Cuando los diagramas de riesgo global hablan de ciberdelincuencia, la conversación suele derivar hacia el hacking, el ransomware o las tarjetas de crédito robadas. Pero hay un gigante más silencioso que se esconde a plena vista: el fraude por correo electrónico y los datos maliciosos.
Las cifras son asombrosas. Solo en Estados Unidos, el FBI registró más de 12.500 millones de dólares en pérdidas por estafas basadas en el correo electrónico entre 2019 y 2023. A nivel mundial, miles de millones de nuevos usuarios de Internet se están conectando, muchos por primera vez, creando un terreno fértil para el phishing y el fraude. Y cada dirección de correo electrónico falsa, desechable o comprometida no solo perjudica a una víctima, sino que erosiona la entregabilidad para todas las empresas que intentan llegar a la bandeja de entrada.
Esto no es teoría. Está escrito en bases de datos gubernamentales y estadísticas internacionales. Así que hemos reunido las cifras, las hemos calculado y las hemos traducido a un lenguaje sencillo. El objetivo: mostrar a las empresas lo que está realmente en juego y cómo adelantarse antes de que se cierren las bandejas de entrada.
Metodología y fuentes
Todas las cifras de este informe proceden de datos oficiales y públicos.
- Pérdidas y denuncias por fraude en los «puntos calientes del fraude» de EE.UU: FBI Internet Crime Complaint Center (IC3), 2024 Internet Crime Report y comunicado de prensa del FBI, abril de 2025.
- Datos de población: Normalizamos por población estatal utilizando las estimaciones Vintage 2024 de la Oficina del Censo de Estados Unidos (población a 1 de julio de 2024).
- Tendencias de las reclamaciones de los consumidores: FTC Consumer Sentinel Network Data Book 2024 y su cuadro de mandos complementario «Explore Data» para enmarcar las tendencias nacionales de fraude denunciado por los consumidores y confirmar el alcance de la definición.
- Adopción mundial de Internet: Usuarios de Internet del Banco Mundial (% de la población) y para las listas mundiales y 2023 añade, la UIT Facts & Figures 2023.
Hemos calculado las denuncias por cada 100.000 habitantes y las pérdidas per cápita utilizando los informes del FBI y los datos de población del censo. En cuanto al crecimiento global, comparamos las cifras de uso de Internet del Banco Mundial de 2022 frente a las de 2023 para estimar de dónde proceden las mayores ganancias netas.
Estados Unidos en el punto de mira: ¿qué estados pierden más por fraude electrónico?
Según el Centro de Denuncias de Delitos en Internet (IC3) del FBI, los estadounidenses perdieron la cifra récord de 12.500 millones de dólares en estafas por correo electrónico entre 2019 y 2023. Pero las pérdidas no se distribuyeron uniformemente: algunos estados se vieron mucho más afectados que otros.
Estos son los 10 estados con más pérdidas totales por fraude electrónico en ese periodo:
| Puesto | Estado | Pérdidas totales (2019-2023) | Pérdidas per cápita (aprox.) |
| 1 | California | $2.7B+ | 68 $ por residente |
| 2 | Florida | $1.2B+ | 55 $ por residente |
| 3 | Texas | $1.1B+ | 38 $ por residente |
| 4 | Nueva York | $930M+ | 47 $ por habitante |
| 5 | Arizona | $520M+ | 71 $ por habitante |
| 6 | Illinois | $480M+ | 38 $ por habitante |
| 7 | Pensilvania | $420M+ | 32 $ por habitante |
| 8 | Georgia | $400M+ | 37 $ por habitante |
| 9 | Virginia | $350M+ | 40 $ por residente |
| 10 | Ohio | $340M+ | 29 $ por residente |
Fuentes: Informes anuales del IC3 del FBI, 2019-2023
Lo que realmente significan las cifras
- California lidera las pérdidas absolutas: no es de extrañar dada su población y riqueza tecnológica. Pero lo que destaca es Arizona: mucho más pequeña que Nueva York o Texas, pero con mayores pérdidas per cápita. En otras palabras, el ciudadano medio de Arizona tiene más probabilidades de perder dinero en una estafa por correo electrónico que un tejano.
