Informe sobre complejos de pig butchering 2026: dentro del flujo de 63.000 millones del Sudeste Asiático

Los cuatro meses que Megan pasó enamorándose de un guion

Megan tenía 41 años, llevaba tres años divorciada y estaba cansada de las apps de citas. Hizo match con Andrew en Hinge un martes por la noche de febrero de 2025. Su perfil decía que era un ingeniero estructural de 44 años con base en Singapur, originalmente de Boston, de visita en la ciudad por temas familiares. Sus fotos lo mostraban en un velero, en una bodega de Sonoma, comiendo fideos en un pequeño bar de Tokio. Las fotos no eran de stock. Eran fotos reales de un hombre real cuyo Instagram había sido raspado dos años antes. Él no tenía ni idea de que su cara se estaba usando.

Andrew abrió con una pregunta sobre el libro que aparecía en la estantería de su tercera foto. El jilguero. Dijo que lo había leído dos veces y que la parte de Las Vegas se le hizo pesada. Megan se rio en voz alta en la encimera de la cocina. Tecleó una respuesta.

Al tercer día pasaron a WhatsApp. Andrew se disculpó porque los viajes de trabajo le hacían usar Hinge de forma intermitente. Dijo que WhatsApp funcionaba mejor internacionalmente. El número era con prefijo de Singapur. Todo cuadraba.

Durante los cuatro meses siguientes, Andrew fue el hombre más atento con el que Megan había hablado. Le enviaba mensajes de buenos días a las 6 de la mañana hora del Este, que eran las 6 de la tarde en Singapur, lo que hacía que la diferencia horaria se sintiera como una ventaja en lugar de un problema. Le preguntaba por el proyecto del colegio de su hija. Recordaba la fecha de la cirugía de su madre y escribía para preguntar cómo había ido. Le mandó un ramo real de flores a la oficina un miércoles con una tarjeta que decía "para la mujer que de verdad lee los libros de su estantería". La floristería era real. El pedido se había hecho a través de un servicio que acepta cripto.

Le hablaba de su trabajo. Cálculos de cargas de puente. Un proyecto en Vietnam. Un fin de semana en Hong Kong para reunirse con inversores. Le enviaba fotos de él en restaurantes, fotos de la vista desde su hotel, fotos de su mano sosteniendo una taza de café junto a un periódico con la fecha de ese mismo día. Las fotos las generaba un pequeño equipo dentro del complejo que cambiaba la cara raspada en fondos de stock con herramientas comerciales de intercambio de rostros. Los periódicos estaban manipulados con Photoshop. Las tazas de café eran reales, fotografiadas en la cantina del complejo.

En el tercer mes, Andrew mencionó de pasada que su tío en Hong Kong llevaba una mesa privada de trading que operaba una estrategia cripto de red cerrada. No se lo estaba vendiendo. Lo dijo en el contexto de quejarse de que su tío quería que él "se lo tomara más en serio" y pusiera más dinero propio. Megan preguntó qué rentabilidad daba la estrategia. Andrew respondió que promediaba alrededor de un 12 por ciento al mes y que su pregunta era tierna pero que él no quería mezclar dinero y lo que tenían. Cambió de tema.

Ella lo sacó dos semanas después. Él se resistió. Ella insistió. Al final accedió a enviarle el enlace a la plataforma "solo para que veas cómo es, pero por favor no la uses sin hablar conmigo antes". La plataforma se llamaba Centrex Pro. El dominio era centrex-pro[.]live. La interfaz era una copia limpia de un exchange real. Verificación KYC, gráficos de velas, dirección de depósito, flujo de retirada. Megan depositó 500 dólares en USDT a través de Coinbase. La plataforma le mostró un pequeño beneficio al final del día. Retiró 200 dólares a su cartera de Coinbase para probar que las retiradas funcionaban. Los 200 dólares llegaron en cuatro horas. La plataforma ya era real para ella.

Durante las siguientes seis semanas depositó 48.000 dólares en tres transferencias. 5.000, después 13.000, después 30.000. Los últimos 30.000 los sacó de una línea de crédito con garantía hipotecaria que abrió específicamente para "esta oportunidad". Su saldo mostrado en Centrex Pro era de 217.000 dólares. Cuando intentó retirar 80.000, la plataforma pidió que pagara primero un "impuesto antiblanqueo" del 15 por ciento para liberar los fondos. El impuesto eran 12.000 dólares. Lo pagó. La retirada siguió sin liberarse. Apareció una nueva exigencia: una "tasa de cumplimiento internacional" del 5 por ciento. Otros 10.850.

Llamó a su hermana. Su hermana le dijo que parara. Paró. Andrew siguió escribiendo durante tres días más, luego se quedó en silencio. El dominio de Centrex Pro dejó de resolver una semana después. Megan presentó una denuncia ante el Internet Crime Complaint Center del FBI un domingo por la noche. El caso quedó registrado. El dinero ya estaba en siete carteras distintas, después se había puenteado a una mesa OTC en Hong Kong, después se retiró como dólares hongkoneses a una red de empresas pantalla, después se transfirió a cuentas en China continental. El análisis de cadena rastreó el 73 por ciento en las primeras 48 horas. Nada volvió.

La oferta de empleo a la que Vinh respondió en un café de Hanói

A cinco mil kilómetros al oeste, en una cafetería de Hai Phong, Vietnam, un graduado en informática de 22 años llamado Vinh estaba pasando un portal de empleo tecnológico en vietnamita en su teléfono. Había terminado la carrera seis meses antes. El mercado local para desarrolladores junior se había hundido. Había estado dando clases particulares y arreglando bugs por contrato sin llegar a cubrir el alquiler.

El anuncio era para "representante de atención al cliente, Zona Económica Especial de Sihanoukville, Camboya". Sueldo: 1.400 USD al mes, pagados en efectivo. Alojamiento incluido. Comidas gratis. Inglés obligatorio, chino un plus. El empleador figuraba como "Asia Online Services Group". Había una web pulida. Había testimonios de "empleados actuales". Había un contacto de RR. HH. que hablaba vietnamita en Telegram y respondía en menos de cinco minutos.

