El catfishing es la creación de una identidad digital falsa, una persona inventada de principio a fin, para engañar a una víctima y sostener con ella una relación aparentemente auténtica. El término nació en el ámbito de las citas online y del fraude sentimental, pero en 2026 describe también un vector de amenaza plenamente corporativo. Cuando el objetivo deja de ser una persona vulnerable buscando pareja y pasa a ser un empleado con acceso privilegiado, un reclutador desprevenido o un directivo con exposición pública, el catfishing se convierte en una herramienta de ingeniería social con impacto directo sobre la seguridad de la organización.
Lo esencial
- El catfishing es la fabricación de una persona online completa (identidad, fotos, historia, comportamiento) para ganar la confianza de la víctima y explotarla.
- Se diferencia del phishing, el vishing, el pharming y el BEC porque no falsifica un mensaje puntual: construye y mantiene una relación falsa a lo largo del tiempo.
- En el plano corporativo se traduce en reclutadores y candidatos falsos en LinkedIn, fraude sentimental que deriva en acceso interno y extorsión, y sextorsión a directivos.
- Los deepfakes de vídeo y voz han eliminado la salvaguarda clásica de "pídele una videollamada", lo que exige protocolos de verificación más estrictos.
- La defensa combina concienciación, verificación de identidad reforzada y las obligaciones de formación en seguridad del artículo 21 de la Directiva NIS2.
Qué es el catfishing
El catfishing consiste en operar bajo una identidad completamente falsa y sostenerla en el tiempo. El atacante no se limita a suplantar a una persona real: en la mayoría de los casos inventa a alguien que no existe, con nombre, fotografías (a menudo robadas a terceros o generadas por IA), un historial laboral coherente y un patrón de conducta cuidado. El objetivo no es obtener un clic inmediato, sino cultivar una relación de confianza que después pueda monetizarse o explotarse.
Esa dimensión temporal es lo que distingue al catfishing del resto de la familia de la ingeniería social. Donde un correo de phishing busca una reacción impulsiva en segundos, el catfishing invierte semanas o meses. Esa inversión es precisamente lo que lo hace peligroso en un contexto profesional: la víctima no percibe un ataque, percibe una relación.
La mecánica psicológica del engaño
El catfishing explota palancas psicológicas bien documentadas en la literatura de ingeniería social. La primera es la reciprocidad: el atacante comparte confidencias fabricadas para que la víctima baje la guardia y corresponda. La segunda es la coherencia y el compromiso: una vez que alguien ha invertido tiempo emocional en una relación, tiende a racionalizar las señales de alarma para no admitir el error. La tercera es la urgencia sobrevenida, que llega solo al final: una emergencia médica, una oportunidad de inversión o una supuesta crisis que exige dinero o accesos de inmediato.
El resultado es una víctima que actúa convencida de que ayuda a alguien de confianza, no de que responde a un desconocido. Esa convicción neutraliza gran parte de la formación antiphishing tradicional, centrada en detectar mensajes sospechosos aislados.
Catfishing frente a phishing, vishing, pharming y BEC
Conviene situar el catfishing dentro del mapa de vectores de suplantación, porque a menudo se confunden y se defienden de forma distinta.
- Phishing: envío masivo de mensajes fraudulentos, casi siempre por correo, que imitan a una entidad legítima para robar credenciales o distribuir malware. Es transaccional y de una sola interacción. Puedes profundizar en los tipos de phishing y sus variantes dirigidas.
- Vishing: fraude por canal telefónico, en el que el atacante suplanta a soporte técnico, un banco o un directivo para arrancar una acción concreta. El vishing es de voz y suele resolverse en una o pocas llamadas.
- Pharming: manipulación de la resolución DNS o del fichero de hosts para redirigir a la víctima hacia un sitio fraudulento sin que medie un enlace engañoso. El pharming es un ataque técnico sobre infraestructura, no sobre la relación.
- BEC (Business Email Compromise): suplantación de un directivo o proveedor, normalmente sobre una cuenta comprometida o un dominio parecido, para desviar un pago o un dato sensible. Se apoya en la autoridad y la urgencia, no en una relación larga.
