Cada septiembre, con el inicio de curso, los ciberdelincuentes activan campañas de phishing dirigidas a estudiantes, docentes y familias. Aprovechan el pico de actividad económica de la vuelta al cole —compras de material, pagos de matrícula, solicitudes de becas— para lanzar estafas diseñadas para robar datos personales y dinero. Kaspersky ha documentado este patrón repetidamente, y el Instituto Nacional de Ciberseguridad (INCIBE) mantiene alertas activas sobre él cada inicio de curso.
Las tres estafas más frecuentes
Regalos falsos: el portátil que nunca llega
La táctica más extendida consiste en prometer un dispositivo gratuito —normalmente un portátil o una tableta— a cambio de rellenar un formulario con datos personales o compartir un enlace en redes sociales. Una vez que la víctima proporciona la información, llega un segundo mensaje solicitando el «pago de gastos de envío», generalmente una cantidad pequeña (5-15 €) para no generar desconfianza. El regalo nunca llega; los datos y el dinero, sí.
Estas campañas circulan por WhatsApp, Telegram e Instagram con textos del tipo «consigue tu portátil gratis para el curso 2025-2026». La urgencia artificial («solo quedan 3 disponibles», «oferta válida hasta hoy») es otra señal de alerta clara.
Becas falsas: robo de identidad con disfraz legítimo
Las becas falsas son más elaboradas y, por eso, más peligrosas. Los estafadores crean webs que imitan visualmente las plataformas del Ministerio de Educación o entidades privadas conocidas (fundaciones, bancos), y solicitan nombre completo, número de DNI, cuenta bancaria y datos de contacto. Esa información se usa después para robo de identidad y fraude financiero.
Noura Afaneh, experta en privacidad de Kaspersky, advirtió sobre este tipo de engaño: «Las estafas de becas falsas provocan no solo pérdidas financieras, sino también un robo de identidad que puede tardar meses en resolverse». Conviene saber que las convocatorias del Ministerio de Educación y Formación Profesional se publican exclusivamente en su sede electrónica y en el BOE, no en grupos de mensajería.
Phishing en plataformas educativas
El tercer tipo afecta directamente al entorno escolar: correos o SMS que simulan provenir de Google Workspace for Education, Microsoft Teams for Education o las plataformas de gestión de centros educativos. Estos mensajes piden al usuario que «verifique su cuenta» o «actualice sus credenciales» antes del inicio de curso. Si el usuario introduce sus datos, los atacantes toman el control de la cuenta.
Señales de alerta comunes
Hay patrones que se repiten en casi todas las ciberestafas de septiembre:
- La oferta parece demasiado buena para ser verdad (un portátil gratis, una beca sin requisitos).
- Se pide un pago adicional, aunque sea pequeño, para recibir el supuesto regalo.
- Se solicitan datos personales sensibles (DNI, cuenta bancaria) en un formulario externo no oficial.
- La URL del sitio web no corresponde al dominio oficial de la entidad que dice representar.
- El mensaje transmite urgencia extrema o escasez artificial.
Cómo protegerse
Las recomendaciones de INCIBE y Kaspersky coinciden en cuatro medidas que reducen de forma efectiva el riesgo:
Verificar la fuente. Antes de rellenar cualquier formulario, comprueba que la URL corresponde al dominio oficial de la entidad. Las convocatorias de becas oficiales se publican en boe.es o en las sedes electrónicas de cada comunidad autónoma, no en grupos de WhatsApp.
Activar la autenticación en dos pasos. En las cuentas de correo educativo y plataformas de gestión escolar, activar la verificación en dos pasos (2FA) hace que el acceso sea mucho más difícil aunque alguien consiga la contraseña.
No pagar gastos de envío. Ninguna plataforma legítima de sorteos o regalos corporativos pide que el premiado pague los gastos de envío por adelantado. Si aparece esa solicitud, es una estafa.
Reportar el fraude. El INCIBE gestiona el teléfono de atención en ciberseguridad 017, disponible de lunes a domingo de 8:00 a 23:00. Los incidentes también se pueden notificar a través de su web. Si hay pérdida económica, conviene presentar denuncia ante la Policía o la Guardia Civil.
Para ampliar la perspectiva sobre el uso seguro de internet en familia, en este análisis sobre educación digital y familias encontrarás 10 claves para acompañar a los adolescentes en internet. Si te preocupa el impacto de los dispositivos móviles en menores, padres y expertos comparten evidencias sobre el smartphone en los niños que complementan este enfoque.
Preguntas frecuentes
¿Por qué aumentan las ciberestafas en septiembre?
Septiembre concentra un volumen alto de transacciones escolares: compras de material, pagos de matríscula, solicitudes de becas y creación de cuentas en plataformas educativas. Los ciberdelincuentes aprovechan ese aumento de actividad online y la menor atención del usuario cuando gestiona muchas cosas a la vez.
¿Cómo distingo una beca oficial de una falsa?
Las becas del Ministerio de Educación se publican en educacion.gob.es y en el BOE. Las autonómicas, en las sedes electrónicas de cada consejería. Ninguna convocatoria oficial llega por WhatsApp ni pide datos bancarios antes de formalizar la solicitud en la plataforma oficial.
¿Qué hago si ya he caído en una de estas estafas?
Cambia inmediatamente las contraseñas de las cuentas que pudieran estar comprometidas. Si facilitaste datos bancarios, contacta con tu banco para bloquear posibles cargos. Después, reporta el incidente al INCIBE (017 o incibe.es) y, si hay pérdida económica, presenta denuncia ante la Policía o la Guardia Civil.
¿Cómo explico a mis hijos qué es el phishing?
Con niños a partir de 8-10 años funciona bien el ejemplo concreto: «si alguien te manda un mensaje diciendo que has ganado un portátil gratis, pero nunca lo pediste ni participaste en ningún sorteo, es una trampa». La regla práctica es no hacer clic ni rellenar formularios sin consultarlo primero con un adulto de confianza.
