Los ataques de phishing se vuelven más atractivos en 2026

Anuncios

Tendencias de amenazas Se observa un marcado aumento en los peligros relacionados con el correo electrónico. Microsoft Threat Intelligence registró aproximadamente 8300 millones de amenazas por correo electrónico en el primer trimestre. Este repunte marca un claro cambio en el alcance y la magnitud de las amenazas.

El phishing moderno combina tácticas de redes sociales con técnicas avanzadas para eludir la autenticación. Los atacantes utilizan páginas de inicio de sesión falsas, trucos de verificación por voz y mensajes personalizados para robar credenciales de cuentas y acceder a los servicios corporativos.

Equipos de seguridad Es fundamental combinar las herramientas técnicas con la formación centrada en el usuario. Los usuarios que aprenden a detectar señales de urgencia y enlaces sospechosos reducen las oportunidades para los atacantes.

Esta guía Describe cómo funcionan estos ataques y ofrece pasos prácticos para que los equipos protejan datos, redes y cuentas. Ayuda a las empresas a crear defensas que abarquen dispositivos, correo electrónico y comunicaciones.

La evolución del phishing en 2026

Los atacantes han pasado de enviar correos electrónicos masivos genéricos a señuelos muy elaborados que imitan las interacciones comerciales cotidianas.

Suplantación de identidad en redes sociales Ahora se centra en las cuentas de soporte, las páginas de proveedores y los perfiles de los compañeros para generar confianza rápidamente.

Estas campañas suelen desarrollarse por etapas. El contacto inicial parece inofensivo, pero luego los mensajes posteriores solicitan credenciales o autorizaciones. Este diseño en varias etapas dificulta la detección por parte de los filtros automatizados.

Formación eficaz Es fundamental. Los empleados que siguen pasos de verificación sencillos reducen la tasa de éxito de las estafas dirigidas.

  • Los atacantes imitan tareas y aprobaciones rutinarias.
  • Adaptan los mensajes a roles y flujos de trabajo específicos.
  • El análisis de patrones históricos revela el cambio hacia la personalización.

Los equipos que combinan la monitorización del comportamiento con la formación de los usuarios detectarán mejor los mensajes engañosos. La tendencia en 2026 demuestra que solo las defensas multicapa impiden que estas campañas sofisticadas tengan éxito.

Comprender el panorama actual de amenazas

Los atacantes ahora se valen de rutinas familiares y flujos de trabajo predecibles para que los mensajes maliciosos parezcan comunes. Este método debilita la cautela instintiva y aumenta la probabilidad de que se haga caso a un enlace o solicitud dañina.

Psicología de la rutina

Comunicación rutinaria Prepara a los destinatarios para confiar en la forma y el lenguaje. Cuando un correo electrónico imita una orden de compra, una invitación de calendario o un aviso de TI, los usuarios suelen omitir los pasos de verificación.

Las investigaciones muestran que 581.000 ataques detectados a finales de 2025 estaban relacionados con el robo de credenciales y la ingeniería social. Esta cifra subraya cómo las tácticas de señuelo rutinarias predominan en el panorama de amenazas.

Explotación de la confianza

Los ciberdelincuentes combinan la imitación de marcas, señales en redes sociales y técnicas de voz para generar confianza antes de realizar una solicitud. Estas tácticas complejas eluden los filtros de palabras clave simples y burlan los controles de seguridad básicos.

Organizaciones Se deben combinar controles técnicos sólidos con capacitación específica en concientización sobre la fatiga relacionada con la voz, los medios y la autenticación multifactor. Comprender cómo los atacantes acceden a los datos reduce el riesgo de incidentes y ayuda a los equipos a responder con mayor rapidez.

  • Adaptar la formación a las normas del sector.
  • Supervise los patrones de los mensajes, no solo las palabras clave.
  • Pruebe la respuesta ante incidentes de ataques de autenticación comunes.

El auge del phishing mediante códigos QR

Los códigos QR se han convertido en un método habitual para redirigir a los usuarios de dispositivos móviles a páginas web dañinas.