El catfishing es distinto porque su unidad de ataque no es el mensaje, sino el vínculo. Es un vector de decepción de identidad sostenida. Por eso puede terminar habilitando cualquiera de los anteriores: una persona falsa de confianza envía un enlace y la víctima lo abre sin dudar, porque procede de "alguien conocido".
La dimensión corporativa del catfishing
Trasladado a la empresa, el catfishing deja de ser un problema sentimental privado para convertirse en un riesgo de seguridad medible.
Reclutadores y candidatos falsos en LinkedIn
LinkedIn se ha convertido en el terreno preferido para el catfishing profesional. Grupos alineados con Corea del Norte, agrupados bajo etiquetas como los actores de la campaña de empleo falso, han operado perfiles de reclutador ficticios para atraer a ingenieros con ofertas de trabajo, deriva a un proceso de "evaluación técnica" y entrega de repositorios o PDF con malware. El vector inverso también existe: candidatos falsos, con identidades sintéticas, que se infiltran como teletrabajadores para cobrar salarios y, sobre todo, para obtener acceso legítimo a sistemas internos.
La verificación superficial no basta. Un perfil con foto profesional, quinientas conexiones y experiencia coherente puede haberse construido en una tarde. La contramedida es procedimental: validación de identidad fuera de la plataforma antes de cualquier interacción sensible.
Fraude sentimental como vía de acceso interno y extorsión
El romance scam clásico persigue dinero, pero contra un empleado con privilegios el premio puede ser el acceso. Un atacante que sostiene una relación falsa durante meses puede pedir a la víctima que instale una aplicación "para hablar mejor", que comparta una captura de su escritorio corporativo o que ejecute una acción aparentemente inocua. En su forma más grave, la relación se torna coacción: la víctima recibe la amenaza de exponer la relación o el contenido intercambiado si no colabora, y pasa de víctima a facilitadora de una amenaza interna.
Sextorsión a directivos
La sextorsión dirigida a directivos combina catfishing y chantaje. El atacante cultiva una relación, induce el intercambio de material comprometido y después exige un pago o información a cambio de silencio. La exposición pública del cargo, que facilita reunir material y contexto, y el temor reputacional convierten a los perfiles ejecutivos en objetivos rentables. Buena parte de este material acaba comercializándose en foros clandestinos, algo que puede detectarse con monitorización de la dark web.
Catfishing potenciado con deepfakes
Durante años, el consejo estándar frente a una identidad sospechosa era simple: "pídele una videollamada". Los deepfakes de vídeo y voz en tiempo real han erosionado esa salvaguarda. Hoy un atacante puede aparecer en una llamada con un rostro y una voz sintéticos suficientemente convincentes para superar una verificación informal. Esto obliga a sustituir la comprobación intuitiva por controles verificables: preguntas de contexto que solo la persona real podría responder, verificación por un segundo canal conocido y, en operaciones críticas, confirmación fuera de banda.
Señales de alerta y verificación OSINT
La detección temprana se apoya en técnicas de OSINT accesibles a cualquier equipo de seguridad. Estas son las señales y comprobaciones más útiles.
- Búsqueda inversa de imágenes: pasar las fotos del perfil por Google Images, TinEye, Yandex o PimEyes. Una imagen que aparece asociada a otros nombres, o una foto de stock, es una bandera roja inmediata.
- Antigüedad y actividad del perfil: cuentas creadas hace pocas semanas, con actividad escasa o repentina, conexiones incoherentes con la trayectoria declarada o publicaciones genéricas apuntan a una identidad fabricada.
- Incoherencias verificables: contrastar la empresa, el cargo y las fechas con fuentes independientes. Un empleador que no reconoce a la persona o unos estudios que no cuadran son indicadores sólidos.
- Negativa sistemática a la verificación en directo: excusas recurrentes para no hacer videollamada, o llamadas de calidad deliberadamente degradada, siguen siendo señal de alarma incluso en la era del deepfake.
- Patrón emocional acelerado seguido de una petición: una intimidad desproporcionada para el tiempo transcurrido que desemboca en una solicitud de dinero, credenciales o instalación de software es el patrón canónico del fraude.
Defensa: concienciación, verificación de identidad y NIS2
La defensa eficaz frente al catfishing es organizativa antes que tecnológica, porque el ataque explota la confianza humana.
