Las plataformas sociales han pasado a ser la infraestructura más eficiente que tiene el fraude digital. Y lo saben.
Hay una estafa que funciona exactamente igual que un negocio legítimo. Tiene web, tiene fotos de producto, tiene reseñas, tiene atención al cliente, ¡ojo!, a veces inclusive mejor que las originales.
Tiene, incluso, anuncios pagados en Google, en Instagram, en X. Aparece antes que la empresa real cuando alguien busca su nombre en el buscador. Acepta tarjeta de crédito. Envía confirmación de pedido. Y luego, simplemente, no entrega nada.
No es una falsificación de producto, no hay ninguna fábrica en Shenzhen produciendo copias de segunda. Lo que se falsifica es la empresa entera: su dominio, su identidad visual, su catálogo, su lenguaje, su reputación construida durante años. Un clon digital que opera durante semanas o meses antes de que alguien lo detecte, recauda lo que puede y desaparece. O no desaparece, muda de dominio, replica de nuevo y vuelve a empezar.
Es un modelo de negocio. Tiene operadores, tiene procesos, tiene márgenes. Y tiene, además, algo que ningún negocio ilícito había tenido antes con tanta facilidad, acceso a la infraestructura publicitaria de las mayores empresas tecnológicas del mundo.
El problema no es técnico. Es de incentivos. Cuando un operador fraudulento abre una cuenta en Google Ads, acepta unas condiciones de uso que prohíben expresamente la suplantación de identidad, el fraude y la publicidad engañosa. Lo mismo en Meta. Lo mismo en X. Las políticas existen. Los mecanismos de verificación, mucho menos.
Verificar tiene un coste, y ese coste no lo paga la plataforma, lo paga la empresa legítima que un día descubre que alguien está pujando por sus propias palabras clave y hasta su propia marca, con su propio contenido replicado y una tarjeta de crédito de prepago cargada con dinero de víctimas anteriores.
Google tiene capacidad técnica para detectar que un dominio registrado hace tres semanas está pujando por términos de marca de una empresa con 10 años de historial online, replicando su contenido íntegro y dirigiendo tráfico a una página sin certificaciones de comercio electrónico verificables. Esa capacidad no es hipotética, es exactamente el tipo de señal que sus propios sistemas de calidad de anuncios afirman monitorizar.
Lo que ocurre es que el anuncio se aprueba. Se sirve. Se cobra. Y cuando llega la denuncia, la plataforma activa su protocolo de respuesta: formulario de reporte de infracción, plazo de revisión de varios días hábiles, resolución que en ocasiones da la razón al denunciante cuando el daño ya está hecho y el operador ya ha cobrado lo suficiente para desaparecer.
No es un fallo del sistema. Es el sistema. Lo que el Digital Services Act prometió y lo que ocurre en la práctica.
La regulación europea llegó con promesas serias. El Digital Services Act obliga a los grandes intermediarios digitales a implementar mecanismos de diligencia debida, sistemas de notificación y acción ágiles, y mayor transparencia en los sistemas publicitarios. Sobre el papel, es exactamente el marco que este tipo de fraude necesitaba para dejar de prosperar con tanta impunidad.
En la práctica, la distancia entre el texto de la norma y la experiencia cotidiana de una empresa que ha sido suplantada sigue siendo desalentadora. Los plazos de respuesta no están sincronizados con la velocidad del daño. Los mecanismos de verificación de anunciantes no han cambiado de forma sustancial. Y la responsabilidad efectiva de las plataformas sigue siendo, en la mayoría de los casos, más declarativa que real.
Mientras tanto, el consumidor defraudado asocia la mala experiencia a la marca legítima. Porque era su logo. Era su web. Era su nombre en el asunto del correo de confirmación.
Cazar al fantasma, si, esto es lo que solemos hacer, hay otra dimensión de este problema que casi nunca aparece en el debate público, la dificultad real de identificar a quien o quienes están detrás.
Los operadores de estos esquemas no son aficionados que actúan por impulso. Usan infraestructuras diseñadas para la opacidad, dominios registrados con identidades falsas o a través de servicios de privacidad, servidores en jurisdicciones con cooperación judicial limitada, cuentas publicitarias creadas con datos robados de terceros. La fachada es impecable. El rastro, deliberadamente oscuro.
Pero siempre hay rastro. Los patrones de infraestructura se repiten. Los registros históricos de dominio conservan información. Las campañas publicitarias dejan huellas en bases de datos públicas. Los metadatos hablan cuando se sabe escucharlos.
El problema es que ese trabajo, que combina análisis forense digital, OSINT e investigación patrimonial requiere tiempo, metodología y coordinación entre peritos y detectives especializados en ciberinvestigación. Y la mayoría de las empresas llegan al caso cuando el daño ya es visible, no antes. Cuando los correos de reclamación empiezan a llegar. Cuando la primera reseña negativa aparece sin explicación. Cuando el equipo financiero nota ingresos que no cuadran con el tráfico real.
El modelo reactivo tiene siempre un coste mayor que el preventivo. Pero es, desgraciadamente, el modelo dominante. Porque nadie vigila lo que todavía no ha explotado.
La identidad como bien jurídico protegible. O no. Para mí, lo más revelador de este fenómeno no es la sofisticación técnica de los atacantes. Es la normalidad con que el sistema lo digiere.
Las plataformas publicitarias cobran. Los registradores de dominios no preguntan. Los procesadores de pago procesan. Y la empresa que fue suplantada inicia un recorrido de reclamaciones, formularios y tiempos de respuesta que en ningún caso está diseñado para operar a la velocidad a la que el fraude se ejecuta.
La identidad digital de una empresa, su dominio, su contenido, su reputación acumulada no está protegida como bien jurídico con la contundencia que merece.
No hay ningún mecanismo de alerta temprana institucional. No hay ninguna obligación de las plataformas de verificar la titularidad legítima de la identidad que se está publicitando. No hay ningún estándar mínimo de diligencia exigible antes de cobrar el primer euro de una campaña que suplanta a otra empresa.
Hay, eso sí, condiciones de uso. Que el fraude acepta sin leerlas, exactamente igual que todos los demás.
Alguien está vendiendo con la marca de tu empresa, las plataformas están cobrando por distribuir el anuncio. Y la pregunta que nadie responde es quién asume la responsabilidad cuando el paquete no llega. Porque el coste reputacional de comentarios negativos en Google business y demás, lo acaba sufriendo la empresa madre que sí es además la doblemente perjudicada por la estafa.
