Estafas de suplantación de identidad: 4 señales de advertencia de que está en el punto de mira

Pocas horas después de que misiles iraníes golpearan Dubai el 28 de febrero de 2026, los estafadores ya estaban al teléfono. Mientras los residentes se refugiaban de las explosiones cerca de Palm Jumeirah y el Aeropuerto Internacional de Dubai sufría un presunto ataque aéreo, los estafadores llamaban en frío a los residentes de los EAU afirmando pertenecer a un departamento ficticio de "Gestión de Crisis de Dubai", un organismo gubernamental falso falsamente vinculado a la Policía de Dubai.

Su objetivo no era ayudar. Su objetivo era robar las credenciales del UAE Pass y los datos del Emirates ID, información suficiente para ejecutar un ataque de intercambio de SIM y vaciar las cuentas bancarias de las víctimas a través de aplicaciones de banca móvil.

La Policía de Dubai confirmó oficialmente la estafa y emitió una advertencia pública el 1 de marzo de 2026: "La Policía de Dubai afirma que no solicita información confidencial o códigos de verificación a través de llamadas telefónicas o mensajes de texto bajo ninguna circunstancia."

No se trataba de oportunismo. Era una operación planeada de antemano a la espera de una crisis para desplegarse. El mismo manual se ha utilizado tras huracanes en Estados Unidos, bloqueos por COVID en todo el mundo y terremotos en Asia. Entender cómo funciona podría salvar su cuenta bancaria y su identidad.

En pocas palabras

• Las estafas por suplantación de identidad se dispararon a las pocas horas del ataque con misiles iraníes a Dubai el 28 de febrero de 2026.
• Los estafadores se hicieron pasar por un departamento ficticio de "Gestión de Crisis de Dubai" vinculado a la Policía de Dubai para robar credenciales de UAE Pass y datos de Emirates ID.
• Los datos robados se utilizaron para ejecutar ataques de intercambio de SIM, es decir, hacerse con el control de los números de teléfono para burlar la seguridad de la banca móvil.
• La FTC recibió más de 330.000 denuncias por suplantación de identidad en 2025, lo que supone un aumento interanual del 25%.
• Las 4 señales de alerta son: un nombre de departamento ficticio, urgencia vinculada a un acontecimiento noticioso, solicitud de códigos de verificación o datos de identificación y presión para actuar de inmediato.

Regla de oro: Ningún organismo público real le llamará nunca para pedirle contraseñas, códigos de verificación, Emirates ID, credenciales del UAE Pass o datos bancarios.

Cómo funcionó la estafa de Dubai: Desglose paso a paso

La estafa de Dubai no se improvisó. Siguió una secuencia precisa y probada que los estafadores que se hacen pasar por el gobierno utilizan en todo el mundo. Comprender cada paso hace que la estafa sea más fácil de reconocer en el futuro:

① Seguimiento de las noticias

Las operaciones de estafa vigilan activamente las noticias de última hora, las catástrofes naturales, los incidentes de seguridad y las crisis políticas, en busca de oportunidades para desplegar guiones de suplantación de identidad.

② Activar la operación en cuestión de horas

Pocas horas después de los ataques con misiles en Dubai, los operadores de los centros de llamadas empezaron a ponerse en contacto con los residentes de los EAU. La rapidez es deliberada: el miedo es mayor inmediatamente después de un suceso.

③ Falsear el identificador oficial de llamadas

Las llamadas parecían proceder de números oficiales. La moderna tecnología de suplantación de identidad permite a los estafadores mostrar cualquier número de teléfono que elijan.

④ Reclamar un departamento ficticio

"Gestión de crisis de Dubai" no existe. Los estafadores crean nombres de departamentos que suenan plausibles y que las víctimas no pueden verificar fácilmente en un momento de estrés.

⑤ Crear urgencia inmediata

A las víctimas les dijeron que sus cuentas o identidades estaban en peligro debido a la crisis y necesitaban una verificación urgente. El miedo anula el pensamiento crítico.

⑥ Solicitar credenciales confidenciales

Se solicitaron datos de acceso a UAE Pass y números de identificación de Emiratos, suficientes para realizar un intercambio de SIM y hacerse con el control de la banca móvil.

⑦ Ejecutar el cambio de SIM

Con las credenciales, los estafadores se ponen en contacto con el operador de telefonía móvil de la víctima, transfieren el número de teléfono a una SIM que controlan, interceptan las OTP bancarias y vacían las cuentas.

Las 4 señales de advertencia de una estafa de suplantación de identidad gubernamental

01 Señal de advertencia 1: Un departamento o agencia que no puede verificar

"Gestión de Crisis de Dubai". "Oficina Nacional de Coordinación de Emergencias". "Unidad de Respuesta de Seguridad Digital". Estos nombres parecen reales. Son inventados. Los estafadores crean deliberadamente nombres de departamentos que suenan plausibles porque, en un momento de pánico, la mayoría de la gente no se para a comprobar si existen. Los organismos públicos reales tienen nombres verificables, presencia en Internet y canales de contacto oficiales. Los ficticios, no.