Vinh se inscribió. El contacto de Telegram organizó una entrevista por vídeo esa misma noche. El entrevistador era cálido y profesional, hizo preguntas básicas de comprensión en inglés y una pregunta sobre si Vinh estaría dispuesto a reubicarse durante al menos 12 meses. Vinh dijo que sí. Lo contrataron tres días después. La empresa pagó su vuelo a Phnom Penh y un conductor para llevarlo las cuatro horas al sur hasta Sihanoukville.

El conductor le quitó el teléfono y el pasaporte en la puerta del complejo. El conductor dijo que era para el proceso de seguridad y que se los devolverían en 24 horas. No lo hicieron. Llevaron a Vinh a un dormitorio en el quinto piso que iba a compartir con otros siete hombres, todos veinteañeros, tres de ellos también vietnamitas, dos chinos, un indonesio, un filipino. Ninguno llevaba allí menos de tres semanas. Ninguno tenía su pasaporte. Había rejas en las ventanas. Las puertas del dormitorio se cerraban por fuera entre la medianoche y las 6 de la mañana. Le dijeron, en tono natural, que su "periodo de formación" duraría dos semanas y que tenía una deuda con la empresa de 12.000 dólares por el reclutamiento, el vuelo y el alojamiento, que se le descontaría del sueldo a razón de 400 dólares al mes. Si quería irse antes de saldarla, contactarían con su familia por el resto.

Le entregaron un teléfono con ocho perfiles de apps de citas ya logueados. Hinge, Bumble, OkCupid, Tinder, más cuatro apps regionales. Cada perfil tenía una identidad completa. Andrew, el ingeniero de Singapur, era uno de ellos. El teléfono también tenía WhatsApp, Telegram y Line instalados, con hilos de conversación ya en marcha con docenas de objetivos en Estados Unidos, Australia, Singapur, Reino Unido y Canadá.

El guion estaba en un Google Doc compartido con su supervisor de planta. El supervisor era un chino de 31 años que llevaba dos años trabajando en el complejo y cobraba comisión sobre las ganancias de la planta. El guion tenía ramas. Saludos iniciales adaptados a la zona horaria y a la ocupación declarada. Prompts de mitad de conversación adaptados a si el objetivo era receptivo o frío. Una "lista de engorde" de hitos de generación de confianza: preguntar por la familia, recordar detalles, mandar un pequeño regalo si la implicación era alta. El punto de revelación de la plataforma se disparaba cuando la métrica de rapport emocional del objetivo cruzaba un umbral, que el supervisor puntuaba a partir de los registros de mensajes cada mañana.

A Vinh le asignaron a Megan como una de sus tareas en marzo, dos semanas después de su llegada al complejo. No sabía su nombre. La conocía por su ID de perfil: HG-US-41-PARA. Hinge, Estados Unidos, 41 años, asistente legal. Su engorde lo llevaba un trabajador más veterano hasta que él fue ascendido para hacerse cargo en mayo. Para entonces ya había depositado 5.000 dólares. Su trabajo era la conversación del lado plataforma: guiarla por el "impuesto de cumplimiento", empujarla hacia la línea de crédito con garantía hipotecaria, mantener la calidez emocional mientras la extracción financiera escalaba. Tecleó cada mensaje que ella recibió en las últimas seis semanas. Algunos los redactó él mismo. Otros los copió y pegó del guion. Ninguno era de Andrew. Ninguno era real.

Cuando ella se quedó en silencio a finales de junio, su supervisor lo movió a un nuevo objetivo. El sistema nunca se detenía. Siempre había más.

Donde las dos historias se encuentran

Megan pensaba que se había enamorado de un hombre. Vinh sabía que estaba ejecutando un guion bajo amenaza de violencia. Los dos estaban dentro de un sistema que había sido diseñado por un tercer grupo, la alta dirección del sindicato criminal dueño del complejo, para extraer dinero de uno de ellos a través del trabajo del otro. La capa intermedia era el guion. El guion era el mismo que corría en otros 200 teléfonos en el mismo edificio.

La Oficina de Naciones Unidas contra la Droga y el Delito, en su informe de octubre de 2024 sobre el crimen organizado transnacional en el Sudeste Asiático, estimó que el valor total del pig butchering y el fraude adyacente impulsado por complejos contra víctimas en el mundo alcanzó los 37.300 millones de dólares solo en Asia Oriental y Sudeste Asiático en 2023, con una cifra global que UNODC caracterizó como "decenas de miles de millones de dólares" al año. Estimaciones posteriores del US Institute of Peace, trabajando sobre el mismo conjunto de datos extendido hasta 2024, sitúan la cifra global entre 63.000 y 75.000 millones de dólares. El mismo informe de UNODC estimó que cientos de miles de personas, procedentes de al menos 28 países, se encuentran actualmente retenidas en condiciones de complejo en toda la región. Los principales países de origen de los trabajadores víctimas de trata son Vietnam, China, Tailandia, Indonesia, Malasia, Filipinas, India, Pakistán, Bangladesh, Sri Lanka, Nepal y, cada vez más, varias naciones africanas.

La Humanity Research Consultancy, especialista independiente en criminalidad forzada, estimó en 2024 que la población de trabajadores víctimas de trata en complejos de Camboya, Myanmar y Laos combinados probablemente supera los 220.000. La encuesta a víctimas de pig butchering de 2024 de Global Anti-Scam Organization halló que la pérdida financiera mediana por víctima estadounidense fue de 169.000 dólares, que el 71 por ciento de las víctimas tuvo su primer contacto con su estafador en una app de citas y que el periodo medio de engorde antes del primer depósito fue de 17 semanas.

Esta es la escala. Esta es la forma. Megan y Vinh no son personajes. Son composiciones de patrones documentados por investigadores de Naciones Unidas, por reporteros empotrados de Reuters y Al Jazeera, por la forense on-chain de Chainalysis y por el pequeño número de trabajadores de complejos que han escapado y han concedido entrevistas a ONG y a las fuerzas de seguridad.

