This article is available in English.
“Con motivo de su 30 aniversario, Metro de Barcelona regala tarjetas de transporte durante un año”. Este mensaje ha aparecido miles y miles de veces en anuncios de Facebook e Instagram que invitaban a los barceloneses a que “se registren online” para ganar esa tarjeta. Pero todo es mentira: no sólo porque el Metro de Barcelona tiene más de 100 años, sino porque la empresa pública que lo maneja, Transportes Metropolitanos de Barcelona (TMB), asegura a Maldita.es que no tienen relación con estas publicaciones de las que ya han advertido a los usuarios en repetidas ocasiones. Es un ataque de phishing con el que los timadores pretenden hacerse con los datos personales y los de la tarjeta bancaria de todos los que piquen y pinchen en el enlace.
Barcelona es la ciudad más afectada, pero para nada la única. Entre el 1 de enero y el 31 de mayo hemos localizado el timo de las tarjetas de transporte en 47 ciudades e islas españolas: páginas de Facebook se hacen pasar por la empresa municipal de transportes de cada localidad para promocionar una tarjeta a bajo precio con la que viajar gratuitamente durante todo un año.
Este timo se ha promovido en más de la mitad de todas las capitales de provincia, pero también en otras ciudades que no lo son como Vigo, Alcalá de Henares, Avilés, Benidorm o Motril. Entre enero y mayo sólo hubo dos comunidades autónomas donde no detectamos este engaño, Cantabria y La Rioja, pero a principios de junio pudimos comprobar que el fraude también había llegado a ellas.
Este artículo es la primera entrega de una investigación de Maldita.es en la que se han analizado los perfiles y las publicaciones de páginas de Facebook que se hacen pasar por los servicios de transporte público de diferentes ciudades de España. El objetivo de los timadores es hacerse con los datos personales y de las tarjetas bancarias de los ciudadanos, a los que se intenta llegar mediante anuncios pagados en Facebook y en Instagram.
Cómo funciona el timo de las tarjetas de transporte
Las 59 páginas fraudulentas que hemos analizado copian el nombre y hasta el logotipo de las empresas de transporte reales de los municipios. Otras veces optan por nombres genéricos como “transporte público de [la ciudad en cuestión]” e incluso cometen errores, como confundir unas ciudades con otras.
Desde esas páginas fraudulentas, los timadores han publicado 116 posts en los que ofertan las supuestas tarjetas de transporte. En la mayoría de casos, usan imágenes de autobuses o vagones del metro de la ciudad para hacer el timo más realista. Esas publicaciones han sido promocionadas a través de anuncios de Meta para llegar a su público objetivo.
Los anuncios pretenden dirigir a los usuarios a una página web externa con el objetivo de hacerse con sus datos personales y los de su tarjeta bancaria. Varias víctimas han denunciado a Maldita.es en ocasiones anteriores que, tras introducir sus datos, no han recibido ninguna tarjeta de transporte pero sí cargos sospechosos en su cuenta bancaria. “Ya me han hecho dos cargos, uno de 2,35 euros y otro de 49,99 euros”, nos explicó una lectora a través de nuestro correo [email protected]. Los timadores utilizan los datos facilitados por los usuarios para darles de alta en un servicio online de pago que desconocen y por el que les cobrarán de forma periódica.
¿Quién está detrás? Administradores ocultos o en el extranjero
Una página que dice ser de la empresa municipal de transportes de Málaga pero que se administra desde la India, según los datos de transparencia que dispone Meta. O la de un perfil del transporte público de Sanlúcar de Barrameda (Cádiz) se gestiona desde Bangladesh y Ucrania.
En total, hemos encontrado administradores ubicados en 10 países extranjeros, aunque no hay datos disponibles sobre los administradores de todas las páginas —que son quienes están detrás de las publicaciones fraudulentas y los anuncios—. En cualquier caso, ninguno de los administradores de los que se conoce ubicación está siquiera en España.
No sólo es que se gestionen las páginas de Facebook desde fuera, es que los anuncios que promocionan las publicaciones de esas páginas son pagados por los mismos actores en algunos casos. Por ejemplo, un actor que se identifica como “Panda 01” figura como el “pagador” de los anuncios de hasta cinco páginas distintas (que suplantan a las empresas de transporte de Avilés, Alcalá de Henares, Pamplona, Valladolid y Vigo). En el siguiente gráfico podemos observar cómo cada actor contrató anuncios de Meta para promocionar su contenido en una o varias ciudades:
Además, todo indica que la generación de este tipo de páginas falsas es un negocio internacional para determinados actores. Una página que se identifica como “Transporte público en Valencia” se había llamado antes “Manchester Public Transport” y la que promueve el timo en Jaén antes lo hacía en la ciudad eslovena de Koper. Por ejemplo, otra página que hoy aparece asociada al sistema de transporte público de Tarragona está administrada por una cuenta que todavía se llama “Ghana Public Transport”.
Un fraude impulsado con publicidad en Facebook e Instagram
Las 59 páginas fraudulentas han generado más de 900.000 impresiones entre enero y mayo gracias a los anuncios que han publicado en Facebook e Instagram. Unas cifras muy grandes teniendo en cuenta que ninguna llega a los 200 seguidores y sólo cinco pasan de los 100, y que sólo han publicado de media 1,9 posts por página.
