El 91 % de las veces, la IA puede saber dónde estás con solo una foto

Cómo la IA utiliza pequeños detalles de tus fotos para identificar dónde estás y por qué esto es una mina de oro para los estafadores

Informe de McAfee Labs sobre cómo viajar con seguridad | Verano de 2026 

Una foto vale más que mil datos 

Acabas de volver de pasar una semana en Centroamérica. Has subido unas cuantas fotos: las coloridas calles de Tulum, una foto de las ruinas antiguas de Tikal y un primer plano de esos deliciosos tacos de gambas. Sin etiquetar tu ubicación. Sin un pie de foto que haga alusión al nombre de la ciudad. Solo una buena imagen. 

Unos días después, recibes un mensaje. Hace referencia a tu banco. Habla de actividades sospechosas “durante los viajes al extranjero”. Sorprende su nivel de detalle, menciona dónde estabas y cuándo. Parece real. 

Este tipo de mensajes fraudulentos personalizados son una táctica cada vez más habitual. Y puede que tus propias fotos hayan ayudado a escribirlo.

McAfee Labs se propuso averiguar exactamente cuánta información de ubicación hay en una foto de viaje normal y qué significa eso para los aproximadamente 244 millones de estadounidenses que viajan cada año.  

Lo que hemos descubierto debería hacerte replantearte lo que compartes en Internet: algunos modelos de IA tienen una precisión superior al 90 % a la hora de detectar el lugar donde se hizo una foto, basándose únicamente en lo que se muestra. Y lo más importante es que ahora se puede alcanzar ese nivel de precisión con herramientas que son gratuitas y que están al alcance de cualquiera. 

Por eso hemos creado herramientas como McAfee+ con protección contra fraudes, diseñadas para ayudarte a detectar este tipo de mensajes tan específicos y convincentes antes de que te lleven a cometer un error que pueda salirte caro. 

Presentamos McAfee+

Protección contra robo de identidad y privacidad para tu vida digital

Qué hemos probado y por qué 

La pregunta que se hacía McAfee Labs era aparentemente sencilla: ¿puede la IA analizar una foto de un viaje y averiguar dónde se hizo, incluso sin datos de GPS ni etiquetas de ubicación? 

Sin metadatos. Sin coordenadas incrustadas. Solo la imagen: el fondo, la arquitectura, los letreros, la luz, es decir, el contexto visual que cualquier foto capta de manera natural. 

Para averiguarlo, creamos una serie de pruebas automatizadas y las ejecutamos con un conjunto de datos de 21 236 imágenes de viajes procedentes de grupos de imágenes de acceso público. Además, hicimos un análisis aparte más controlado de otras 102 imágenes para poner a prueba nuestros resultados. 

Comprobamos dos modelos de visión por IA a gran escala y, además, disponibles públicamente gratis. Para ejecutarlos no hacía falta ningún acceso especial, datos de propiedad exclusiva ni conocimientos técnicos avanzados. Usamos las mismas herramientas a las que cualquier estafador tiene acceso hoy día. 

Cada imagen se analizó utilizando un prompt automatizado y coherente que pedía al modelo que identificara el lugar que aparecía en ella (ciudad, país o región) basándose únicamente en el contenido visual. A continuación, unos analistas revisaron los resultados para comprobar su precisión y señalar los casos más complicados.

Lo que descubrimos es impresionante: la IA tiene una tasa de precisión del 91 % 

Los resultados eran alucinantes. 

Gemma3 27B identificó la ciudad y el país a partir de una foto de un viaje el 87 % de las veces. Qwen3 VL 30B obtuvo un resultado aún mejor, con una precisión del 91 % con el mismo conjunto de datos. 

Eso significa que, en aproximadamente 9 de cada 10 casos, un modelo de IA que está disponible de forma gratuita para cualquiera podía analizar una foto de un viaje normal y decir correctamente dónde se hizo. Este tipo de análisis es también la forma en que las herramientas de IA entienden las imágenes en general, lo que influye no solo en las estafas, sino también en cómo aparece la información en las respuestas generadas por IA. 

Además, cuando no se identificaba la ciudad concreta, casi siempre se acertaba al menos el país. Para un estafador, eso es más que suficiente. Es todo lo que se necesita para convertir un fraude impreciso y genérico en una estafa personalizada, oportuna y creíble. 

¿Qué hace que sea fácil saber dónde se hizo una foto? 