Qué significa de verdad "matar al cerdo"

La expresión pig butchering es una traducción directa del mandarín shā zhū pán, escrito 杀猪盘, que significa literalmente "el plato del cerdo descuartizado". La frase se originó en foros de juego y fraude en chino alrededor de 2016 y 2017. Describía una estafa concreta vinculada al juego en la que víctimas de habla china eran arrastradas a plataformas de apuestas online manipuladas tras un periodo de cortejo. La metáfora era operativa, no poética. La víctima era el cerdo. El periodo de cortejo era el engorde. La extracción financiera era el sacrificio. El plato hacía referencia a toda la producción, igual que una bandeja de cocina sostiene el plato preparado.

El modelo migró. Las redes de crimen organizado chinas que habían operado la variante original del juego se reubicaron en la región del Mekong tras una campaña antifraude entre 2016 y 2018 en China continental que hizo la operación insostenible desde dentro del territorio. Sihanoukville, Camboya, se convirtió en el primer gran hub. El estatus de Zona Económica Especial de la ciudad, su baja presencia policial y su cercanía a un puerto de aguas profundas que podía recibir vuelos internacionales la hacían ideal. Para 2019 la estafa ya se había adaptado a víctimas anglohablantes y el vector de las apps de citas había reemplazado al juego como frente dominante de cortejo. Para 2021 los complejos se habían extendido a los estados Karen y Shan de Myanmar y a la Zona Económica Especial de Bokeo, en el norte de Laos.

El nombre sigue importando porque la frase original en mandarín no llevaba eufemismo. La cobertura occidental que suavizó el término ("fraude de inversión romántica") oscureció la escala industrial de la operación. Las víctimas que buscaban qué les había pasado a menudo no encontraban el patrón correcto porque ese patrón se describía bajo un nombre que los buscadores en inglés no conocían.

El modelo de infraestructura de los complejos

Un complejo grande típico es una instalación amurallada que alberga entre 1.000 y 10.000 trabajadores repartidos en varios edificios. El mayor complejo individual documentado hasta la fecha, KK Park en el lado birmano del río Moei frente a Mae Sot (Tailandia), fue estimado por USIP y Reuters en 2024 con aproximadamente 6.000 a 10.000 trabajadores víctimas de trata en pleno funcionamiento. Chinatown, cerca de Shwe Kokko en la misma región del estado Karen, tenía una escala similar antes de las operaciones de finales de 2024.

Los edificios están dispuestos como torres de oficinas. Los trabajadores están organizados por planta. Cada planta tiene un "team lead" que supervisa a 30 o 60 trabajadores, monitoriza los registros de mensajes, puntúa las métricas de rapport y reporta cada día a un jefe de edificio. Los jefes de edificio reportan a la dirección del complejo. La dirección del complejo responde ante el sindicato dueño de la instalación. Los sindicatos que poseen instalaciones en Sihanoukville y KK Park han sido vinculados en múltiples informes de investigación con redes de crimen organizado con historiales documentados en China continental, con respaldo en varios casos de figuras políticas y militares de los territorios anfitriones.

El trabajo es por turnos. Un trabajador típico está obligado a registrar entre 12 y 16 horas al día en los teléfonos, seis días y medio por semana. Las cuotas las aplica el supervisor de planta y mediante la revisión diaria de los registros de conversación. Los trabajadores que no logran avanzar a un objetivo por las fases del guion dentro de cierta ventana son castigados. Los castigos documentados, según entrevistas a trabajadores recopiladas por Mekong Club, GASO y la Humanity Research Consultancy, incluyen retirada de alimentos, palizas, descargas eléctricas, aislamiento en celdas de hormigón sin ventanas y, en algunos casos, venta a otros complejos con un sobreprecio que aumenta la deuda del trabajador. Los intentos de fuga fallidos se castigan severamente. Las fugas con éxito requieren normalmente o bien pago de rescate por parte de la familia del trabajador, sobornos a funcionarios locales, o intervención coordinada de ONG y fuerzas de seguridad.

La infraestructura interna es industrial. Los complejos cuentan con sus propios dormitorios, cantinas, equipos de seguridad, clínicas médicas (a menudo operadas por otros trabajadores víctimas de trata con formación médica), generadores, enlaces de internet por satélite para esquivar el filtrado nacional, granjas de tarjetas SIM in situ, almacenes de documentos KYC con paquetes de identidad robados, equipos in situ de producción de cambio de rostro y clonación de voz, fotógrafos y equipos de iluminación para generar fotos de "lifestyle" y salas de procesamiento de criptomonedas que gestionan el lado on-chain de la operación.

El informe de USIP de 2024 sobre los complejos en zonas económicas especiales de Myanmar documentó también la dimensión de la cadena de suministro. Los complejos consiguen uniformes, comida, materiales de formación guionizada, bypass de KYC para apps de citas y librerías de fotos robadas a una capa de contratistas que opera a su vez como una pequeña economía paralela. Varios contratistas conocidos están basados en Hong Kong y operan como firmas de marketing digital aparentemente legítimas.

El guion y las herramientas

El guion es el producto. Los guiones se testean y refinan como una compañía de software testea un embudo de conversión. Nuevas ramas de guion se prueban en A/B sobre objetivos en vivo, con tasas de engagement y conversión registradas por rama. Las ramas con bajo rendimiento se eliminan. Las ramas que producen puntuaciones de rapport por encima de la media se propagan a los demás complejos del sindicato.

El gancho inicial es siempre uno de tres patrones: un mensaje de número equivocado, un match en app de citas o un mensaje no solicitado de LinkedIn aduciendo interés profesional. El gancho de número equivocado fue dominante entre 2020 y 2022 y sigue siendo común en la captación por WhatsApp y SMS. El gancho de app de citas pasó a dominar a partir de 2022 cuando los guiones se adaptaron a los mercados occidentales anglohablantes. El gancho de LinkedIn apunta a profesionales, especialmente en finanzas, tecnología y consultoría, con una propuesta que mezcla networking profesional e interés personal.

El periodo de engorde está calibrado. Los datos de víctimas de 2024 de GASO sugieren una media de 17 semanas de engorde antes del primer depósito. Los periodos más cortos correlacionan con pérdidas finales menores. Los complejos que aplican periodos de engorde más largos extraen importes medios más altos. El encuadre del "broker del tío" o "contacto familiar" es universal porque da al objetivo una razón plausible de que la oportunidad es real y personal sin que el operador tenga que vender abiertamente. Las propuestas directas son detectadas por objetivos experimentados. Las propuestas indirectas a través de un tercero parecen un favor.

Las plataformas de exchange falsas son la capa de producción. Un complejo típico opera varias plataformas falsas activas simultáneamente, cada una con su propia marca, UI y rotación de dominios. Centrex Pro es un nombre de marcador de posición para una categoría real. Ejemplos confirmados documentados por Chainalysis y por informes de víctimas incluyen plataformas con nombres que imitan a Bitfinex, KuCoin, OKX y varias marcas inventadas por completo. Las plataformas muestran datos de mercado en tiempo real raspados de exchanges reales. Muestran el "portafolio" de la víctima actualizándose en tiempo real con base en números de backend que controla el complejo. Las retiradas pequeñas se atienden para construir confianza. Las retiradas grandes activan el patrón de bloqueo por "impuesto" o "tasa de cumplimiento".

La fase final ha cambiado. De 2017 a 2022 el desenlace dominante era simple: la víctima depositaba hasta no poder depositar más, después la plataforma desaparecía. A partir de 2022 el desenlace dominante ha virado hacia el approval phishing, en el que se induce a la víctima a firmar un permiso de cartera Permit2 o ERC-2612 que concede al operador control de gasto ilimitado. La fase final basada en firma permite al operador vaciar la cartera de la víctima días o semanas después de la conversación, con un temporizador retardado que oscurece la conexión entre la conversación y la pérdida. Para la mecánica técnica, consulta nuestro explicativo previo sobre cómo funcionan los drenadores de carteras cripto.

El oleoducto de blanqueo de Hong Kong y Macao

El lado on-chain es la parte que mejor ha sido mapeada. Chainalysis, en su Crypto Crime Report 2024 y los análisis posteriores publicados durante 2024, rastreó entradas por pig butchering de 9.900 millones de dólares en el año en cadenas visibles. Esa cifra representa solo la porción que tocó cadenas analizables. La cifra total fuera de cadena es sustancialmente mayor porque una parte significativa del dinero de las víctimas se mueve por vías fiat antes de tocar siquiera infraestructura cripto pública.

El flujo on-chain tiene una forma consistente. Los depósitos de la víctima caen primero en una cartera controlada por el equipo de procesamiento del complejo. Desde ahí los fondos se reparten entre varias carteras para romper el análisis de clústeres, se puentean entre cadenas (Ethereum a Tron y Tron a Solana son los pares más comunes) y se agregan en mesas extrabursátiles operando desde Hong Kong, Macao y, en menor medida, Singapur y Dubái. Las mesas OTC convierten la cripto en dólares hongkoneses o estadounidenses, a menudo a través de una capa de empresas pantalla registradas en jurisdicciones con bajos requisitos de divulgación corporativa.

El lado fiat entra después en uno de tres oleoductos. El mayor oleoducto pasa por redes de junkets de casinos de Hong Kong y Macao, documentadas por múltiples fuentes académicas y de investigación como canal primario para convertir entradas cripto ilícitas en fiat blanqueado. El segundo oleoducto pasa por blanqueo basado en comercio, en el que facturas de empresas pantalla por importaciones ficticias de electrónica de consumo, oro u otros bienes de alto valor se usan para mover fondos a través de fronteras dentro de la banca comercial ordinaria. El tercer oleoducto pasa por compras inmobiliarias en mercados del Sudeste Asiático y del Golfo con requisitos débiles de divulgación de beneficiario final.

Tether (USDT) es la divisa on-chain dominante de la operación, principalmente por su liquidez en el ecosistema OTC de Hong Kong y el Sudeste Asiático. La cooperación de 2024 entre Tether y las autoridades estadounidenses centrada en la aplicación de la ley, que produjo varias congelaciones y quemas a gran escala de USDT incautado en casos de pig butchering, es la primera intervención seria contra el tramo on-chain en la historia de la operación. No ha detenido el flujo. Ha subido el coste.

Por qué la interrupción es realmente difícil

Los complejos no surgieron en ubicaciones aleatorias. Se concentran en jurisdicciones que comparten tres rasgos. El territorio anfitrión tiene débil alcance policial o alineamiento político activo con los operadores del complejo. El territorio es lo bastante remoto geográficamente como para complicar la logística de los operativos. Y el territorio tiene una designación legal de Zona Económica Especial o equivalente que exime a la instalación del complejo de la inspección regulatoria ordinaria.

Sihanoukville en Camboya opera bajo designaciones ZEE que, en la práctica, dan a los operadores de complejos un aislamiento significativo frente a las fuerzas de seguridad nacionales camboyanas. Múltiples funcionarios del gobierno camboyano han sido nombrados públicamente en cobertura de 2024 de Reuters, Associated Press y BBC como personas con intereses empresariales en, o relaciones políticas con, los dueños de complejos. El gobierno camboyano ha realizado varias operaciones de alto perfil desde 2022, particularmente tras una presión internacional sostenida, pero la relación estructural ha limitado la profundidad de esas operaciones.

La situación de Myanmar es más compleja. KK Park, Shwe Kokko y los complejos de Chinatown se asientan en territorio controlado por la Karen Border Guard Force, una milicia formalmente alineada con el ejército birmano pero con autonomía sustancial. La Border Guard Force ha sido documentada por USIP, por el US Institute of Peace y por Reuters como con relaciones financieras directas con los operadores de complejos. La guerra civil de Myanmar, en la que el alcance del gobierno central en los estados Karen y Shan está disputado y en muchas zonas ausente, hace imposible una intervención policial ordinaria en gran parte del territorio afectado.

La provincia de Bokeo en Laos alberga la Zona Económica Especial del Triángulo de Oro, arrendada a un operador conectado con China bajo una concesión a largo plazo que limita la autoridad del gobierno laosiano sobre el área. El territorio ha sido objeto de sanciones OFAC del Tesoro estadounidense, con el operador de la ZEE y varias entidades conectadas designados en 2018 y reforzados en acciones posteriores. Las designaciones no han cerrado los complejos.

La estrategia de interrupción que ha mostrado tracción combina cuatro palancas. Primera, operativos en el país anfitrión cuando la presión internacional se vuelve lo bastante alta como para forzar la acción, como ocurrió en Camboya a finales de 2022 y de nuevo en 2024. Segunda, acción financiera contra el oleoducto de blanqueo a través de la cooperación con Tether, sanciones OFAC sobre entidades identificadas y presión de la Hong Kong Monetary Authority sobre mesas OTC identificadas. Tercera, campañas de concienciación en los países de origen en Vietnam, China, Filipinas, India e Indonesia para reducir la oferta de nuevos reclutas que responden a ofertas de empleo fraudulentas. Cuarta, operaciones de aviso del lado víctima como Operation Level Up del FBI, que contacta proactivamente a víctimas identificadas de pig butchering basándose en patrones on-chain y rompe la conversación antes del siguiente depósito.

Los operativos contra KK Park y Chinatown de finales de 2024 y principios de 2025

La interrupción operativa más significativa hasta la fecha ocurrió a finales de 2024 y principios de 2025. En octubre de 2024 las autoridades chinas, en coordinación con el Consejo de Administración del Estado de Myanmar y la Border Guard Force, realizaron una serie de operaciones contra complejos en la región de Myawaddy, en el estado Karen. Los reportajes presentados por Reuters y el Bangkok Post situaron el número de víctimas de trata repatriadas en más de 7.000 a lo largo de la operación, procedentes de al menos 30 países.

Los operativos apuntaron a KK Park, Chinatown, Shwe Kokko y varios complejos adyacentes más pequeños. La operación se desencadenó por la presión sostenida del gobierno chino tras secuestros mediáticos de ciudadanos chinos hacia los complejos, incluido el secuestro del actor chino Wang Xing en Bangkok en enero de 2025, un incidente que recibió una cobertura mediática intensa en lengua china y motivó un compromiso público de las autoridades chinas para acelerar la aplicación transfronteriza de la ley. El paso fronterizo de Mae Sot en el lado tailandés se convirtió en un punto de tránsito importante para la repatriación, con miles de trabajadores rescatados procesados a través de instalaciones temporales de retención operadas por autoridades tailandesas y ONG internacionales.

La operación de repatriación fue incompleta. Trabajadores de países que no tenían embajadas activas o representación diplomática formal con las autoridades de Myanmar responsables, incluidos muchos ciudadanos africanos y algunos del sur de Asia, quedaron en detención prolongada por las autoridades tailandesas mientras se ordenaban sus casos. La Humanity Research Consultancy y Amnesty International, en reportajes de principios de 2025, documentaron que algunos trabajadores rescatados fueron de nuevo víctimas de trata hacia complejos después de ser liberados sin estructuras de apoyo adecuadas, particularmente cuando regresaron a sus países de origen sin perspectivas laborales y fueron reclutados de nuevo por las mismas redes.

Los complejos no desaparecieron. Múltiples informes de 2025, incluidos seguimientos de Reuters y Al Jazeera, documentaron que KK Park reanudó operaciones parciales pocas semanas después de los operativos y que las operaciones desplazadas se reubicaron en instalaciones más nuevas en Laos, en el norte de Camboya cerca de Poipet, y en sitios totalmente nuevos en Mae Sai (Tailandia), Bavet (Camboya), partes de Filipinas, partes de Nigeria y partes de Emiratos Árabes Unidos. Las detenciones de la policía de Dubái a finales de 2024 de aproximadamente 275 sospechosos en nueve instalaciones tipo complejo reflejaron el desplazamiento.

Señales de alerta durante la fase de engorde

La fase de engorde es donde ocurre casi toda intervención exitosa. Una vez que se introduce la plataforma y el primer depósito se confirma, el agarre psicológico del guion sobre el objetivo hace que la intervención externa sea sustancialmente más difícil. Reconocer el patrón durante las semanas uno a doce es la defensa de mayor palanca. Ocho señales específicas que vigilar:

1. El gancho de apertura que continúa más allá de su final natural. Un mensaje de número equivocado que no se detiene tras la disculpa. Un mensaje de LinkedIn de alguien cuyo motivo profesional para contactarte no cuadra del todo cuando lo presionas. Un match en Hinge o Bumble cuyo perfil está pulido pero cuyas respuestas se sienten ligeramente fuera de cadencia en la primera hora. Los primeros contactos reales tienen un punto de cierre natural. Los ganchos de pig butchering persisten.
2. Migración fuera de la plataforma original en los primeros tres mensajes. Las apps de citas, LinkedIn e Instagram tienen moderación, sistemas de reporte y detección de patrones que los estafadores quieren evitar. Cualquier empujón para mover la conversación a WhatsApp, Telegram, Signal o WeChat en los primeros tres mensajes es una señal. Las conexiones reales continúan felizmente en la app original al menos una semana.
3. La ubicación declarada está en un sitio inverificable y conveniente para el engorde por zona horaria. Singapur, Hong Kong, Dubái y "actualmente viajando por trabajo en Asia" son las identidades de tapadera más comunes. La diferencia horaria crea una razón natural para que las videollamadas sean inconvenientes y da al operador cobertura para los retrasos en las respuestas. Las conexiones reales a larga distancia terminan haciendo videollamadas cómodamente.
4. Las videollamadas se cancelan o son muy cortas y de baja calidad. El operador no está dispuesto a producir vídeo en vivo prolongado porque su cara no es la cara de las fotos. Videollamadas breves de 30 a 60 segundos pueden ocurrir usando una foto real del operador (cuando este es presentable) o herramientas de cambio de rostro. Las videollamadas largas sin estructura no ocurren. "Mi WiFi va mal" es una excusa perpetua.
5. Una oportunidad de inversión que llega a través de una conexión familiar. El operador nunca propone la plataforma de trading directamente. La oportunidad llega a través de la mención casual de un tío, un primo, un amigo de la universidad, un antiguo mentor que casualmente lleva una mesa privada de trading. El encuadre de conexión personal es el mismo en cada guion porque funciona.
6. La plataforma de trading no es localizable en reseñas independientes. Los exchanges cripto reales tienen reseñas, podcasts, cobertura de prensa y debate en comunidades. Si no puedes encontrar la plataforma mencionada por ningún revisor cripto independiente o medio de noticias, no existe fuera de la estafa. Esta regla por sí sola atrapa a la gran mayoría de plataformas de pig butchering.
7. La primera retirada pequeña funciona, cada retirada posterior requiere una "tasa". La primera retirada es la palanca para construir confianza. Cada retirada posterior se bloqueará con escalada de "impuesto antiblanqueo", "tasa de cumplimiento internacional", "depósito de verificación de retirada" o "tasa de aprobación regulatoria". Los exchanges reales no funcionan así. Las obligaciones fiscales se declaran vía formularios fiscales, no las cobra el exchange para liberar una retirada.
8. Solicitudes de firma de cartera presentadas como "verificación" o "sincronización". Esta es la fase final de approval phishing. Cualquier solicitud de firma que conceda permiso de gasto a una dirección no familiar es una configuración de drenador, sin importar cuán rutinaria suene en boca del operador. Lo que importa es la carga útil de la firma, no el prompt visible. Para contexto más profundo, nuestra pieza complementaria sobre evolución del romance en app de citas a estafa cripto recorre el paso de la firma con más detalle.

La rutina de verificación en cuatro pasos antes de cualquier "inversión"

Si estás leyendo esto y un desconocido que conociste online te está hablando ahora mismo de una oportunidad de trading única, esta es la rutina. Ejecuta los cuatro pasos antes de que se mueva un dólar. Si la situación es real, la rutina te cuesta 20 minutos. Si la situación es la estafa, la rutina te salva el resto de tus ahorros.

1. Busca el nombre de la plataforma en Google a secas con la palabra "scam" añadida. Las plataformas de pig butchering tienen ciclos de vida cortos. Cada plataforma produce un rastro pequeño pero visible de quejas de víctimas en Reddit, Trustpilot, BitcoinTalk y foros de finanzas personales en cuestión de semanas tras salir en vivo. Si la plataforma a la que te han enviado tiene alguna queja asociada, tienes tu respuesta. Si la plataforma es demasiado nueva como para tener quejas, esa también es tu respuesta.
2. Comprueba la fecha de registro del dominio. Abre una herramienta WHOIS (icann.org/whois o whois.com) y comprueba cuándo se registró el dominio. Los dominios de pig butchering tienen típicamente menos de 90 días cuando se envía a ellos a las víctimas, porque los operadores de complejos rotan dominios constantemente para mantenerse por delante de las listas de bloqueo. Los exchanges cripto reales tienen dominios de varios años.
3. Pasa el dominio por nuestro escáner gratuito. Pega la URL en el verificador de seguridad de URL de SafeBrowz. El escáner cruza referencias con Google Safe Browsing, PhishTank, URLhaus y ScamAdviser, ejecuta nuestras más de 550 reglas de suplantación de marca y, para usuarios Premium, ejecuta análisis de contenido con IA sobre la página en vivo. La mayoría de plataformas activas de pig butchering quedan marcadas en al menos una de esas capas en cuestión de horas tras salir en vivo.
4. Habla con una persona en tu vida física antes de cualquier depósito. No con la persona con la que has estado chateando. Un humano real en tu vida física. Padre, hermano, amigo cercano, compañero de trabajo. Cuéntale toda la historia. Muéstrale la plataforma. Si duda aunque sea ligeramente, escúchalo. El pig butchering depende del aislamiento. El guion desalienta explícitamente que el objetivo hable de la relación o de la inversión con amigos y familia porque el guion sabe lo que ocurre cuando una mirada externa lo ve.

Qué hacer si ya has invertido

Si el dinero ya se ha movido, las próximas 48 horas determinan la mayor parte de lo recuperable. El orden importa.

1. Deja de enviar nada más, inmediatamente. Cualquier "tasa de liberación", "impuesto" o "depósito de cumplimiento" que la plataforma exija para desbloquear tu retirada forma parte de la estafa. No vas a recuperar tu capital pagando más tasas. Cada dólar adicional que envíes es un dólar que no volverá.
2. No firmes ninguna transacción de cartera que el operador te pida. Desconecta tu cartera de cualquier sitio al que el operador te haya enviado. Si ya has firmado algo, visita revoke.cash, conecta tu cartera y revoca toda aprobación con un gastador no familiar. Esa es la única defensa contra un drenaje con temporizador retardado.
3. Documenta todo. Guarda capturas de la plataforma, los hilos de chat, las direcciones de depósito, los hashes de transacción, las fotos de perfil del operador y cada URL que visitaste. Guárdalas también fuera del dispositivo. Mándatelas por correo o haz copia en una unidad que no sea tu teléfono.
4. Presenta denuncia en ic3.gov. El Internet Crime Complaint Center del FBI es el canal principal en EE. UU. Incluye toda la documentación. Operation Level Up usa estos informes para identificar a otras víctimas y para incautar fondos blanqueados. Denunciar importa incluso si crees que la recuperación es improbable.
5. Presenta denuncia en reportfraud.ftc.gov. La base de datos de quejas de la FTC alimenta la aplicación federal de protección al consumidor y ayuda a identificar acciones a nivel de patrón contra la infraestructura de blanqueo.
6. Contacta con tu banco y con el exchange donde compraste cripto. Las transferencias bancarias de los últimos 60 días y los pagos con tarjeta de los últimos 120 días a veces pueden revertirse a través de procesos de disputa por fraude. Coinbase, Kraken y Gemini tienen equipos de fraude que ocasionalmente congelan transferencias salientes si se reportan con suficiente rapidez. La ventana es estrecha pero no es cero.
7. Mueve la cripto que te quede a una cartera nueva. Genera una nueva frase semilla en un dispositivo limpio. Transfiere todo lo que todavía tengas a la nueva cartera. Trata la cartera original como comprometida aunque hayas revocado todas las aprobaciones visibles. No puedes estar seguro de haber atrapado todas.
8. Rechaza el contacto de "servicios de recuperación". En cuestión de días tras pasar a ser víctima conocida de pig butchering, te contactarán personas que afirman ser especialistas en recuperación, firmas de forense blockchain o "abogados de recuperación de activos" que prometen recuperar tu dinero a cambio de una tarifa por adelantado. Son estafas secundarias operadas por las mismas redes criminales o por redes adyacentes. Ningún servicio de recuperación legítimo cobra tarifas por adelantado a víctimas de fraude. El trabajo de recuperación real pasa por ic3.gov, tu fiscal estatal y demandas colectivas tramitadas por firmas reputadas a contingencia.
9. Cuéntaselo a alguien de confianza, en persona. Las secuelas psicológicas de una estafa de pig butchering son graves. La encuesta de 2024 de GASO halló que el 38 por ciento de las víctimas de pig butchering experimentaron ideación suicida en las semanas siguientes al descubrimiento de la estafa. La vergüenza y el aislamiento que el guion cultivó durante meses no se evaporan cuando la estafa queda al descubierto. Cuéntaselo a una persona. Habla con un terapeuta si puedes. La pérdida financiera se recupera en parte o nada. Lo que compone el daño es el aislamiento.

