'Man in the middle': el nuevo robo que puede dejarte sin un euro

La ciberdelincuencia ha evolucionado drásticamente en los últimos tiempos, pasando de ataques genéricos a campañas cada vez más personalizadas y sofisticadas. La aparición de técnicas como el 'phishing', que consiste en el robo de información y datos mediante suplantación de identidad a empresas, o los 'deepfake', archivos modificados para suplantar identidades, expone al usuario a riesgos inéditos.

Recientemente, la policía de Mallorca asistió a un hombre que había perdido más de 31.000 euros por culpa de una estafa bautizada como 'Man in the middle' (en español, 'Hombre en medio').

Intercepción de datos confidenciales

Todo comenzó cuando la víctima se disponía a realizar una transferencia bancaria con un valor de 31.140 euros. Sin embargo, el dinero nunca llegó a su destinatario. El afectado se dirigió de inmediato a la comisaría para denunciar la situación ante la Policía Nacional. Pronto, el Grupo de Delincuencia Económica y Delitos Tecnológicos empezó una investigación y descubrió que el número de cuenta corriente que había recibido el hombre a través de correo no se correspondía con el de la empresa a la que tenía que enviar el dinero.

Los agentes concluyeron que el hombre había sido estafado a través de 'Man in the middle'. Esta técnica consiste en que los ciberdelincuentes se interponen en medio de la comunicación entre dos personas o entidades para interceptar, leer y modificar algunos datos delicados y privados -como contraseñas y números de cuentas corrientes, entre otros- y robar dinero. Finalmente, la policía bloqueó la operación, consiguió identificar al delincuente y devolver a la víctima el dinero robado.

Implantación de la Directiva SRI 2

Según datos del informe de Balance de Criminalidad del Ministerio de Interior, en 2025, la cibercriminalidad en España aumentó un 5,3% respecto al año anterior, con más de 480.000 infracciones penales. De toda la delincuencia registrada desde enero hasta diciembre, el 88% representó estafas informáticas.

A pesar de ello, a día de hoy, España sigue sin aplicar la Directiva SRI 2 (vigente desde el 2023), destinada a reforzar la seguridad en la Unión Europea (UE). Como explica Incibe (el Instituto Nacional de Ciberseguridad de España), esta normativa supone una actualización respecto a la directiva NIS 2016, que fue creada con la finalidad de garantizar un objetivo común de seguridad en las redes y los sistemas de información de los países miembros.

Con esto, la UE buscaba que los usuarios estuvieran más protegidos ante posibles ciberataques y que sus datos no quedaran expuestos, pues la directiva exige a las empresas notificar cualquier ataque en un plazo inferior a 24 horas. Aunque España aprobó en 2025 un anteproyecto de Ley de Coordinación y Gobernanza de Seguridad, de acuerdo con la normativa, la UE ha avisado este año de su incumplimiento mediante un dictamen motivado, algo que podría derivar en un juicio ante el Tribunal de Justícia de la Unión Europea.

Aumento de técnicas ciberdelictivas

Según el Consejo europeo, la cibercriminalidad sigue aumentando alrededor del mundo: solo en 2020, el coste mundial de la ciberdelicuencia fue de 5,5 billones de euros, el doble que en 2015. Además, según la Agencia de la Unión Europea para la Ciberseguridad (ENISA), las técnicas se volvieron más variadas: amenazas contra la disponibilidad y sobrecargas de la red, programas de secuestro y destrucción de datos, la ingeniería social (la manipulación) o el uso de programas maliciosos se han vuelto prácticas cada vez más comunes.

Las amenazas acostumbran a proceder de diversas vías, desde grupos vinculados a los Estados hasta delincuentes con motivaciones financieras, entidades privadas o "piratas activistas". No obstante, cada grupo tiene sus métodos y objetivos específicos: los grupos vinculados a gobiernos lanzan ataques como el espionaje, con objetivos políticos; los agentes de ciberdelincuencia buscan beneficios monetarios mediante ingeniería social; y los agentes privados son los que desarrollan y venden las armas cibernéticas al resto.

Como reflejan los datos del Consejo europeo, casi el 20% de los ciberataques están dirigidos a organizaciones de la administración pública. Le siguen los sectores de transportes (11%), las finanzas (9%), las infraestructuras digitales (9%), los servicios a las empresas (8%), el público general (8%) y el sector manufacturero (6%). De este modo, aplicar la Directiva SRI puede ser un elemento clave tanto para aumentar la seguridad en el entorno digital como para garantizar la transparencia gubernamental.