Los volúmenes aumentaron drásticamente.Los informes mostraron un aumento de 7,6 millones de escaneos en enero a 18,7 millones en marzo, un incremento de 1461 TP3T. Este repunte pone de manifiesto la rapidez con la que los atacantes cambian sus métodos de distribución.

Riesgos de los dispositivos móviles

Estos ataques explotan vulnerabilidades en los dispositivos personales. Los códigos escaneados suelen redirigir a los usuarios a sitios web maliciosos que las herramientas de seguridad de correo electrónico no detectan.

Actores de amenazas Insertan enlaces peligrosos dentro de imágenes QR para eludir los escáneres de texto. Combinan mensajes de voz y publicaciones en redes sociales para generar urgencia e impulsar la acción inmediata.

  • Los códigos QR redirigen a sitios web no confiables que recopilan credenciales o instalan software malicioso.
  • Los escaneos burlan muchos filtros de correo electrónico y enlaces, lo que aumenta la tasa de éxito de los ataques.
  • Las organizaciones deben incorporar formación específica sobre cómo escanear códigos desconocidos y bloquear enlaces sospechosos a nivel de red.

Pasos a seguir Esto incluye actualizar las herramientas de protección móvil, incorporar el conocimiento sobre códigos QR a la formación en seguridad y aplicar el filtrado de enlaces para proteger los datos corporativos.

Para un análisis más profundo, consulte el Informe sobre ataques de phishing mediante códigos QR.

Tácticas para evadir CAPTCHA

Actores de amenazas Están utilizando flujos de verificación simulados para mantener ocultas las páginas dañinas de los escáneres automatizados.

Ataques controlados por CAPTCHA alcanzados 11,9 millones En marzo se registró el mayor volumen de casos en el último año. Estas páginas de verificación falsas imitan comprobaciones legítimas y persuaden a los usuarios para que interactúen.

Una vez que una persona completa el desafío fraudulento, los atacantes obtienen las credenciales y, en ocasiones, instalan malware. Al requerir la interacción humana, estas páginas eluden muchas herramientas de seguridad automatizadas que no pueden inspeccionar el contenido detrás del acceso.

Una formación eficaz en seguridad debe enseñar a los usuarios a detectar las falsas solicitudes de verificación y a evitar introducir datos confidenciales. Los atacantes también engañan a las personas para que ejecuten comandos que pueden eludir la autenticación multifactor y otorgar acceso no autorizado a los datos corporativos.

Defensas Deben incluirse herramientas de análisis de comportamiento que evalúen cómo se comportan los sitios web, no solo su contenido. Combinadas con una formación específica, estas herramientas reducen las posibilidades de robo de credenciales y limitan el impacto de las tácticas en constante evolución.

  • Reconozca las solicitudes de verificación inusuales antes de ingresar sus credenciales.
  • Bloquea o escanea el contenido que requiera interacción exclusivamente humana.
  • Utilice el análisis del comportamiento del sitio web para detectar patrones de ataque ocultos.

Análisis de las tendencias de cargas útiles maliciosas

La distribución mediante archivos sigue siendo la vía más frecuente que utilizan los ciberdelincuentes para acceder a las bandejas de entrada y los dispositivos finales. Los equipos de seguridad observaron picos de actividad repentinos vinculados a campañas puntuales que utilizaban formatos comunes para ocultar contenido dañino.

Volatilidad de los archivos adjuntos HTML

Los archivos adjuntos HTML muestran una alta volatilidad. Grandes cantidades de páginas manipuladas provocaron aumentos repentinos en los incidentes relacionados con el correo electrónico.

Estos archivos A menudo contienen scripts que cargan programas para robar credenciales o redirigen a páginas de inicio de sesión falsas. Evaden algunos escáneres porque se presentan como contenido web normal.

Métodos de entrega de PDF

El número de archivos PDF adjuntos aumentó drásticamente. Los usuarios y las herramientas siguen considerando los PDF como seguros, lo que los convierte en un objetivo atractivo para la propagación de malware.

Actores de amenazas Inserta enlaces o lanzadores dentro de los PDF que descargan contenido al abrirlos. Muchas campañas imitan facturas comerciales o avisos de pago para incitar a una acción rápida.

