Desde Jordi Évole en El Mundo, hasta Ana Botín en ABC: anatomía de la red de timos que usa artículos falsos con famosos para promocionar supuestas plataformas de inversión

Mismos famosos, entrevistas inventadas y formularios: esta es la fórmula con la que fabrican cientos de webs fraudulentas

“Estáis mintiendo a millones de españoles”. Esto es lo que habría dicho el presentador Jordi Évole en El Hormiguero, minutos antes de recomendar una supuesta plataforma financiera. Lo cuenta supuestamente El Mundo, que titula “Así Jordi Évole dejó sin palabras al director del Banco de España en directo por televisión”. Pero nada de esto es cierto: es una estrategia que hemos detectado en 96 artículos fraudulentos que usan la imagen de personas conocidas para promocionar supuestas plataformas de inversión. 

Estos contenidos han sido identificados gracias a los mensajes que los usuarios han enviado a Maldita.es a través de nuestro chatbot de WhatsApp en el periodo de un año (entre el 1 de abril de 2025 y el 31 de marzo de 2026 ). Solo en marzo de este año se concentró el 25% de los casos analizados, la cifra más alta registrada en un solo mes.  

La misma fórmula se repite en todos ellos: suplantan a medios de comunicación nacionales, utilizan el nombre y la imagen de personas famosas, un texto en formato de entrevista completamente inventada, en la que supuestamente se explica cómo la persona ha ganado una fortuna invirtiendo en una plataforma financiera, y un formulario que solicita datos personales. 

En estos falsos artículos se utiliza la imagen de hasta 46 personas famosas —algunas de ellas fallecidas recientemente— y se suplanta a siete medios de comunicación españoles para dar apariencia de credibilidad a las supuestas entrevistas y recomendaciones de inversión. Entre los famosos más suplantados destacan Amancio Ortega y Ana Botín, con 11 casos cada uno, y Jordi Évole, con diez. En cuanto a los medios, el más afectado es El Mundo, con 55 suplantaciones, seguido de RTVE con ocho.

El proceso para crear estas webs fraudulentas está automatizado. Jorge Louzao, experto en ciberseguridad y maldito que nos ha prestado sus superpoderes, explica que los “estafadores” utilizan un “sistema de afiliados”: se distribuye un manual de instrucciones y un “kit” o plantilla web prefabricada a distintos operadores regionales que les permite actuar de forma localizada manteniendo una infraestructura centralizada de monetización. 

Para generar rápidamente nuevas páginas, los ciberdelincuentes emplean además técnicas como los RDGA (Registered Domain Generation Algorithms), que permiten registrar grandes cantidades de dominios de forma automática a través de registradores baratos. Después despliegan la misma plantilla cambiando únicamente elementos como el idioma, el famoso utilizado o el medio suplantado, mientras la estructura no cambia. 

¿A dónde van los datos que se rellenan en los formularios que incorporan estas webs? Louzao asegura que los formularios están conectados a un sistema central que recopila a los usuarios que han mostrado interés y que han proporcionado sus datos a los ciberdelincuentes. 

Webs de usar y tirar: los ciberdelincuentes utilizan dominios baratos y efímeros para evitar ser rastreados 

Los ciberdelincuentes que crean webs fraudulentas no sólo suplantan a medios y utilizan imágenes de famosos, también usan dominios baratos y efímeros para mantener sus redes activas sin ser detectados. Muchas de las TLD de los dominios —la extensión detrás del punto, por ejemplo .buzz, .xyz, .org— de estas webs son de reciente creación y no están asociadas a ningún país, lo que hace que tengan unos requisitos más laxos a la hora de comprarlos, asegura la especialista en ciberseguridad y maldita con superpoderes Paula González. 

Louzao añade que los ciberdelincuentes buscan estas extensiones porque se pueden adquirir por poco dinero y con poca o ninguna verificación de identidad, a veces por menos de uno o dos euros el primer año. Además, funcionan con una estrategia de vida corta. “Es una táctica básica de funcionamiento de esta estafa: los dominios baratos son herramientas desechables, fáciles de adquirir, fáciles de usar y fáciles de abandonar”, apunta el experto.

Los dominios se registran rápidamente, se usan durante semanas o meses y, cuando son bloqueados o denunciados, se abandonan y se reemplazan por otros nuevos. Walter Osvaldo, experto en ciberseguridad y hosting y maldito con superpoderes, señala que “como cuesta pocos minutos generar nuevos sitios con nuevos dominios, cuando cae uno no pasa nada porque se genera otro”. 

Esta rotación constante de dominios ofrece ventajas para los ciberdelincuentes. Louzao señala que los dominios recién registrados no aparecen todavía en las listas negras que usan los sistemas de seguridad para bloquear contenido malicioso, lo que les da “una ventana de tiempo valiosa” antes de ser detectados. Y cuando uno cae, ya hay decenas de reemplazos operativos. Como añade González, “cuanto más efímero, más difícil es para los equipos antifraude recabar información para tratar de identificar el origen de la red”. 