Entre enero y mayo los administradores de esas páginas han pagado más de 570 anuncios para promocionar sus publicaciones. “Transporte Público en Valencia” es un ejemplo muy llamativo: sólo en los últimos cinco días del mes de mayo, el administrador de la página contrató 88 anuncios que aparecieron más de 11.500 veces. Con esa ayuda, la publicación en la que se encontraba el timo ha acumulado 132.000 impresiones, una cifra nada desdeñable ya que el anuncio estaba segmentado para aparecerle solamente a los usuarios de Facebook en Valencia capital, una ciudad de algo más de 800.000 habitantes.
Las publicaciones analizadas acumulan casi 4.000 interacciones, entre ellas más de 700 comentarios, pero es difícil no sospechar de la autenticidad de muchos de ellos. “¡Gracias por esta promoción! ¡Nuestra familia está pasando apuros económicos y usted nos está ayudando a gastar menos!”. Este comentario ha sido publicado en seis publicaciones distintas por el perfil Thibaud Roux, que también ha comentado en 11 páginas de supuestas empresas de transporte. No es el único caso. Emily Coleman también ha comentado en 13 publicaciones, a veces usando el mismo mensaje que Roux.
Lucía Rodríguez, Esther Rojas y Leo Hernández son los perfiles con más actividad, con 54, 49 y 48 comentarios respectivamente. En total, hay 21 perfiles que repiten comentarios en distintas publicaciones y que incluso interactúan entre ellos.
Asimismo, las campañas de los anuncios que promocionan el timo en Facebook e Instagram se caracterizan por su brevedad. No tenemos datos de duración para todos ellos, pero ni uno sólo está activo durante más de 24 horas y el 47% duró cuatro horas o menos. En general, todo apunta a que la actividad de las páginas está pensada para actuar rápidamente. También lo demuestran sus posts: 105 de 116 (más del 90%) fueron publicados en el mismo día en el que se creó la página o en el que cambió de nombre para poner en su objetivo a una nueva ciudad.
En Linares, por ejemplo, la página que finge ser la empresa concesionaria de autobuses del municipio sólo ha publicado un post y fue el mismo día de su creación, el pasado 13 de febrero. Unos días después lo promocionó mediante un anuncio en Facebook que apenas estuvo activo durante cinco horas. Aún así, según Meta, logró llegar a más de 1.900 personas en una ciudad de algo más de 50.000 habitantes.
Al recuperar muchos de esos anuncios del repositorio de publicidad de Meta aparece una advertencia que afirma: “Este anuncio lo puso en circulación una cuenta o una página que posteriormente inhabilitamos por no cumplir nuestras normas de publicación”. En cualquier caso, no debió ser una inhabilitación muy larga, porque la totalidad de las páginas implicadas a fecha de esta publicación siguen accesibles.
Se trata de una campaña coordinada para robar los datos de los usuarios
El objetivo final de los timadores es, como decimos, hacer que los usuarios hagan clic en un enlace que les dirige a una página web donde les solicitan sus datos personales y los de su tarjeta bancaria. Las 116 publicaciones de Facebook analizadas redirigen a tan sólo 38 dominios distintos.
El dominio más recurrente, al que dirigía el 25% de las publicaciones, es clickmall[.]top, una web que fue registrada en agosto de 2024. La búsqueda del dominio en la herramienta Whois de DomainTools demuestra que no hay ninguna información acerca de quién está detrás de esta página web. Actualmente, la web se encuentra inhabilitada y ha sido identificada como phishing por el navegador de Google Chrome.
El uso de los mismos dominios para llevar a cabo los ataques de phishing en distintas ciudades reflejan la existencia de una campaña coordinada. “El modo de operar, que sea el mismo usuario el que paga los anuncios, los bots [los usuarios que comentan en las publicaciones] que mágicamente van ciudad por ciudad aprovechando la oferta… Es sin duda una campaña organizada”, asegura Jorge Louzao, experto en ciberseguridad y maldito que nos ha prestado sus superpoderes.
Paula González, jefa de ciberseguridad en GMV y también maldita, explica que este tipo de timos suelen provenir de “redes organizadas”. “El funcionamiento depende mucho del tipo de actor que haya detrás. Cuando se trata de redes de estafadores, es algo que está totalmente industrializado y funcionan como una empresa”, afirma. Según la experta, este tipo de redes suelen estar localizadas en países del extranjero (como India, Rusia o Brasil) y contar con personas que hablan el idioma del país objetivo.
TRANSPARENCIA: Maldita.es participa desde 2019 en el programa de verificación de datos externo de Meta.
En este artículo han colaborado con sus superpoderes Jorge Louzao, experto en ciberseguridad; y Paula González, experta en ciberseguridad.
Gracias a vuestros superpoderes, conocimientos y experiencia podemos luchar más y mejor contra la mentira. La comunidad de Maldita.es sois imprescindibles para parar la desinformación. Ayúdanos en esta batalla: mándanos los bulos que te lleguen a nuestro servicio de Whatsapp, préstanos tus superpoderes, difunde nuestros desmentidos y hazte Embajador.
Primera fecha de publicación de este artículo: 12/06/2025
