Cualquier llamada puede ser peligrosa, lo que corta canales de comunicación clave
En la misma medida en que la tecnología ha simplificado la vida cotidiana, ha abierto nuevos espacios para quienes buscan explotar la confianza humana. Tres modalidades de fraude digital —el wangiri, el quishing y el phishing telefónico— se multiplican en Perú y el mundo, aprovechando la curiosidad, la comodidad y la distracción de usuarios y empresas. Cada una opera sobre un principio distinto, pero todas convergen en el mismo punto: la vulnerabilidad de quien no sabe que está siendo observado.
- Las llamadas repetidas del wangiri pueden costarle a una persona entre veinte y treinta dólares por apenas unos segundos de conexión a un número de tarifa premium.
- Un código QR alterado en la mesa de un restaurante puede infectar el teléfono de un cliente sin que nadie lo note, destruyendo la reputación del negocio en cuestión de horas.
- El phishing telefónico evoluciona constantemente gracias a la ingeniería social, adaptándose para imitar bancos, empresas y autoridades con creciente precisión.
- En entornos corporativos, un solo correo engañoso abierto por un empleado puede desencadenar una infección que paraliza procesos críticos y compromete datos sensibles de toda la organización.
- Frente a la escalada de ataques, expertos urgen a empresas a adoptar monitoreo preventivo, segmentación de redes y capacitación continua antes de que el daño sea irreversible.
La tecnología que facilita nuestra vida cotidiana también ha abierto puertas que los estafadores no han tardado en cruzar. En los últimos meses, tres formas de fraude digital se han extendido con velocidad preocupante: el wangiri, el quishing y el phishing telefónico, cada una diseñada para explotar un hábito diferente de nuestra relación con los dispositivos.
El wangiri opera con una lógica engañosamente sencilla: llamadas masivas y repetidas —a veces más de diez en un día— desde números de apariencia corporativa. La curiosidad hace el resto. Cuando la víctima devuelve la llamada, es redirigida a líneas internacionales de tarifa especial que pueden cobrarle entre veinte y treinta dólares por apenas unos segundos. Para las operadoras de telecomunicaciones, el esquema representa pérdidas de miles de millones anuales a nivel global.
El quishing es una evolución más sofisticada: combina códigos QR manipulados con técnicas de phishing para redirigir a sitios fraudulentos donde se roban credenciales, datos personales o se instala malware sin que el usuario lo advierta. Un restaurante puede ver cómo un delincuente altera silenciosamente el código QR de sus mesas; cuando los clientes lo escanean, el daño ya está hecho —y la confianza en el negocio, también.
El phishing telefónico, en tanto, se apoya en ingeniería social pura: estafadores que se hacen pasar por representantes bancarios para extraer claves o información sensible. Freddy Linares, especialista en ciberseguridad de la Universidad del Pacífico, advierte que esta modalidad es transversal a muchas otras formas de ataque y se adapta continuamente. Hobber Siccha, de Centrum PUCP, añade que la digitalización ha ampliado simultáneamente la calidad de vida y el campo de acción de la delincuencia cibernética.
En el ámbito empresarial, el riesgo es aún mayor: un solo empleado que descarga un archivo infectado puede desencadenar una propagación de malware que comprometa datos críticos y paralice operaciones enteras. Los expertos coinciden en que la respuesta debe ser preventiva —monitoreo constante, firewalls robustos, vigilancia de dominios falsificados y capacitación continua— porque en este escenario, la primera línea de defensa siempre es humana.
La tecnología que simplifica nuestras vidas ha abierto también nuevas puertas para los estafadores. En los últimos meses, tres modalidades de fraude digital se han multiplicado con velocidad alarmante: el wangiri o "llamada y corte", el quishing basado en códigos QR manipulados, y el phishing telefónico. Cada una explota un aspecto diferente de cómo nos relacionamos con nuestros dispositivos, y cada una deja un rastro de pérdidas económicas y desconfianza.
El wangiri funciona con una lógica simple pero efectiva. Los estafadores realizan llamadas masivas y repetidas, a veces entre diez y veinte en un solo día, desde números que parecen corporativos. El objetivo es despertar curiosidad. Cuando la víctima finalmente devuelve la llamada, la conexión se enruta automáticamente a líneas internacionales o números de tarificación especial con costos exorbitantes. Aunque la persona permanezca conectada apenas unos segundos, puede ser cobrada entre veinte y treinta dólares, dependiendo del país de origen de la llamada. Para las empresas, el daño es aún mayor: los operadores de telecomunicaciones pierden miles de millones de dólares anuales porque sus sistemas de interconexión internacional son utilizados en estos esquemas fraudulentos.
El quishing representa una evolución más sofisticada del fraude. La palabra combina "QR" y "phishing", y describe exactamente lo que hace: utiliza códigos QR maliciosos para redirigir a usuarios hacia sitios web fraudulentos. Una vez allí, los estafadores buscan que la víctima ingrese credenciales bancarias, datos personales o, sin que se dé cuenta, descargue software malicioso. Un restaurante que usa códigos QR en sus mesas puede ver cómo un delincuente altera el código, y cuando los clientes lo escanean, sus datos se roban o sus teléfonos se infectan. El daño a la reputación del negocio es inmediato: los clientes pierden confianza, las ventas caen, y la percepción pública es que el establecimiento no protege adecuadamente a sus comensales.
El phishing telefónico, por su parte, se apoya en técnicas de ingeniería social pura. Los estafadores se hacen pasar por representantes de bancos u otras instituciones legítimas, llamando directamente para solicitar claves, números de cuenta o información personal. Freddy Linares, especialista en ciberseguridad de la Universidad del Pacífico, señala que la ingeniería social es transversal a muchas otras modalidades de estafa, lo que significa que estos ataques se adaptan y evolucionan constantemente.
Para los usuarios comunes, el impacto es principalmente económico. Reciben cargos inesperados en sus facturas telefónicas, y aunque bloqueen un número, los estafadores simplemente llaman desde otro. La insistencia genera una sensación de que cualquier llamada puede ser peligrosa, lo que afecta también a las empresas legítimas que necesitan comunicarse con sus clientes. Hobber Siccha, director consultivo de la Maestría en Gerencia de Tecnologías de la Información de Centrum PUCP, explica que la digitalización ha mejorado la calidad de vida, pero simultáneamente ha ampliado el campo de acción de la delincuencia cibernética.
En entornos empresariales más complejos, un ataque puede comenzar con un empleado de contabilidad, tesorería o recursos humanos que recibe un correo engañoso y descarga un archivo infectado. El malware se propaga entonces dentro de la red corporativa, comprometiendo datos críticos e interrumpiendo procesos clave. Los sistemas de protección como firewalls y antivirus tienen la función de contener la infección, pero si las políticas de seguridad no están bien definidas, el daño puede ser catastrófico.
Ante este panorama, existen medidas de protección tanto técnicas como organizacionales. Para usuarios, aplicaciones que identifican llamadas spam, antivirus en celulares y evitar conectarse a redes Wi-Fi públicas que solicitan datos personales son pasos básicos. Para empresas, el enfoque debe ser preventivo más que correctivo: monitoreo constante del entorno digital, vigilancia de dominios falsificados (como "rmicrosoft.com" en lugar de "microsoft.com"), firewalls robustos, antivirus actualizados, segmentación de redes y, fundamentalmente, capacitación continua de los empleados en prácticas básicas de ciberseguridad. Sin estas defensas, el riesgo de que una llamada, un código QR o un correo aparentemente inofensivo comprometa tanto datos personales como operaciones empresariales críticas sigue siendo muy real.
Notable Quotes
Consumimos a través de la tecnología, y nos ha ayudado en la calidad de vida digital. Pero también se incrementa la delincuencia cibernética.— Hobber Siccha, director consultivo de la Maestría en Gerencia de Tecnologías de la Información de Centrum PUCP
La ingeniería social es transversal a muchos otros tipos de estafas, y el objetivo es conseguir información específica haciéndose pasar por instituciones legítimas.— Freddy Linares, profesor de la Universidad del Pacífico y especialista en ciberseguridad
The Hearth Conversation Another angle on the story
¿Por qué alguien devolvería una llamada de un número desconocido si sabe que podría ser una estafa?
Porque el wangiri juega con la curiosidad humana. Recibir diez o veinte llamadas en un día despierta la inquietud: ¿quién insiste tanto? ¿Será algo importante? Al final, la persona cede y devuelve la llamada, sin saber que está activando un mecanismo que la conectará a una línea internacional costosísima.
¿Y en el caso del quishing, cómo es que un código QR puede ser tan peligroso si es solo un código?
Un código QR es solo una puerta. El peligro está en dónde te lleva esa puerta. Un delincuente puede reemplazar un código legítimo por uno malicioso que te redirige a un sitio que parece idéntico al original, pero donde roban tus datos o instalan malware. Para el usuario, es invisible.
¿Cuál es el daño más grave que puede sufrir una empresa?
Depende del contexto. Un restaurante pierde clientes y reputación si sus códigos QR son manipulados. Pero una empresa grande sufre algo peor: si un empleado descarga un archivo infectado, el malware puede propagarse por toda la red corporativa, comprometiendo datos sensibles y paralizando operaciones críticas. El daño económico y operacional es masivo.
¿Por qué las empresas de telecomunicaciones pierden "miles de millones de dólares"?
Porque sus sistemas de interconexión internacional son utilizados por los estafadores. Cuando alguien devuelve una llamada a un número internacional de tarifa premium, esa conexión pasa por las redes de las operadoras. Multiplicado por millones de llamadas fraudulentas, el impacto en sus balances es enorme.
¿Qué es lo más difícil de defender?
La ingeniería social. No puedes bloquear la curiosidad humana con un firewall. Un empleado recibe un correo que parece legítimo, descarga un archivo, y todo comienza. Las defensas técnicas ayudan, pero la verdadera protección es la educación continua y la vigilancia preventiva, no la corrección después del ataque.