La reciente ola de aplicación de la ley y qué cambió

Entre finales de 2024 y la primera mitad de 2026 el panorama de aplicación de la ley cambió más rápido que en cualquier periodo previo. Los operativos liderados por China en Myawaddy en octubre de 2024 repatriaron a más de 7.000 trabajadores víctimas de trata. Los operativos contra complejos en Dubái a finales de 2024 detuvieron a 275 sospechosos. Una operación coordinada entre Estados Unidos y China en mayo de 2026 produjo 276 detenciones, el cierre de nueve centros adicionales de estafa cripto y la incautación de 701 millones de dólares en ganancias blanqueadas. El oleoducto de cooperación con Tether transfirió 225 millones de dólares en USDT incautado a Tether para su quema en enero de 2026, la mayor acción de aplicación sobre stablecoin registrada hasta el momento.

Operation Level Up del FBI, en marcha vía IC3 desde principios de 2025 hasta 2026, adoptó un enfoque diferente. En lugar de centrarse en derribar complejos, la operación usó análisis on-chain para identificar carteras que estaban siendo drenadas en ese momento por entradas de pig butchering, rastreó las carteras de origen de las víctimas y contactó proactivamente a víctimas identificadas para romper la conversación antes de que se confirmara el siguiente depósito. El FBI ha reportado públicamente que Operation Level Up ha prevenido unos 285 millones de dólares estimados en pérdidas adicionales al alcanzar a víctimas en mitad de la estafa. El éxito de la operación depende de la velocidad; una vez que las víctimas han completado el ciclo de depósito y la plataforma ha desaparecido, el panorama de recuperación empeora sustancialmente.

Operation Atlantic, lanzada en marzo de 2026, coordinó la acción del Servicio Secreto de EE. UU., la National Crime Agency del Reino Unido, la Policía Provincial de Ontario y la Ontario Securities Commission específicamente contra el desenlace de approval phishing. La operación apuntó al flujo transfronterizo de drenajes basados en firma y produjo una serie de detenciones de operadores de nivel medio y la incautación de varias operaciones de drainer-kit-as-a-service que llevaban vendiendo herramientas de ataque Permit2 a redes de complejos.

El problema estructural permanece. Los complejos rotan, se desplazan y se reconstruyen. La oferta de mano de obra se repone con la angustia económica en los países de origen y con el reclutamiento continuo a través de portales de empleo y canales de Telegram que no han sido suprimidos eficazmente. El oleoducto de blanqueo on-chain se adapta más rápido de lo que la aplicación de la ley puede cerrar los canales. La cooperación de Tether es el único cambio estructural más grande de los últimos dos años; sostenerla a escala determinará si la palanca financiera de la aplicación de la ley sigue creciendo o si la operación la sortea.

Preguntas frecuentes

¿Cuánto dinero se pierde realmente por pig butchering al año?

Las estimaciones más fiables de 2024 sitúan las pérdidas globales por pig butchering y fraude impulsado por complejos entre 63.000 y 75.000 millones de dólares al año. El informe de octubre de 2024 de la Oficina de Naciones Unidas contra la Droga y el Delito sobre crimen organizado transnacional en el Sudeste Asiático estimó 37.300 millones de dólares en pérdidas solo en Asia Oriental y Sudeste Asiático en 2023, con la cifra global caracterizada como decenas de miles de millones al año. El US Institute of Peace y la Humanity Research Consultancy, trabajando con conjuntos de datos extendidos a 2024, sitúan la cifra global entre 63.000 y 75.000 millones. La porción on-chain que Chainalysis rastreó en 2024 fue de 9.900 millones, una fracción del total porque una gran parte del dinero de las víctimas se mueve por vías fiat antes de tocar blockchains públicas. Para datos específicos de EE. UU., el FBI Internet Crime Report 2024 atribuyó aproximadamente 4.600 millones de dólares al fraude de inversión, la categoría más grande, con el pig butchering como subtipo dominante.

¿Las personas que envían los mensajes de la estafa son criminales o víctimas?

Muchas son ambas cosas, en un sentido que la ONU y las grandes ONG han documentado ya formalmente. Los trabajadores de primera línea que ejecutan guiones en complejos de Camboya, Myanmar y Laos son predominantemente víctimas de trata reclutados con anuncios de empleo fraudulentos que prometían trabajo en tecnología u hostelería y son retenidos bajo amenaza de violencia, servidumbre por deuda y confiscación de documentos. La Humanity Research Consultancy estimó en 2024 que más de 220.000 de estos trabajadores están retenidos actualmente en la región. La alta dirección de los complejos, la propiedad del sindicato y las redes de blanqueo que mueven las ganancias son los criminales. Los trabajadores de primera línea suelen ser ellos mismos víctimas de trata y de criminalidad forzada. Este encuadre de doble víctima importa tanto para el cuadro moral como para la respuesta práctica: el rescate y la repatriación de los trabajadores de primera línea es parte de cómo se desmantelan los complejos.

¿Por qué los complejos están concretamente en Camboya, Myanmar y Laos?