El primer pilar es la concienciación específica. Los programas antiphishing convencionales no cubren bien la decepción sostenida, así que conviene incorporar escenarios de relación falsa, reclutamiento fraudulento y sextorsión a la formación. Un ejercicio de simulación y concienciación adaptado a estos vectores mejora de forma medible la capacidad de la plantilla para reconocerlos y reportarlos sin miedo a la sanción.
El segundo pilar es la verificación de identidad reforzada. Toda interacción sensible (contratación, acceso, movimiento de fondos, incorporación de proveedores) debe validarse por un canal independiente y verificable, no dentro de la propia plataforma donde se inició el contacto. Para operaciones críticas, la confirmación fuera de banda debe ser obligatoria y calibrada por importe o nivel de acceso.
El tercer pilar es el marco de cumplimiento. El artículo 21 de la Directiva NIS2 exige a las entidades esenciales e importantes medidas de gestión de riesgos que incluyen expresamente la formación y la higiene de ciberseguridad del personal. Un programa que aborde la ingeniería social relacional no es solo buena práctica: encaja con las obligaciones que la normativa NIS2 traslada a la dirección de la organización, que responde de su implantación.
Preguntas frecuentes
¿En qué se diferencia el catfishing del phishing?
El phishing es un ataque transaccional y masivo, normalmente un mensaje puntual que imita a una entidad legítima para provocar un clic. El catfishing construye una relación falsa que se mantiene en el tiempo para ganar confianza y explotarla después. El phishing busca una reacción en segundos, el catfishing invierte semanas o meses.
¿Es el catfishing un problema real para las empresas?
Sí. Va mucho más allá del fraude sentimental privado. Incluye reclutadores y candidatos falsos en LinkedIn, infiltración de teletrabajadores con identidades sintéticas, fraude sentimental que deriva en acceso interno y extorsión, y sextorsión a directivos. Todos ellos tienen impacto directo sobre la seguridad corporativa.
¿Cómo puedo verificar si un perfil es falso?
Combina varias comprobaciones OSINT: búsqueda inversa de las fotos (Google Images, TinEye, Yandex, PimEyes), revisión de la antigüedad y coherencia del perfil, contraste del empleador y el cargo con fuentes independientes, y atención a la negativa a la verificación en directo o al patrón de intimidad acelerada seguida de una petición.
¿Sirve pedir una videollamada para descartar un catfishing?
Cada vez menos por sí sola. Los deepfakes de vídeo y voz en tiempo real permiten superar una verificación informal. La videollamada debe complementarse con preguntas de contexto que solo la persona real conocería y con confirmación por un segundo canal previamente conocido.
¿Qué obliga a hacer NIS2 frente a la ingeniería social?
El artículo 21 de NIS2 exige medidas de gestión de riesgos que incluyen formación y prácticas básicas de ciberhigiene para el personal, con responsabilidad expresa de los órganos de dirección. Un programa de concienciación que cubra el catfishing y la decepción de identidad encaja directamente en esas obligaciones.
Recursos relacionados
- Qué es la ingeniería social
- Qué es el vishing: ataques por voz contra empresas
- Qué es un deepfake: amenazas para empresas en 2026
- Tipos de phishing
- Qué es el pharming
- Qué es OSINT
Prevención del catfishing con Secra
En Secra ayudamos a las organizaciones a reducir su exposición a la decepción de identidad: diseño de protocolos de verificación fuera de banda calibrados por operación, programas de concienciación con escenarios de reclutamiento fraudulento, fraude sentimental y sextorsión, procedimientos de validación de identidad para RRHH y compras, y monitorización de marca y dark web para la detección temprana de perfiles y material comprometido. Trabajamos desde incidentes reales documentados y alineamos el programa con las obligaciones de la Directiva NIS2.
Solicita una evaluación inicial y planifica con nosotros una estrategia de defensa frente al catfishing adaptada a tu organización.
Sobre el autor
Equipo de Secra Solutions
Ethical hackers certificados OSCP, OSEP, OSWE, CRTO, CRTL y CARTE, con más de 7 años de experiencia en ciberseguridad ofensiva. Autores de los CVE-2025-40652 y CVE-2023-3512.