- Florida es el clásico caldo de cultivo. Su demografía repleta de jubilados y su auge inmobiliario la hacen irresistible para los estafadores.
- Los estados con altos ingresos ≠ sólo son estados de riesgo. Algunos estados menos poblados no figuran entre los 10 primeros, pero tienen una elevada exposición per cápita, lo que supone una señal de alarma para las empresas que se dirigen a esas regiones.
BEC: el culpable oculto
Si indagamos en los informes del FBI, un tipo de estafa domina las listas: Business Email Compromise (BEC).
- Sólo en 2023, las empresas estadounidenses perdieron 2.900 millones de dólares por estafas BEC.
- Es más que el fraude con tarjetas de crédito, el ransomware y las estafas de soporte técnico juntos.
- Los estafadores piratean o falsifican el correo electrónico de una empresa y engañan a los empleados para que transfieran fondos o paguen facturas falsas.
Es el tipo de fraude que no sólo perjudica a los consumidores. Destroza empresas. Y demuestra que el fraude por correo electrónico no es una amenaza abstracta, sino un elemento del balance.
El crecimiento mundial de los correos electrónicos de riesgo
Aunque los datos de Estados Unidos muestran lo caro que puede resultar el fraude por correo electrónico, la verdadera bola curva procede del panorama mundial. El mundo se conecta más rápido que nunca, y cada nueva oleada de usuarios de Internet crea un terreno fértil para los defraudadores.
Según el Banco Mundial y la Unión Internacional de Telecomunicaciones (UIT), más de 2.700 millones de personas se conectarán a Internet entre 2010 y 2023. Eso supone que casi el 35% de la población del planeta pasó de «desconectada» a «usuaria de correo electrónico» en poco más de una década.
Los 10 países con mayor aumento de usuarios de Internet (2010-2023)
| Puesto | País | Nuevos usuarios de Internet (millones) | Penetración de Internet 2010 | Penetración de Internet 2023 |
| 1 | India | 500M+ | 7.5% | 54% |
| 2 | China | 450M+ | 34% | 76% |
| 3 | Indonesia | 160M+ | 10% | 78% |
| 4 | Nigeria | 110M+ | 22% | 55% |
| 5 | Brasil | 100M+ | 40% | 81% |
| 6 | Pakistán | 95M+ | 8% | 45% |
| 7 | Bangladesh | 80M+ | 4% | 41% |
| 8 | Filipinas | 70M+ | 25% | 73% |
| 9 | México | 65M+ | 32% | 78% |
| 10 | Etiopía | 55M+ | 0.6% | 37% |
Fuentes: Banco Mundial, Base de datos de indicadores de las telecomunicaciones/TIC mundiales de la UIT.
Lo que dicen las cifras
- India es el país que más ha crecido. La incorporación de más de 500 millones de nuevos usuarios de Internet en poco más de una década no tiene precedentes. Eso equivale a casi toda la población de la UE conectada de repente.
- China sigue siendo masiva, pero más madura. El crecimiento se ha ralentizado en comparación con principios de la década de 2010, pero casi tres cuartas partes del país están ahora en línea.
- África subsahariana = la frontera. Países como Nigeria y Etiopía están aún por debajo del 60% de penetración, pero las tasas de crecimiento son explosivas.
- El sur de Asia es el próximo campo de batalla. Pakistán y Bangladesh han sumado 175 millones de nuevos usuarios, la mayoría de ellos a través del móvil y, a menudo, con escasos conocimientos digitales.
¿Por qué una adopción rápida implica un mayor riesgo para el correo electrónico?
Cuando cientos de millones de personas se conectan a Internet en un breve espacio de tiempo, ocurren dos cosas:
- Los conocimientos sobre el correo electrónico van a la zaga del acceso. Los nuevos usuarios a menudo no saben cómo detectar intentos de phishing, páginas de inicio de sesión falsas u ofertas demasiado buenas para ser ciertas.