Se han identificado ciertos tipos de imágenes con un nivel de confianza aún mayor: 

  • Fotos en las que aparecen monumentos famosos o edificios reconocibles 
  • Imágenes tomadas en destinos turísticos populares con un estilo visual característico 
  • Fotos en las que se ven carteles, elementos distintivos de la calle o arquitectura local 
  • Imágenes que reflejan el contexto cultural: medios de transporte, escaparates o bares 

En el caso de los entornos menos reconocibles, como una playa cualquiera, una carretera rural o una habitación de hotel, disminuía el nivel de precisión. Pero incluso en esos casos, la identificación a nivel de país seguía siendo alta. 

Lo hemos probado y nos quedamos helados. 

Para mostrar lo fácil que es reproducir este proceso, salimos de McAfee Labs y les pedimos a nuestros compañeros con menos conocimientos técnicos que lo probasen ellos mismos. No hace falta tener experiencia en investigación. No se necesita ninguna herramienta especial. 

Los empleados subieron a ChatGPT, Claude y Copilot sus propias fotos de viajes, imágenes sacadas directamente de sus galerías y que nunca habían publicado, y simplemente les pidieron a estas herramientas que identificaran dónde se había hecho la foto. 

Los resultados nos preocuparon a todos. 

La precisión descendió en comparación con nuestras pruebas de laboratorio controladas. Pero no mucho. Los modelos seguían identificando correctamente la ubicación en cuanto al país con una precisión más que suficiente para que un estafador pudiera elaborar un mensaje convincente y personalizado. 

La conclusión no es que la IA haya “visto” tus fotos en algún sitio antes, sino que, simplemente por reflejar un lugar que existe en el mundo, una fotografía contiene una enorme cantidad de datos sobre la ubicación: la arquitectura, la luz, los letreros y carteles o el paisaje. No hace falta geolocalizar o etiquetar una foto con tu ubicación para que muestre dónde has estado. 

Compruébalo tú mismo 

En el siguiente apartado te mostramos ejemplos reales de cómo funciona la detección de geolocalización mediante IA, utilizando fotos de viajes personales que nos ha enviado nuestro equipo de investigación. Sin etiquetas de ubicación. Sin metadatos. Solo la imagen y lo que la IA ha detectado en ella. 

Empezamos con estructuras más o menos reconocibles en segundo plano y luego probamos con fondos cada vez más difusos, intentando que hubiera menos rostros y solo vegetación detrás. Esto es lo que pasó:

Ejemplo 1 

Las fotos de la luna de miel de Brooke: en este ejemplo aparece un punto de referencia especialmente destacado, lo que ayuda a la IA a determinar la ubicación con mayor precisión. Cuando hay algo reconocible, la IA lo identifica perfectamente, hasta el punto de indicarte el lugar exacto en el mapa en el que te encuentras, la historia del lugar e información de interés turístico.

Captura de pantalla de una conversación en ChatGPT en la que se identifica la ubicación de una foto
Aquí vemos cómo la IA indica correctamente que esta foto se hizo delante del “Templo II, Templo de las Máscaras”.

Ejemplo 2 

La foto de la puesta de sol de Sandra: este ejemplo se complica más para la IA porque se han eliminado los principales puntos de referencia y las personas. A pesar de todo, ChatGPT fue capaz de identificar la ubicación como Hastings-on-Hudson. 

captura de pantalla en la que la IA identifica correctamente la ubicación

Ejemplo 3 

Primer plano de flores de Rob: con solo ver este primer plano de estos tulipanes, a Claude le bastó para dar en el clavo y adivinar que la foto se había hecho en los jardines de Keukenhof, en los Países Bajos.

La IA pudo identificar dónde están las flores de este primer plano.
La IA fue capaz de identificar la ubicación de las flores de este primer plano.

Cómo sirve una foto para generar una estafa 

Usar información sobre dónde está una persona o dónde ha estado últimamente es uno de los trucos más viejos de los estafadores. Pero hasta hace poco, para conseguir esa información había que conocer a la persona o tener un poco de suerte. 

La IA elimina las conjeturas, lo que permite a los atacantes crear estafas extremadamente personalizadas y adaptadas al contexto. 