Además, algunos dominios se pueden adquirir en servicios que aceptan criptomonedas como método de pago, “lo que dificulta aún más rastrear al responsable”, apunta Walter Osvaldo.

Metadatos, dominios y códigos compartidos que revelan “una red organizada” detrás de estas webs

Jorge Louzao asegura que se trata de “redes organizadas” con un modelo que funciona como una “franquicia criminal”. Según explica, hay un nivel central que proporciona herramientas, plantillas, infraestructura y manuales operativos, y operadores regionales que localizan el contenido y gestionan la distribución. La empresa de ciberseguridad CTM360 ha rastreado más de 17.000 sitios de contenidos que suplantan a medios de comunicación para promover falsas inversiones solo el año pasado, presentes en 50 países. 

Jorge Louzao dice haber detectado, de una muestra de webs que suplantan a medios de toda Europa, que varios de ellos contienen metadatos en ruso y “metadatos internos de campaña e identificadores de comprador compartidos que sugieren que hay un grupo afiliado o de gestión de habla rusa coordinado”, asegura el experto. 

Además de los metadatos, Louzao añade que existen otras pistas técnicas que permiten reconocer estas redes, explica el experto. Por un lado, comparten firmas UTM y los píxeles de seguimiento, que son pequeños códigos insertados en los enlaces y en la web para medir de dónde vienen los usuarios y cómo interactúan con los contenidos. Al ser los mismos, significa que un único ciberdelincuente sabe exactamente cuántas víctimas potenciales entran a cada web falsa. 

Los patrones de registro también delatan esta red. Muchos dominios se han creado en pocos días, se usan los mismos registradores baratos y servicios de privacidad WHOIS que ocultan quién es el dueño real del dominio, explica Louzao. 

Como explica Paula González, hay organizaciones que se especializan en generar contenido en masa para terceros que son los que cometen el fraude. “Reutilizar elementos visuales o de formato suele indicar que se trata de la misma organización, porque automatizar la generación de contenido es lo más laborioso en la estafa”, apunta la especialista. 

Decenas de supuestas plataformas de inversión y ninguna autorizada por la CNMV

Entre los 96 enlaces detectados, algunos ya no están operativos a 15 de abril de 2026. De los que hemos podido analizar, se han identificado un total 60 supuestas plataformas de inversión distintas, algunas de ellas repetidas en varios falsos artículos.

Cuatro de las falsas entrevistas promocionaban y dirigían a la web ‘Quantum AI’, una entidad que ya figura en el registro de advertencias de la Comisión Nacional del Mercado de Valores (CNMV) y ha sido señalada como “fraude financiero” por el organismo. Ninguna de las otras supuestas plataformas están autorizadas por la CNMV. 

Los ciberdelincuentes crean distintas plataformas y muchas de ellas comparten diseño y funcionamiento. Paula González y Jorge Louzao coinciden en que esto les permite, por un lado, diversificar el riesgo: si una plataforma es denunciada, las demás siguen operativas. Por otro lado, les permite analizar qué nombres generan más confianza y dar la impresión de que hay varias plataformas legítimas compitiendo.

Cuando un usuario deja sus datos en estas webs, inmediatamente es contactado por supuestos asesores y piden un depósito inicial entre 200 y 250 euros para mostrar beneficios ficticios y generar confianza. Después, la presión va aumentando para aportar más dinero hasta que, cuando la víctima quiere retirarlo, los ciberdelincuentes le ponen dificultades a la hora de recuperar los fondos. 

Los riesgos que conlleva que nuestros datos personales sean recopilados no se limitan a este timo, porque pueden “reutilizarse para nuevas campañas de phishing, robo de identidad y fraude adicional”, indica Louzao. 

Ahora, si ya has introducido tus datos en una web de falsas inversiones, puedes denunciar ante la Agencia Española de Protección de Datos (AEPD) aportando pruebas del acoso telefónico, ya que se están tratando datos personales de forma ilícita, y también presentar una denuncia ante la Policía o Guardia Civil si hay amenazas o coacciones.

También se recomienda bloquear números y evitar seguir interactuando con los timadores, aunque esto no siempre es suficiente porque los teléfonos pueden cambiar constantemente. En algunos casos, puede ser necesario cambiar de número para cortar el acoso y reducir el riesgo de nuevas llamadas o intentos de engaño. 

En este artículo ha colaborado con sus superpoderes Jorge Louzao, experto en ciberseguridad; Paula González, jefa en ciberseguridad de GMV; y Walter Osvaldo, experto en ciberseguridad y hosting. 

Paula González forma parte de Superpoderosas, un proyecto de Maldita.es que busca aumentar la presencia de científicas y expertas en el discurso público a través de la colaboración en la lucha contra la desinformación.

Gracias a vuestros superpoderes, conocimientos y experiencia podemos luchar más y mejor contra la mentira. La comunidad de Maldita.es sois imprescindibles para parar la desinformación. Ayúdanos en esta batalla: mándanos los bulos que te lleguen a nuestro servicio de WhatsApp, préstanos tus superpoderes, difunde nuestros desmentidos y hazte Embajador.