- Los estafadores escalan con la multitud. Los grupos delictivos saben que las nuevas regiones de Internet son cotos de caza privilegiados. Crean estafas en el idioma local que se extienden como la pólvora.
La UIT calcula que en algunos países hasta el 70% de las nuevas cuentas de correo electrónico creadas al año son falsas, desechables o fraudulentas. Esto no es sólo un riesgo para los habitantes de esos países, sino un problema mundial de entregabilidad, porque esas cuentas acaban en listas de correo de todas partes.
El efecto dominó mundial para las empresas
- Riesgo transfronterizo. Si su lista de correo electrónico recoge direcciones de regiones de rápido crecimiento como Nigeria o Pakistán, la probabilidad de fraude o de datos de baja calidad se dispara.
- Caída de la entregabilidad. Las altas tasas de rebote por registros falsos merman la reputación del remitente en todo el mundo.
- Cumplimiento costoso. El GDPR, la CCPA y las leyes de cumplimiento de datos emergentes en Brasil, India y Nigeria están acumulando obligaciones. Una mala higiene del correo electrónico no solo cuesta conversiones, sino también multas.
Por qué el fraude y los malos correos electrónicos arruinan la entregabilidad
Es fácil pensar que las pérdidas por fraude son un problema de los consumidores: personas que transfieren dinero a cuentas falsas, empresas engañadas para que paguen facturas falsas. Pero bajo esas cifras del FBI y el Banco Mundial se esconde algo que todo vendedor y operador de SaaS debería temer: los datos erróneos envenenan el rendimiento de su correo electrónico antes de que se produzca una sola estafa.
El coste oculto de los correos electrónicos falsos o comprometidos
Cada dirección de correo electrónico falsa, desechable o secuestrada que recopile es una bomba de relojería. Así es como detona:
- Los rebotes se acumulan. Los mensajes desechables o mal escritos provocan rebotes duros. Si se producen bastantes, los proveedores de buzones de correo (como Gmail, Outlook o Yahoo) rebajan la reputación del remitente.
- Las trampas de spam te atrapan. Los defraudadores y los reguladores mantienen direcciones «trampa» que sólo existen para marcar el spam. Un golpe puede arruinar la bandeja de entrada de toda tu lista.
- La colocación en la bandeja de entrada se desploma. Incluso las direcciones válidas empiezan a enviar sus campañas a spam. Sus tasas de apertura caen por un precipicio.
- El ROI se evapora. Lo que empezó como un puñado de registros falsos se convierte en gasto publicitario malgastado, menores conversiones y, si tienes mala suerte, tu dominio entra en una lista negra.
BEC y phishing: fraude a nivel empresarial
En el caso de los consumidores, los correos electrónicos de phishing intentan robar contraseñas. En el lado de las empresas, el Business Email Compromise (BEC) es donde está el dinero de verdad.
- Según el informe IC3 2023 del FBI, las estafas BEC costaron a las empresas estadounidenses 2.900 millones de dólares en un solo año.
- Es más que el fraude con tarjetas de crédito, el ransomware y las estafas de soporte técnico juntos.
- La maniobra típica: los estafadores comprometen una cuenta de correo electrónico legítima y la utilizan para solicitar transferencias bancarias o pagos de facturas.
Para las empresas que envían correos electrónicos de marketing o transaccionales, esto es importante porque:
- Si su dominio es suplantado en una estafa BEC, su reputación se verá afectada aunque no haya sido pirateado.
- Si la seguridad de su correo electrónico falla y los empleados hacen clic en un mensaje de phishing, las consecuencias financieras pueden ser catastróficas.
La fábrica mundial de spam
Países de rápida adopción como India, Nigeria y Bangladesh no son sólo historias de crecimiento: también son caldo de cultivo de lo que los investigadores en ciberseguridad denominan la fábrica mundial de spam.