Con una inferencia de geolocalización tan precisa, los estafadores ya no necesitan lanzar ataques masivos y esperar a que un mensaje de phishing genérico dé resultado. Ahora pueden usar fotos compartidas públicamente para crear un contexto creíble que dé falsa fiabilidad a un ataque: 

  • “Hemos detectado una actividad inusual en tu cuenta mientras estabas de viaje en [ciudad]”. 
  • “Se ha identificado tu tarjeta para una transacción en [país]. Compruébalo cuanto antes”. 
  • “Hola, nos ponemos en contacto contigo en relación con tu reciente estancia en un hotel de [destino]”. 
  • “Hola, soy [tu nombre], estoy en México y me rechazan todas las tarjetas. ¿Me podrías enviar dinero?”(un mensaje dirigido a tus amigos o seres queridos) 
  • “Hemos detectado un intento de inicio de sesión desde tu ubicación en [destino]. Confirma tu identidad”. 
  • “Tu reserva en [ciudad] necesita confirmación. Haz clic aquí para garantizar tu reserva”. 
Este es un ejemplo de un SMS fraudulento que ha detectado nuestro equipo de investigación. Ahora, imagínate si los estafadores tuvieran más información, como la visita turística en la que participabas, dónde te encontrabas o en qué tiendas habías comprado. Con estos detalles, este tipo de mensajes pueden resultar aún más convincentes y personalizados.
Este es un ejemplo de un SMS fraudulento que ha detectado nuestro equipo de investigación. Ahora, imagínate si los estafadores tuvieran más información, como la visita turística en la que participabas, dónde te encontrabas o en qué tiendas habías comprado. Con estos detalles, este tipo de mensajes resultarían aún más convincentes y personalizados.

Estos mensajes no tienen por qué ser totalmente precisos. Solo tienen que parecer creíbles y lo bastante cercanos. La estrategia se limita a eso. La familiaridad reduce el escepticismo. El escepticismo es lo que te protege. 

Esto es lo que convierte el phishing masivo en phishing hiperpersonalizado a gran escala. Por eso, incluso los viajeros más precavidos y con conocimientos digitales caen en la trampa. 

El nuevo método de trabajo del estafador 

Así de sencillo puede ser el proceso que sigue un estafador: 

  1. Encuentra fotos de viajes compartidas públicamente en Instagram, Facebook o X, sin necesidad de hackear nada. 
  2. Las sube a un modelo de visión artificial gratuito. 
  3. Identifica el posible destino, el momento y el contexto. 
  4. Redacta un mensaje personalizado que haga referencia a ese lugar. 
  5. Lo envía durante el viaje o justo después, que es cuando la víctima tiene más probabilidades de creérselo. 

Los pasos del 1 al 5 se pueden automatizar. Todo el proceso se adapta fácilmente para aplicarlo a gran escala. Y los mensajes tienen un toque personal que las estafas genéricas nunca conseguirían. 

A qué se enfrentan los viajeros en cuanto a estafas 

La inferencia de la geolocalización no es un hecho aislado. Es solo una herramienta más del creciente arsenal a disposición de los estafadores contra los viajeros.  

Cuando viajamos, salimos de nuestra rutina habitual, usamos redes que no conocemos y tomamos decisiones financieras rápidas con urgencia. Son precisamente estas conductas las que permiten a los estafadores sacar partido de la inferencia de la ubicación a partir de las fotos. 

Según una nueva investigación de McAfee sobre consumidores, más de uno de cada tres estadounidenses se ha enfrentado alguna vez a una ciberamenaza relacionada con los viajes, y el 41 % de los afectados ha perdido dinero, a menudo más de 500 dólares. Al mismo tiempo, el aumento de los gastos de viaje y la falta de tiempo nos llevan a tomar decisiones más rápidamente y con mayor riesgo. Esas son de hecho las condiciones que aprovechan los estafadores. 

Los datos revelan hasta qué punto los viajeros se exponen a riesgos sin darse cuenta. Casi dos tercios de los estadounidenses se conectan a redes Wi-Fi públicas cuando viajan (63 %), y un porcentaje similar escanea códigos QR sin comprobar dónde llevan (62 %). Casi la mitad usa la red Wi-Fi de los aeropuertos (49 %) y el 41 % admite que se fía de los mensajes relacionados con los viajes sin comprobar quién los envía. Una de cada cinco personas se conecta a aplicaciones financieras cuando está en redes públicas y ese mismo grupo comparte sus planes de viaje en tiempo real en las redes sociales. El 20 % hace clic en enlaces relacionados con los viajes sin comprobar primero la fuente. Y, por último, aproximadamente 1 de cada 5 personas (el 22 %) admite que comparte sus planes de viaje en tiempo real.  

