico:

• FTC (EE. UU.): multas millonarias a empresas de tech support scam.
• UK Trading Standards: operaciones contra call centers en colaboración con India.
• Europol: operación «Endgame» (2024) contra infraestructura de distribución de malware.
• España: la Policía Nacional y Guardia Civil han incrementado las operaciones contra call centers fraudulentos.

Glosario de términos relacionados

Recursos y referencias

Fuentes técnicas

• Kaspersky: estudio sobre conocimiento de términos de ciberseguridad en España (2020)
• FBI IC3: Internet Crime Report — estadísticas de tech support scams
• FTC (Federal Trade Commission): informes sobre estafas de soporte técnico
• Norton/Symantec: investigaciones sobre rogue antivirus y scareware
• Malwarebytes: herramienta de eliminación de scareware y análisis de amenazas
• INCIBE: guías de seguridad y servicio 017 de atención al ciudadano

Fuentes legales

• Código Penal español: artículos 197, 197 bis, 248, 250, 264, 402
• RGPD (Reglamento UE 2016/679): protección de datos personales comprometidos
• Ley General para la Defensa de los Consumidores y Usuarios: derechos del consumidor ante estafas
• Real Decreto Legislativo 1/2007: protección del consumidor en transacciones electrónicas

Herramientas de protección

• Malwarebytes: https://malwarebytes.com — eliminación efectiva de scareware
• INCIBE 017: https://www.incibe.es/linea-de-ayuda-en-ciberseguridad — teléfono gratuito de consulta
• Have I Been Pwned: https://haveibeenpwned.com — verificar si se comprometieron credenciales
• VirusTotal: https://virustotal.com — analizar archivos sospechosos descargados

Conclusión

El scareware es una amenaza persistente que ha evolucionado desde los falsos antivirus de la década de 2000 hasta las sofisticadas estafas de soporte técnico actuales, impulsadas por call centers organizados y cada vez más asistidas por inteligencia artificial. Su eficacia se basa en la manipulación emocional: el miedo a perder datos, dinero o acceso al dispositivo impulsa a las víctimas a actuar sin reflexionar.

El bajo conocimiento del término en España (solo un 4 % sabe qué es el scareware) hace que la población sea especialmente vulnerable, sobre todo las personas mayores, que constituyen el 66 % de las víctimas. Las pérdidas globales por estafas de soporte técnico superan los 3 200 millones de dólares anuales, y España no es ajena a este problema, con call centers desarticulados en Madrid y Barcelona y miles de víctimas documentadas por INCIBE.

Desde la perspectiva forense, el análisis de un caso de scareware implica examinar artefactos del navegador, software instalado, registros de acceso remoto y transacciones económicas. El perito informático puede documentar la naturaleza fraudulenta de la operación, reconstruir la sesión del estafador, evaluar el alcance del compromiso y elaborar un informe pericial que respalde denuncias, reclamaciones bancarias y procedimientos judiciales.

La prevención pasa por la concienciación (ningún antivirus legítimo muestra alertas en el navegador, ninguna empresa tecnológica llama proactivamente pidiendo acceso remoto) y por medidas técnicas (bloqueadores de anuncios, antivirus actualizado, políticas de software en empresas). Para las personas mayores, la comunicación clara y directa de reglas sencillas puede evitar la mayoría de las estafas.

Última actualización: 30 de marzo de 2026 Categoría: Malware Código: MAL-040