Las fechas de compras más importantes del año, Black Friday (28 de noviembre) y Cyber Monday (1.° de diciembre), llegan este 2025 en medio de un panorama de ciberdelincuencia que ha evolucionado drásticamente.

Para Costa Rica, un país donde el comercio electrónico proyecta un crecimiento anual compuesto de un 8,91% entre 2025 y 2029 y el 80% de los adultos ya compra en línea, la temporada de ofertas es también una temporada de alto riesgo.

El contexto nacional es alarmante. Según datos del Organismo de Investigación Judicial (OIJ), en el primer semestre de 2025, más de 4.100 costarricenses sufrieron estafas informáticas, lo que equivale a un fraude cada 62 minutos.

Esta cifra representa un crecimiento del 100% en comparación con el mismo período de 2024, con pérdidas que superan los ₡2.700 millones y un perjuicio promedio de ₡650.000 por víctima.

El país registró 29,1 millones de intentos de ciberataques solo en la primera mitad de 2025, y el OIJ prevé cerrar el año con cerca de 30.000 denuncias por estafas.

Los consejos de seguridad de años anteriores, aunque vigentes, ya no son suficientes. Los ciberdelincuentes ahora utilizan inteligencia artificial (IA), deepfakes hiperrealistas y tácticas de ingeniería social diseñadas específicamente para el consumidor costarricense.

Las nuevas armas del fraude: Deepfakes y “Quishing”

La amenaza más peligrosa de 2025 es el uso de deepfakes (videos o audios ultrarrealistas generados por IA). Esta tecnología, que vio un aumento del 1.740% en Norteamérica, se usa para crear anuncios falsos donde celebridades, influencers o ejecutivos de empresas parecen promocionar ofertas increíbles. Un caso notorio fue un deepfake del youtuber MrBeast promocionando un producto falso.

El 46% de los consumidores estadounidenses ya reportan haberse encontrado con estafas impulsadas por IA.

En Costa Rica, la principal puerta de entrada son los anuncios en redes sociales. Cerca del 40% de todas las estafas de compras en línea provienen de anuncios en Facebook e Instagram, según Llodys Banking Group.

A esto se suma la clonación de sitios: solo relacionados con Amazon, se detectaron 727 nuevos dominios falsos en tres semanas, donde Amazon es la principal herramienta de búsqueda para Black Friday.

Otra técnica emergente es el “Quishing”, o phishing a través de códigos QR, donde correos o calcomanías falsas llevan a sitios maliciosos al ser escaneados.

Estafas locales: Casilleros fantasma y suplantación por WhatsApp

Además de las amenazas globales, en Costa Rica operan modalidades de estafa adaptadas al consumidor local.

Estafa del casillero fantasma: Una amenaza específica para quienes compran en tiendas de EE.UU u otras locaciones . Los delincuentes crean perfiles en redes sociales de casilleros (servicios de paquetería) informales. Operan sin registro comercial, no emiten facturas electrónicas y no están inscritos en el Ministerio de Hacienda ni en el Ministerio de Economía, Industria y Comercio. Se promocionan con precios atractivos y, una vez que reciben los paquetes, desaparecen con el dinero y la mercadería.

Una amenaza específica . Los delincuentes crean perfiles en redes sociales de casilleros (servicios de paquetería) informales. Operan sin registro comercial, no emiten facturas electrónicas y no están inscritos en el Ministerio de Hacienda ni en el Ministerio de Economía, Industria y Comercio. Se promocionan con precios atractivos y, con el dinero y la mercadería. Estafas por WhatsApp y redes: Son las plataformas más usadas por los delincuentes en Costa Rica. Organizaciones criminales compran bases de datos con información personal de costarricenses (cédula, fecha de nacimiento, patrono) para realizar estafas dirigidas. Una modalidad común es tomar control de una cuenta de WhatsApp y ofrecer a los contactos de la víctima “dólares a bajo precio”.

Son las plataformas más usadas por los delincuentes en Costa Rica. Organizaciones criminales (cédula, fecha de nacimiento, patrono) para realizar estafas dirigidas. Una modalidad común es y ofrecer a los contactos de la víctima “dólares a bajo precio”. Suplantación de sitios ( phishing ): El phishing clásico sigue siendo la amenaza más persistente. Este delito pasó de 29 incidentes en 2019 a 287 en 2022 en el país. En mayo de 2025, la Fiscalía contra la Ciberdelincuencia desarticuló una red que clonó el sitio web del Banco de Costa Rica (BCR). Los estafadores también envían mensajes de texto (smishing) masivos sobre supuestos problemas con entregas de paquetes, una táctica muy efectiva (42% de adultos en Reino Unido reportan haber recibido uno).

Manual de defensa: El blindaje básico para sus compras

Aunque las amenazas evolucionan, las defensas fundamentales siguen siendo la primera barrera.

