📌 ¿Qué está pasando exactamente?
En el año 2000, el FBI lanzó el IC3 como una apuesta a futuro: una plataforma centralizada para recibir denuncias de crímenes habilitados por internet. Nadie imaginaba lo que vendría.
Lo que comenzó recibiendo unos pocos miles de reportes mensuales ahora procesa casi 3,000 denuncias al día. En 2025 se cruzó la barrera del millón de denuncias anuales por primera vez: exactamente 1,008,597. Y las pérdidas superaron, también por primera vez, los veinte mil millones de dólares.
El incremento del 26% en pérdidas respecto a 2024 no se explica solo por más víctimas — se explica por ataques más sofisticados, más personalizados y, cada vez más, asistidos por inteligencia artificial generativa. La combinación de volumen industrial y precisión quirúrgica está redefiniendo el perfil del cibercrimen.
"Nunca había sido más importante ser diligente con tu ciberseguridad, tu huella en redes sociales y tus interacciones electrónicas." — FBI, IC3 Annual Report 2025
💸 ¿A dónde fue el dinero?
El ciberfraud habilitado digitalmente representa apenas el 45% de las denuncias, pero concentra el 85% de todas las pérdidas: $17.7 mil millones. Aquí los vectores que más duelen:
| Vector de ataque | Pérdidas 2025 |
|---|---|
| Fraude por inversión (cripto) | $8,648,617,756 |
| Business Email Compromise (BEC) | $3,046,598,558 |
| Tech Support / Soporte falso | $2,134,675,818 |
| Romance / Confianza | $929,287,469 |
| Suplantación gubernamental | $797,943,193 |
| Fraudes con nexo de IA | $893,346,472 |
| Ransomware (reportado) | $32,320,105 |
Nota crítica sobre el ransomware: el FBI aclara que esa cifra de $32M excluye pérdidas de productividad, remediación y casos reportados fuera del IC3. El número real es significativamente mayor.
🐷 Pig butchering: el negocio más rentable del cibercrimen
El fraude por inversión en criptomonedas — conocido como pig butchering o sha zhu pan — es la categoría más devastadora por tercer año consecutivo. No es un scam improvisado: es una industria criminal organizada.
Opera desde centros de estafa en el sudeste asiático (Camboya, Laos, Myanmar), utilizando víctimas de tráfico humano como operadores forzados. El modus operandi: meses de cultivo de confianza vía redes sociales y apps de mensajería, seguidos de la "invitación" a invertir en plataformas cripto que no existen.
La escalada en tres años es brutal:
- 2023 → $4.57 mil millones
- 2024 → $6.57 mil millones (+44%)
- 2025 → $8.65 mil millones (+32%)
El 86% de esas pérdidas se procesaron mediante criptomonedas. En 2025 emergieron también los "Investment Club Scams": clubes de inversión fraudulentos operados con videos deepfake de celebridades y CEOs — 1,600 denuncias, $160 millones en pérdidas.
La IA ya no es el futuro del cibercrimen. Es el presente.
22,364 denuncias con nexo de IA · $893 millones en pérdidas confirmadas · Cifra real: mucho mayor
El reporte dedica una sección completa a la inteligencia artificial, y el mensaje es inequívoco: la tecnología está amplificando cada vector de ataque existente. Los $893 millones son, según el propio FBI, solo la punta del iceberg.
El ejemplo más revelador: el fraude de inversión con IA registró $632 millones en pérdidas — pero el total de pérdidas por fraude de inversión supera los $8 mil millones. La mayoría de víctimas ni siquiera saben que la IA fue parte del ataque.
Los vectores más activos:
Clonación de voz + BEC — Modelos de voz generativa clonan a CEOs para autorizar transferencias. Solo en BEC con IA: +$30 millones en 2025.
Perfiles y guiones de romance — La IA genera personajes falsos y scripts de conversación. $19 millones en pérdidas con nexo IA en esta categoría.
"Grandparent scams" con voz clonada — Tecnología de voz imita a un familiar en crisis. Más de $5 millones en pérdidas en 2025.
Deepfakes en entrevistas de empleo — Candidatos falsos se infiltran en redes corporativas. El objetivo no es dinero — es acceso.
📈 Investment clubs con IA — Videos generados con IA imitando a Elon Musk o CEOs financieros para atraer "inversores" a plataformas fraudulentas.
La crisis que nadie quiere ver
Los adultos de 60+ son el 20% de las denuncias, pero el 37% de todas las pérdidas. Su pérdida promedio es $38,500 — casi el doble del promedio nacional.
Con 201,266 denuncias y $7,748 millones en pérdidas (59% más que en 2024), el fraude a adultos mayores ya no es solo un problema de ciberseguridad — es una crisis de salud pública.
El FBI documentó casos que van más allá del dinero. En 2025, 38 víctimas fueron referidas a especialistas de intervención en crisis suicida como consecuencia directa del fraude. La Operación Level Up intervino en casos donde adultos mayores estaban a punto de:
- Liquidar su fondo de retiro — un hombre a punto de retirar $750,000 de su 401K.
- Vender su casa — una mujer planificando vender su propiedad por $500,000 para "invertir".
- Destinar fondos médicos — pacientes con enfermedades graves desviando dinero destinado a tratamientos críticos.
"Los peores casos no son los que más dinero pierden. Son los que pierden a alguien."
🔒 Ransomware y amenazas estatales
63 nuevas variantes en 2025. Corea del Norte infiltrada en empresas de EE.UU.
Los 10 ransomware más activos: Akira · Qilin · INC/Lynx · BianLian · Play · Ransomhub · Lockbit · Dragonforce · SAFEPAY · Medusa. Los sectores más golpeados: Manufactura Crítica, Salud Pública y Dependencias Gubernamentales.
🇰🇵 DPRK en tu empresa: El FBI identificó docenas de compañías víctimas de una operación donde el régimen norcoreano infiltró trabajadores de TI falsos como empleados remotos para robar datos propietarios y financiar su programa de armas nucleares.
La respuesta que sí está funcionando
El FBI congeló $679 millones de $1.16 mil millones en intentos de robo — tasa de éxito del 58%. Pero el tiempo es el factor crítico: cada hora que pasa reduce la ventana de recuperación.
Financial Fraud Kill Chain: 3,900 incidentes procesados · $679M congelados · 58% de éxito
Operation Level Up: 3,780 víctimas notificadas en 2025 · 78% no sabía que era estafa · $225M en pérdidas prevenidas · Total acumulado desde 2024: +$500M
🛡 Lo que necesitas hacer ahora
Reporta dentro de las primeras horas. El FFKC del FBI solo puede actuar si se mueve rápido. Reporta en ic3.gov.
Verifica transferencias por canal separado. Ninguna instrucción de pago vía email, sin importar quién la firme, debe ejecutarse sin confirmación fuera de banda.
Actualiza tus controles frente a deepfakes. Las entrevistas remotas necesitan verificación adicional. El video en vivo ya no es evidencia suficiente.
Capacita a usuarios no técnicos. El +145% en Tech Support scams señala que la brecha está en el usuario final, no en el perímetro técnico.
Backups inmutables y segmentación de red son no negociables. Para salud, manufactura y gobierno: son la diferencia entre un incidente y una catástrofe.