Ofuscación de archivos ZIP

Los archivos ZIP siguen siendo una opción popular para ocultar scripts y eludir los controles de Marcado de la Web. Los archivos comprimidos pueden instalar archivos ejecutables en los dispositivos cuando los usuarios extraen el contenido.

  • Estos archivos adjuntos suelen ir acompañados de correos electrónicos con temática empresarial para añadir credibilidad.
  • La formación debe hacer hincapié en la precaución con los archivos adjuntos y los documentos inesperados.
  • Analizar los patrones de entrega ayuda a detectar el uso repetido de las mismas técnicas de ofuscación.

Compromiso del correo electrónico empresarial y fraude financiero

Compromiso del correo electrónico empresarial La ciberseguridad sigue afectando gravemente a los equipos financieros, con aproximadamente 10,7 millones de ataques registrados en el primer trimestre.

Estas campañas utilizan la suplantación de identidad y la manipulación. urgencia presionar al personal para que ejecute solicitudes de pago fraudulentas o comparta información confidencial.

Los atacantes suelen tomar el control de cuentas de correo electrónico legítimas para enviar mensajes creíbles que parecen provenir de colegas o proveedores de confianza.

Formación en seguridad Es fundamental para los usuarios en puestos de alto riesgo. La capacitación específica ayuda a los equipos a detectar señales sutiles de vulnerabilidad antes de que un incidente cause pérdidas financieras.

  • Verifique las solicitudes de pago con un segundo canal antes de enviar los fondos.
  • Señale los cambios inusuales en las cuentas o los proveedores en los intercambios de documentos y servicios.
  • Registre y remita cualquier mensaje que presione para obtener una aprobación rápida o compartir datos.

Debido al gran impacto en todo el sector, las organizaciones deben implementar procedimientos de verificación estrictos para todos los pagos y cambios de cuenta. Esto reduce la probabilidad de que los atacantes logren establecer una buena relación verbal con ellos.

El papel del adversario en la infraestructura intermedia

Las plataformas Adversary-in-the-middle (AiTM) actúan como puentes bajo demanda que capturan intercambios de autenticación en tiempo real y tokens de sesión. Estos servicios permiten a los atacantes apoderarse de credenciales y obtener acceso incluso cuando la verificación multifactor está activa.

Cómo burlar la autenticación multifactor

Unidad de Delitos Digitales de Microsoft En marzo, la plataforma de phishing como servicio Tycoon2FA sufrió una interrupción, pero los atacantes migraron rápidamente a una infraestructura alternativa. Este rápido cambio demuestra la gran resistencia de estas operaciones AiTM.

Cómo funciona AiTM:

  • Estas herramientas interceptan los flujos de inicio de sesión web y envían mensajes a los usuarios en tiempo real.
  • Los tokens de sesión capturados permiten a los atacantes acceder a cuentas sin contraseñas válidas.
  • Estos servicios hacen que la autenticación multifactor estándar sea menos efectiva contra los ataques dirigidos.

Los equipos de seguridad deben actualizar la capacitación para demostrar que la autenticación multifactor (MFA) puede eludirse y enseñar a los usuarios a detectar mensajes o solicitudes de inicio de sesión inusuales. Mediante el análisis de los patrones de ataque, los responsables de la seguridad pueden ajustar los controles de red para bloquear la infraestructura AiTM conocida.

Orientación defensiva: Implemente un sistema de autenticación avanzado resistente a la interceptación, supervise el acceso anómalo y utilice seguridad por capas para proteger los datos y las cuentas confidenciales.

Cómo los acortadores de enlaces ocultan destinos maliciosos

Los acortadores de URL convierten destinos legibles en tokens opacos. que frustran la inspección casual. Acerca de 10.2% Muchos atacantes de phishing utilizan estos servicios para ocultar a dónde conduce realmente un enlace.

Los atacantes comprimen direcciones largas en cadenas genéricas para que los usuarios no puedan verificar los sitios web de un vistazo. Además, añaden cadenas de redireccionamiento que eluden los escáneres y filtros básicos.

Grandes organizaciones Este riesgo se percibe con especial intensidad, ya que las herramientas automatizadas suelen confiar en las URL escaneadas. Esto dificulta la protección de datos confidenciales sin la intervención humana y controles más estrictos.