Expertos en ciberseguridad y entidades como la Universidad Estatal a Distancia y Mastercard coinciden en un manual de defensa esencial:

No haga clic en enlaces: Esta es la regla de oro. Nunca ingrese a una tienda o banco desde un enlace en un correo, anuncio de red social o mensaje de texto. Abra su navegador y escriba manualmente la dirección oficial del sitio (ejemplo: www.amazon.com).

Esta es la regla de oro. Nunca ingrese a una tienda o banco desde un enlace en un correo, anuncio de red social o mensaje de texto. Abra su navegador y oficial del sitio (ejemplo: www.amazon.com). Verifique el sitio: Antes de ingresar datos, confirme que la URL comience con “https://” y muestre el ícono del candado. Revise la dirección completa en busca de errores sutiles (ej: “amaz0n” o extensiones “.shop” o “.store”).

Antes de ingresar datos, Revise la dirección completa en busca de errores sutiles (ej: “amaz0n” o extensiones “.shop” o “.store”). Use crédito, no débito: Para compras en línea, prefiera siempre una tarjeta de crédito . Las tarjetas de crédito ofrecen seguros y mecanismos de disputa de cargos fraudulentos. Una tarjeta de débito da acceso directo a sus ahorros, y recuperar el dinero es mucho más difícil .

Para compras en línea, . Las tarjetas de crédito ofrecen seguros y mecanismos de disputa de cargos fraudulentos. Una tarjeta de débito da acceso directo a sus ahorros, y . Use intermediarios: Plataformas como PayPal, Apple Pay o Google Pay actúan como una bóveda. Pagan al comercio sin exponer los números reales de su tarjeta , añadiendo una capa vital de seguridad.

Plataformas como PayPal, Apple Pay o Google Pay actúan como una bóveda. , añadiendo una capa vital de seguridad. Active la Autenticación de Dos Pasos (2FA/MFA): Este es uno de los escudos más fuertes. Si un estafador roba su contraseña, el código de verificación (enviado a su celular o app) es la barrera que le impedirá acceder a su cuenta.

Este es uno de los escudos más fuertes. Si un estafador roba su contraseña, el código de verificación (enviado a su celular o app) es la barrera que le impedirá acceder a su cuenta. Evite el Wi-Fi público: Nunca realice transacciones financieras (compras o transferencias) conectado a redes de Wi-Fi públicas en centros comerciales, parques o restaurantes. Estas redes son inseguras y facilitan la intercepción de sus datos.

Cómo identificar un ‘deepfake’: “Ver ya no es creer”

La mayor amenaza de 2025 es que los videos y audios falsos son extremadamente convincentes. Sin embargo, la IA aún comete errores.

Señales visuales en videos:

Ojos y parpadeo: Busque patrones de parpadeo irregulares o períodos muy largos sin parpadear. Los ojos pueden parecer “sin vida” o no moverse naturalmente para seguir objetos.

Busque patrones de parpadeo irregulares o períodos muy largos sin parpadear. Los ojos pueden parecer “sin vida” o no moverse naturalmente para seguir objetos. Sincronización labial: Comúnmente hay un ligero desfase o desajuste entre el audio y el movimiento de los labios.

Comúnmente hay un ligero desfase o desajuste entre el audio y el movimiento de los labios. Textura de la piel: La piel puede verse excesivamente lisa, “cerosa” o con una textura antinatural.

La piel puede verse excesivamente lisa, “cerosa” o con una textura antinatural. Iluminación: Las sombras en el rostro pueden ser inconsistentes o no coincidir con la iluminación del fondo.

Señales en audios (clonación de voz):

Pausas antinaturales: Silencios extraños o pausas demasiado largas o cortas entre palabras.

Silencios extraños o pausas demasiado largas o cortas entre palabras. Tono robótico: La voz puede sonar metálica o excesivamente pulida, sin las imperfecciones naturales del habla.

La voz puede sonar metálica o excesivamente pulida, sin las imperfecciones naturales del habla. Falta de ambiente: El audio es “demasiado limpio”, sin el ruido de fondo natural, respiraciones o clics sutiles del entorno.

Señales en imágenes (generadas por IA):

Manos y extremidades: Siguen siendo el “talón de Aquiles” de la IA. Busque un número incorrecto de dedos o manos con proporciones poco realistas.

Siguen siendo el “talón de Aquiles” de la IA. Busque un o manos con proporciones poco realistas. Asimetrías: Aretes que no coinciden, ojos de tamaños ligeramente diferentes o detalles faciales distorsionados.

Qué hacer si fue víctima de una estafa

En Costa Rica, la investigación de estos casos no es tan rápida y los delincuentes operan como empresas articuladas, según la Fiscalía contra la Ciberdelincuencia. En 2024, solo 85 casos de estafa informática llegaron a juicio, y solo siete personas recibieron penas de cárcel. La prevención es la única garantía.

Si, a pesar de todo, detecta un fraude, actúe de inmediato: