En 2024, investigadores de Kaspersky detectaron más de 414,000 estafas por correo electrónico tipo ‘Nigeriano’ en países de Latinoamérica. Estos correos engañaban a las víctimas con ofertas financieras tentadoras, manipulándolas para que participaran en intercambios de correos electrónicos que finalmente serían utilizados para fraudes. Las últimas variantes de este método incluyen estafas románticas que solicitan reembolsos por supuestos gastos de viaje, extorsionadores que se hacen pasar por personas adineradas en busca de inversiones comerciales e incluso fraudes de supuestos representantes de los Illuminati, una sociedad secreta que se remonta a la era de la Ilustración.

Las estafas tipo “Nigeriano” son un fraude de pago anticipado, en el que los delincuentes prometen a las víctimas grandes sumas de dinero, oportunidades lucrativas o beneficios exclusivos, pero exigen un pago inicial—a menudo disfrazado de tarifas de procesamiento, costos legales o gastos de viaje—antes de desaparecer con el dinero. Originalmente, estos correos utilizaban nombres de personas influyentes y adineradas de Nigeria, de ahí su denominación. Con el tiempo, los ciberdelincuentes han adaptado los temas de estas extorsiones, aprovechando eventos actuales y tendencias populares para captar el interés de sus víctimas.

Las variantes de las estafas de pago anticipado descubiertas por Kaspersky en 2024, incluyeron engaños comunes (mensajes de supuestos individuos adinerados con problemas de salud) así como tácticas inusuales. Algunas de estas eran sofisticadas: por ejemplo, podrían incluir ofertas de amistad romántica, en las que la víctima y el timador se conocían en línea e intercambiaban mensajes. Sin embargo, cuando la víctima estaba lista para encontrarse en persona, su “pareja” le decía que necesitaba ayuda financiera porque no podía costear el boleto de avión o la visa.

En otro caso, el estafador aseguraba querer enviar un regalo costoso a su pareja, pero pedía a la víctima que cubriera los gastos de envío, argumentando que no podía pagarlos.

Uno de los ejemplos más inusuales fue un correo fraudulento presuntamente enviado en nombre de la sociedad secreta de los Illuminati, en el que se afirmaba que estaban dispuestos a compartir su riqueza y poder con el destinatario, siempre que esta persona aceptara unirse a su “gran hermandad” respondiendo al correo.

Un correo fraudulento presuntamente enviado en nombre de la sociedad secreta de los Illuminati.

Otra estafa revelada por el equipo de Kaspersky fue un correo electrónico que supuestamente provenía de un director de lotería europeo, con un cuerpo de mensaje casi vacío. Los detalles sobre el posible “premio” estaban en un archivo PDF adjunto, que solicitaba al usuario enviar su nombre, dirección, número de teléfono e incluso su puesto de trabajo para poder reclamar la recompensa.

Un ejemplo de estafa de lotería con un correo en blanco y un PDF adjunto con instrucciones sobre cómo reclamar el premio.

Algunas de las estafas descubiertas hacían referencia a eventos recientes o en curso, como la pandemia de COVID-19 o la posible adhesión de Arabia Saudita al BRICS, afirmando que los destinatarios tenían derecho a recibir fondos debido a estos acontecimientos.

Los estafadores también aprovecharon las elecciones presidenciales de EE. UU. de 2024, asegurando que las víctimas habían ganado millones de dólares de la Donald J. Trump Foundation.

En otros casos, para hacer sus correos más convincentes, los timadores adjuntan fotos de documentos falsificados que supuestamente confirmaban la identidad del remitente.

Un ejemplo de correo electrónico de estafa de recaudación de fondos.

Si bien las estafas de pago anticipado suelen estar dirigidas a usuarios individuales, también se han detectado variantes en el sector empresarial. En estos casos, los ciberdelincuentes afirmaban estar buscando compañías en las que invertir, y la organización del destinatario podía ser su objetivo. Para concretar una “asociación”, pedían a la víctima que respondiera al correo electrónico.

“La llamada estafa ‘Nigeriana’ ha existido por años y sigue siendo una de las formas más versátiles de fraude en línea. Los extorsionadores pueden hacerse pasar por figuras reales o ficticias (banqueros, abogados, ejecutivos de negocios o incluso altos funcionarios) elaborando historias complejas para manipular a sus víctimas. A diferencia de otros ciberataques por correo electrónico, estas estafas no dependen de enlaces o archivos maliciosos, sino que utilizan pura ingeniería social, estableciendo conversaciones prolongadas para generar confianza y credibilidad. Lo que las hace particularmente peligrosas es su capacidad de adaptación: los delincuentes refinan constantemente sus tácticas, aprovechando eventos globales, noticias de actualidad e incluso tragedias personales para parecer legítimos. En el futuro, podemos esperar que estas estafas sean aún más sofisticadas y difíciles de detectar. Esto resalta la necesidad de una mayor concienciación y alfabetización digital para reconocer y resistir estas tácticas manipuladoras”, comenta Anna Lazaricheva, analista de spam en Kaspersky.

Para que los usuarios puedan protegerse de este tipo de estafas, los expertos de Kaspersky recomiendan:

1. Desconfiar de las ofertas demasiado tentadoras y ser crítico con los correos supuestamente enviados por personas influyentes. Lo mejor es evitar responder a mensajes de remitentes no verificados.

2. Si no se puede evitar la comunicación con un desconocido, verificar la información antes de responder. Prestar atención a inconsistencias, errores gramaticales, etc. Si la dirección de respuesta es diferente de la del remitente o si se menciona otra dirección en el cuerpo del correo, podría tratarse de un fraude.

3. Si el remitente es legítimo, pero el contenido del mensaje parece sospechoso, verificar la información a través de otro canal de comunicación.

4. Usar una solución de seguridad confiable al navegar por la web, como Kaspersky Premium. Gracias al acceso a fuentes internacionales de inteligencia sobre amenazas, estas herramientas pueden detectar y bloquear campañas de spam y fraude.