Los complejos se concentran en jurisdicciones que comparten tres rasgos. Débil alcance policial sobre el territorio concreto donde se asienta el complejo, a menudo por designaciones de Zona Económica Especial que eximen al área de inspección ordinaria o por conflicto activo que ha retirado la autoridad del gobierno central. Lejanía geográfica que complica la logística de operativos físicos. Y relaciones políticas o militares entre operadores de complejos y autoridades locales. Sihanoukville se beneficia de designaciones ZEE camboyanas y de relaciones documentadas entre dueños de complejos y funcionarios camboyanos. KK Park y Shwe Kokko en Myanmar se asientan en territorio del estado Karen controlado por la Karen Border Guard Force, una milicia con relaciones financieras directas con los operadores de complejos en un contexto de guerra civil en curso. La Zona Económica Especial de Bokeo en Laos está arrendada a un operador conectado con China bajo una concesión que limita la autoridad del gobierno laosiano sobre el área. A medida que ha aumentado la presión de aplicación de la ley, han aparecido nuevos complejos en Vietnam, Nepal, Filipinas, Emiratos y partes de África Occidental, lo que sugiere que el modelo viaja a donde existen condiciones similares.

¿Cómo sale realmente el dinero del complejo hacia los dueños criminales?

Los depósitos de la víctima caen primero en carteras controladas por el equipo de procesamiento cripto in situ del complejo. Después los fondos se reparten entre múltiples carteras para romper el análisis de clústeres, se puentean entre cadenas (Ethereum a Tron y Tron a Solana son comunes) y se agregan en mesas extrabursátiles que operan principalmente desde Hong Kong y Macao, con flujos secundarios a través de Singapur y Dubái. Las mesas OTC convierten la cripto en dólares hongkoneses o estadounidenses, típicamente a través de capas de empresas pantalla. El fiat entra después en uno de tres oleoductos: redes de junkets de casinos de Hong Kong y Macao, blanqueo basado en comercio mediante facturas ficticias, o compras inmobiliarias en mercados con débil divulgación del beneficiario final. Tether (USDT) es la divisa on-chain dominante por su liquidez OTC en Hong Kong. La cooperación de Tether con la aplicación de la ley en 2024, que produjo grandes congelaciones y quemas de USDT incautado, es la primera intervención seria contra el tramo on-chain.

¿Qué es el approval phishing y por qué importa en este contexto?

El approval phishing es el desenlace técnico que ha pasado a dominar el pig butchering desde 2022. En lugar de convencer a la víctima de enviar cripto a un exchange falso (el patrón original de 2017 a 2021), el operador induce a la víctima a firmar una transacción de cartera presentada como verificación de cuenta, sincronización de retirada o actualización de plataforma. La firma concede en realidad al operador permiso ilimitado de gasto de tokens sobre la cartera de la víctima a través de Permit2 o ERC-2612. El operador espera días o semanas, después ejecuta un transferFrom que drena todo token objetivo. La ejecución con temporizador retardado oscurece la conexión entre la conversación y la pérdida, lo que dificulta mucho más el trabajo forense posterior de la víctima. Operation Atlantic, lanzada por el Servicio Secreto de EE. UU., la NCA del Reino Unido y autoridades de Ontario en marzo de 2026, ataca específicamente esta evolución. La defensa a nivel de usuario es sencilla: no firmar jamás una transacción de cartera por un motivo de gestión de cuenta y revocar todas las aprobaciones no familiares a través de revoke.cash si ya has firmado algo.

Si me están haciendo engorde ahora mismo, ¿qué debo hacer realmente?

Deja de enviar dinero. Deja de firmar transacciones de cartera. No bloquees aún al operador, porque el historial de chat es prueba. Busca el nombre de la plataforma de trading en Google a secas con "scam" añadido. Pasa el dominio por el verificador de URL de SafeBrowz en safebrowz.com/url-check. Levanta un WHOIS sobre el dominio y comprueba la fecha de registro; casi todas las plataformas de pig butchering tienen menos de 90 días. Cuéntale toda la historia a una persona de tu vida física, incluidas las partes que te avergüenzan. Presenta denuncia en ic3.gov aunque no hayas perdido nada todavía, porque ese reporte contribuye a Operation Level Up y puede evitar la siguiente víctima. Si estás recibiendo el gancho de número equivocado o el match de app de citas que empuja fuera de plataforma en tres mensajes, estás al inicio del embudo, y la salida más barata es ahora. La persona con la que has estado hablando lee de un guion que ha sido testeado con miles de personas antes que tú. La calidez se siente real porque el guion está diseñado para sentirse cálido. No es personal.

Última actualización 2026-05-29

Cómo SafeBrowz bloquea esta amenaza

SafeBrowz utiliza una arquitectura de detección de 3 capas: Local + APIs + IA.

• Capa 1, Detección local: más de 60 reglas de patrones de URL y más de 550 firmas específicas de marca corren directamente en el navegador antes de que las páginas se rendericen. Esto atrapa las plataformas de exchange tipo lookalike (clones falsos de Bitfinex, KuCoin, OKX, Coinbase) y los patrones de dominio de TLD baratos (.live, .vip, .top, .xyz, .asia) por los que los operadores de complejos rotan para adelantarse a las listas de bloqueo. Las plataformas de pig butchering suelen usar dominios recién registrados; la capa local marca las señales estructurales al instante.
• Capa 2, Verificación con APIs: cruce de referencias con Google Safe Browsing, PhishTank, URLhaus y ScamAdviser, combinado con comprobaciones WHOIS de antigüedad de dominio y desempaquetado de acortadores de URL para los bit.ly y los acortadores de marca que los operadores de complejos usan para esconder los dominios de destino. La mayoría de plataformas activas quedan marcadas en al menos una capa upstream en cuestión de horas tras salir en vivo, a menudo a través de reportes de la comunidad.
• Capa 3, Análisis IA profundo (Premium): análisis de contenido en más de 100 idiomas atrapa variantes nuevas de plataforma que aún no han sido incluidas en listas de bloqueo. La capa de IA lee la página en el idioma al que apunta el operador (chino, vietnamita, coreano, español, inglés) e identifica suplantación de marca, patrones falsos de dashboard de trading y las firmas de construcción de carga útil Permit2 que aparecen en el desenlace de approval phishing incluso en UIs de plataforma visualmente nuevas.

Las firmas de detección se derivan de investigación de inteligencia de amenazas, del análisis de la base de datos de marcas y de publicaciones de patrones on-chain de organizaciones como Chainalysis y el FBI, no de datos de navegación del usuario. SafeBrowz no almacena historial de navegación por usuario.