Vamos a detenernos un momento en ese último comportamiento. Compartir en tiempo real planes de viaje en cuentas de redes sociales públicas o semipúblicas es justo lo que genera las señales sobre ubicación de las fotos que analizamos en este estudio. Estos comportamientos y la exposición de la ubicación geográfica no son temas independientes. Se retroalimentan. 

La inferencia de la ubicación es la clave para que todas esas vulnerabilidades existentes sean más fáciles de aprovechar. Un estafador que tenga una idea aproximada de dónde estás no solo cuenta con un dato, tiene una narrativa para abordarte. 

Metodología: cómo se efectuó esta investigación 

La transparencia es fundamental. Así es exactamente cómo se llevó a cabo esta investigación. 

Conjunto de datos: 21 236 imágenes de viajes disponibles al público para la investigación, además de un conjunto controlado independiente de 102 imágenes aportadas por voluntarios internos de McAfee (que nunca se habían publicado antes). 

Modelos probados: 

  • Gemma3 27B: un modelo multimodal y de visión y lenguaje de Google DeepMind 
  • Qwen3 VL 30B: un modelo multimodal y de visión y lenguaje del equipo Qwen de Alibaba 

Es importante señalar que hicimos nuestras pruebas utilizando grandes modelos de lenguaje localmente en nuestros propios ordenadores y no usamos servicios públicos como ChatGPT.  

Esto refleja mejor cómo podría actuar un atacante a gran escala. Ejecutar los modelos de forma local permite generar de forma automática y sin restricciones grandes cantidades de contenido malicioso sin tener que depender de un proveedor externo.  

Por el contrario, los servicios de IA basados en la nube suelen vigilar si hay abusos y pueden imponer límites de uso, suspender cuentas o bloquear solicitudes cuando detectan actividades relacionadas con el phishing u otros comportamientos maliciosos. 

Proceso: un script de Python automatizado envió cada imagen a ambos modelos utilizando un prompt estandarizado que solicitaba que se identificara la ubicación basándose únicamente en el contenido visual. No se utilizaron metadatos, datos EXIF ni convenciones de nomenclatura de archivos como datos de entrada. Los resultados se guardaron automáticamente con un programa. 

Validación: las etiquetas de las imágenes se asignaron antes del análisis. En los casos en que los nombres geográficos o los puntos de referencia podían dar lugar a más de una interpretación, un revisor humano comparó las ubicaciones preetiquetadas con los resultados del modelo para garantizar una categorización coherente.  

Por ejemplo, el revisor decidió si la Ciudad del Vaticano debía incluirse junto con Roma y si “Washington D.C.” y “Washington, D.C.” debían considerarse la misma localidad. No modificó ni las etiquetas originales ni los resultados del modelo, sino que utilizó su criterio para resolver las ambigüedades en cuanto a convenciones de nomenclatura y casos extremos. 

Definición de precisión: se consideró que un resultado era correcto cuando el modelo identificaba la ciudad y el país correctos. La identificación “solo por país” se registró por separado. Se incluyen ambas métricas. 

Lo que esta investigación no afirma: esta investigación no sugiere que todas las fotos de viajes vayan a identificarse correctamente, ni que todas las herramientas de IA disponibles públicamente alcancen este nivel de resultados. Los resultados variaban según el tipo de imagen, la densidad de puntos de referencia y la región geográfica. La clave no es que la identificación sea perfecta, sino que la precisión sea lo suficientemente alta y accesible como para facilitar la ejecución de estafas personalizadas a gran escala. 

Acerca de la investigación de consumidores: McAfee encargó una encuesta dirigida a consumidores, realizada en marzo de 2026, con objeto de analizar las planes de viaje, las experiencias y percepciones sobre fraudes en los viajes, así como los hábitos digitales mientras se viaja. Los resultados mencionados aquí corresponden a una muestra de 1000 estadounidenses mayores de 18 años. El estudio completo incluía las respuestas de 6000 participantes de Australia, Francia, Alemania, Japón, Estados Unidos y el Reino Unido. 

Cómo protegerte 

Tomar consciencia del riesgo es el primer paso. Estas son algunas medidas para evitar incidentes. 