¿Qué hacer? Antes de hablar con alguien que diga representar a un organismo público, cuelgue y busque el nombre del departamento en el sitio web oficial del gobierno. Si no aparece, es que no existe.

02 Señal de advertencia 2: La urgencia está relacionada con una noticia de última hora

La crisis es real. El miedo es real. El estafador no lo es. Los estafadores que se hacen pasar por el gobierno programan sus operaciones para que coincidan con acontecimientos que generan el máximo miedo y el mínimo escepticismo: ataques con misiles, terremotos, brotes de enfermedades y grandes incidentes cibernéticos. La urgencia que crean la toman prestada del acontecimiento real, y por eso resulta tan convincente. Pero las agencias gubernamentales reales no se ponen en contacto con los ciudadanos individualmente por teléfono en las horas posteriores a una crisis para solicitar verificación personal.

¿Qué hacer? Pregúntese: ¿Es urgente esta llamada por un riesgo personal real para mí, o porque un acontecimiento informativo me está haciendo sentir miedo? Si la respuesta es esta última, cuelgue.

03 Señal de advertencia 3: Piden códigos de verificación, contraseñas o datos de identificación

Esta es la señal de alarma más clara de todas, y la que la Policía de Dubai ha destacado explícitamente: "La Policía de Dubai afirma que en ningún caso solicita información confidencial o códigos de verificación a través de llamadas telefónicas o mensajes de texto". Esto es universalmente cierto. Ningún organismo gubernamental, cuerpo de policía, banco o empresa de servicios públicos le llamará jamás para solicitarle sus credenciales del UAE Pass, su número de identificación de los Emiratos, sus códigos de acceso de un solo uso, sus PIN o sus contraseñas bancarias. Jamás. Si alguien le solicita cualquiera de estos datos, se trata de una estafa. Sin excepciones.

Qué hacer: Cuelgue inmediatamente. No facilite ninguna información. Llame al número oficial del gobierno que encontrará en el sitio web oficial para denunciar el intento de fraude.

04 Señal de advertencia 4: Le presionan para que actúe inmediatamente

"Su cuenta será congelada a menos que lo verifique ahora". "Tenemos que protegerle antes de que se cierre el plazo". "Esta llamada está siendo grabada y se requiere su cooperación". La presión es el mecanismo operativo de todas las estafas de suplantación de identidad. Anula el pensamiento crítico e impide que las víctimas cuelguen para verificar. Las agencias gubernamentales reales envían avisos por escrito, dan tiempo para responder y tienen procesos formales - no crean emergencias telefónicas que expiran en minutos.

Qué hacer: Cualquier presión para actuar inmediatamente, sin tiempo para verificar, es una táctica de manipulación. La respuesta correcta es siempre ir más despacio, no acelerar.

¿Están aumentando las estafas de suplantación de identidad?

Sí, y rápidamente. La FTC recibió más de 330.000 reclamaciones por suplantación de identidad en 2025, lo que supone un aumento interanual del 25%, y las pérdidas por fraude de suplantación de identidad alcanzaron los 405,6 millones de dólares sólo en Estados Unidos.

Los avances tecnológicos también están haciendo que estas estafas sean más convincentes. Las herramientas de IA pueden clonar voces, generar mensajes convincentes y automatizar campañas de estafa a gran escala. Combinadas con la suplantación del identificador de llamadas y las plataformas de mensajería, los delincuentes pueden llegar a miles de víctimas potenciales en cuestión de minutos tras una crisis.

A pesar de estos avances, la regla sigue siendo simple: ninguna agencia gubernamental legítima le llamará para pedirle contraseñas, códigos de verificación o detalles de identificación personal.

Si recibe una llamada sospechosa, la respuesta más segura es colgar y ponerse en contacto con el organismo gubernamental a través del número de teléfono oficial que aparece en su sitio web.

Conclusión: Esté alerta

Las estafas de suplantación de identidades gubernamentales tienen éxito porque explotan el miedo durante las crisis del mundo real. El ejemplo de Dubai muestra lo rápido que pueden actuar los delincuentes cuando las noticias de última hora crean confusión y urgencia. Recuerde la regla clave: si alguien que dice representar a un organismo público le pide por teléfono contraseñas, códigos de verificación o datos de identificación personal, es casi seguro que se trata de una estafa. Cuelgue y verifique el contacto a través de los canales oficiales para proteger su identidad y su cuenta bancaria.

Adam Collins es un investigador de ciberseguridad de ScamAdviser que opera bajo seudónimo por motivos de privacidad y seguridad. Con más de cuatro años en la primera línea digital y más de 1.500 días dedicados a deconstruir miles de estafas, está especializado en traducir amenazas complejas en consejos prácticos. La misión de Adam es sencilla: sacar a la luz las señales de alarma para que puedas navegar por Internet con confianza.