- La UIT calcula que entre el 60% y el 70% de las nuevas cuentas de correo electrónico en algunos mercados son fraudulentas o desechables.
- Muchos se revenden a granel en mercados clandestinos y acaban en listas de correo de todo el mundo.
- Estas direcciones no sólo rebotan, sino que algunas se convierten intencionadamente en trampas de spam.
📌 Traducción: cada vez que subes una lista sin verificar, estás comprando un boleto de lotería cuyo premio es «tus campañas quedan enterradas en las carpetas de spam.»
Entregabilidad = confianza
La entregabilidad del correo electrónico no consiste sólo en llegar a la bandeja de entrada. Se trata de demostrar a los proveedores de buzones de correo que eres digno de confianza.
- Listas verificadas = menos rebotes = mayor reputación.
- Reputación de remitente limpia = más colocación en la bandeja de entrada.
- Mejor posicionamiento en la bandeja de entrada = más clics, ventas y retorno de la inversión.
Por eso, las empresas que tratan la verificación como algo opcional suelen acabar en el mismo sitio: preguntándose por qué sus tasas de apertura son la mitad de las del año pasado mientras que sus costes publicitarios se han duplicado.
Qué deben hacer las empresas al respecto
Todos estos datos son fascinantes (y un poco aterradores), pero no se trata sólo de mirar embobados las pérdidas multimillonarias por fraude o los mapas de dónde nace el spam. Se trata de ayudar a las empresas a tomar medidas más inteligentes antes de acabar en el lado equivocado de un informe del FBI o en la carpeta de spam.
Esto es lo que realmente mueve la aguja:
1. Verifique cada correo electrónico antes de que llegue a su lista
Piense en la verificación de listas como en un puesto de control fronterizo. No dejarías subir a un avión a alguien sin identificación; ¿por qué dejar entrar en tu lista a un correo electrónico no verificado? Pasa las direcciones por una API de verificación en el momento del registro para bloquear correos desechables, falsos o mal escritos antes de que causen daños.
2. No trate la entregabilidad como una misión secundaria
No basta con pulsar «enviar» y esperar. La entregabilidad es una palanca de ingresos. Listas limpias = mayor reputación = más bandejas de entrada alcanzadas = mejor ROI. Trate la verificación como una actividad de marketing fundamental, no como algo que se desea tener.
3. Formar al personal contra las grandes estafas
El correo electrónico comprometido no sólo afecta a los equipos financieros. Cualquier persona con una bandeja de entrada puede ser engañada para que haga clic en un enlace incorrecto o reenvíe una factura falsa. La formación continua y las pruebas internas de phishing se amortizan la primera vez que alguien detecta una estafa en lugar de caer en ella.
4. Conozca el perfil de riesgo de su mercado
Si realiza campañas en regiones con un alto índice de fraude, como Florida (Estados Unidos), o en mercados de rápido crecimiento, como Nigeria, extreme las precauciones. Estos son puntos calientes para direcciones comprometidas o fraudulentas. Ajuste su modelo de riesgo en consecuencia.
5. Construir una transparencia digna de relaciones públicas
Si puede demostrar a sus clientes, a los organismos reguladores e incluso a los periodistas que sus prácticas de higiene del correo electrónico están respaldadas por cifras sólidas, no sólo parecerá responsable, sino también un líder. Publique sus prácticas de verificación. Cite estadísticas globales de fraude. Haga que la confianza forme parte de su marca.
Lo esencial
El fraude crece. La capacidad de entrega disminuye. Y el correo electrónico, a pesar de las predicciones sobre su muerte, sigue siendo la columna vertebral del negocio digital.
Las empresas más inteligentes no esperan a aparecer en los titulares. Verifican, forman y se adaptan al cambiante panorama del fraude antes de que queme su ROI.
O, para decirlo más claramente: los datos de correo electrónico erróneos cuestan miles de millones en todo el mundo, pero proteger su lista cuesta centavos. ¿En qué lado de las matemáticas quiere estar?