Piénsatelo bien antes de publicar nada, sobre todo en tiempo real. El momento de mayor riesgo es cuando todavía estás de viaje. Publicar algo mientras estás en un lugar concreto les da a los estafadores una señal en tiempo real de tu ubicación. Siempre que puedas, publica cuando hayas vuelto a casa o espera unos días antes de compartir contenido que permita identificar tu ubicación. 

Revisa tu configuración de privacidad de redes sociales. Las fotos que se comparten públicamente son presa fácil para los estafadores. Si limitas tus publicaciones a las personas que conoces, se reduce considerablemente el número de imágenes que pueden recopilar y analizar. 

No te creas los mensajes urgentes relacionados con tu ubicación. Si un mensaje hace referencia a lugares en los que has estado, aunque sea con exactitud, tómatelo como una señal de alerta, no como una señal de credibilidad. Los estafadores se aprovechan de que conoces bien el lugar precisamente porque eso te da una sensación de seguridad. 

Ve directamente a la fuente. Si mientras estás de viaje recibes un mensaje supuestamente de tu banco, compañía aérea, hotel o entidad emisora de tu tarjeta de crédito, no hagas clic en ningún enlace. Abre una nueva pestaña en el navegador y ve directamente al sitio web oficial de la empresa. También puedes llamar al número que aparece en el reverso de tu tarjeta. 

Usa una dirección de email o un alias específico para los viajes. Algunos viajeros utilizan una dirección de email distinta para las reservas y las apps de viajes. De esta forma, limitan la posibilidad de que los estafadores puedan cruzar datos entre tu presencia en las redes sociales y tus cuentas bancarias. 

Prima el escepticismo, desconfía de la familiaridad. Las estafas modernas están pensadas para que identifiques señales familiares antes de levantar sospechas. Si algo te infunde una sensación de urgencia en relación con tus cuentas mientras estás de viaje, revísalo con calma. La presión es precisamente la señal de alerta. 

Cómo te protege McAfee antes, durante y después de viajar 

Con el aumento de los precios, muchas decisiones se toman con prisa, y eso puede llevar a priorizar la comodidad por encima de la precaución. Pero es en ese momento cuando más cuentan los pequeños detalles. 

Etapa del viaje  Qué ocurre Cómo te ayuda McAfee 
Antes de reservar  Comparas ofertas, haces clic en promociones, reservas vuelos y hoteles con prisas. McAfee+ con protección contra fraudes comprueba los enlaces, los mensajes y los sitios de reservas antes de que hagas clic, para que puedas evitar ofertas falsas y anuncios fraudulentos.
Durante el viaje  Te conectas a redes Wi-Fi públicas, escaneas códigos QR, recibes novedades y alertas sobre los viajes. La VPN te ayuda a proteger tu conexión en redes Wi-Fi públicas, mientras que McAfee+ con protección contra fraudes te avisa en tiempo real de mensajes sospechosos y enlaces peligrosos. 
Después del viaje  Las cuentas siguen activas, los datos del viaje se guardan en distintas plataformas y existe un riesgo potencial de exposición de los datos filtrados.  La supervisión de identidad te avisa si tu información personal aparece en Internet, lo que te ayuda a actuar rápidamente antes de que el daño se propague. 

Con McAfee+ Advanced, varias capas de protección trabajan juntas para que no tengas que averiguar qué ha pasado una vez que el daño ya está hecho.  

Así podrás centrarte en tu viaje sin preocuparte por si esa notificación encierra una estafa. 

Conclusiones 

Una foto de un viaje es un recuerdo. Sin embargo, cada vez más es también un dato. 

Eso no significa que debas dejar de compartir tus experiencias. Sin embargo, sí debes saber que la riqueza visual que hace que una foto sea extraordinaria es justo lo que los sistemas de IA entrenados pueden interpretar.   

Los estafadores lo saben. Ahora ya sabes cómo protegerte. 

Este informe lo ha elaborado McAfee Labs. La investigación se llevó a cabo entre 2025 y 2026 como parte de la supervisión continua de McAfee de los vectores de fraude impulsados por IA. 

FacebookLinkedInTwitterEmailCopy Link

Mantente al día

Síguenos para mantenerte al día de las novedades de McAfee y estar al tanto de las amenazas de seguridad más recientes para particulares y dispositivos móviles.

FacebookTwitterInstagramLinkedINYouTubeRSS

More from Seguridad en Internet

Back to top