  • Los enlaces acortados ocultan el dominio real y la página de destino final.
  • Las cadenas de redireccionamiento permiten a los atacantes cambiar los destinos después de que se haya creado un enlace.
  • En ocasiones, se utilizan dominios de confianza para alojar URL acortadas, lo que complica los esfuerzos de bloqueo.
  • La formación en seguridad debe hacer hincapié en la verificación de los enlaces y el uso de herramientas de vista previa antes de hacer clic.

Medidas defensivas Esto incluye ampliar la inspección de URL, bloquear los servicios de redireccionamiento riesgosos y añadir orientación sobre la vista previa de enlaces a la formación del personal. Comprender cómo funcionan las URL acortadas ayuda a los equipos a detectar enlaces opacos y a reducir el éxito de las estafas en línea.

Las plataformas para compartir archivos como vectores de ataque

En muchos sectores, los enlaces a documentos en la nube sirven actualmente como vehículos encubiertos para contenido malicioso.

Plataformas para compartir archivos Servicios como SharePoint y Dropbox representan aproximadamente 12,41 millones de transacciones por cada 1000 metros de actividad de phishing. Los atacantes suplantan la identidad de servicios de confianza para distribuir enlaces y archivos maliciosos.

Los servicios financieros se enfrentan a un mayor riesgo: el 22,21% de los ataques en ese sector utilizan señuelos para compartir archivos con el fin de difundir contenido malicioso y recopilar credenciales.

Al aprovechar los intercambios rutinarios de documentos, los ciberdelincuentes eluden los filtros de correo electrónico tradicionales. Los destinatarios ven una notificación de servicio familiar y son más propensos a hacer clic.

Defensa Requiere tanto controles técnicos como un cambio de comportamiento.

  • Implemente políticas estrictas de acceso y caducidad de enlaces en las carpetas compartidas.
  • Capacite al personal para que verifique el remitente y previsualice los enlaces antes de descargarlos.
  • Utilice el análisis de contenido en los servicios en la nube y bloquee los tipos de archivos riesgosos.

Resultado: La combinación de controles de acceso con una formación específica reduce la probabilidad de que los atacantes accedan a datos confidenciales o inicien solicitudes de pago fraudulentas a través de documentos compartidos.

Suplantación de identidad de marca y explotación de la confianza.

La suplantación de marca está convirtiendo cada vez más logotipos de confianza en armas para el robo de credenciales. En el sector de la hostelería, el 24,11% de los ataques de phishing utilizaron identidades corporativas conocidas para añadir legitimidad.

Los atacantes copian elementos visuales de servicios legítimos para que los correos electrónicos y mensajes parezcan rutinarios. Los destinatarios ven un logotipo o un diseño familiar y omiten los pasos de verificación.

redes sociales Los canales de voz amplifican estos esquemas al hacer eco de los avisos falsos. La superposición de medios hace que el inicio de sesión o la notificación falsos parezcan urgentes y reales.

  • El mimetismo visual hace que la recopilación de credenciales parezca una solicitud de cuenta normal.
  • Las plataformas de terceros permiten a los atacantes elaborar comunicaciones convincentes con rapidez.
  • La formación específica en materia de seguridad y la capacitación práctica ayudan al personal a detectar señales sutiles de fraude.

Medidas defensivas Entre las medidas se incluyen la monitorización activa para detectar la suplantación de identidad, simulacros que ponen a prueba el reconocimiento y estrictas normas de verificación para el inicio de sesión o las solicitudes de datos. Estas medidas protegen a la empresa y a sus clientes de la explotación de la confianza.

Vulnerabilidades específicas del sector

Los hábitos y herramientas propios de cada sector crean puntos de entrada únicos que los adversarios atacan con precisión. Las organizaciones deben comprender qué flujos de trabajo conllevan riesgos y adaptar sus defensas en consecuencia.

Riesgos de los servicios financieros

Equipos financieros Se enfrentan a un alto riesgo de fraude por correo electrónico (BEC) y estafas de intercambio de archivos. Los atacantes elaboran mensajes que imitan facturas, solicitudes de pago y notificaciones legales para obtener una aprobación rápida.

Estas campañas abusan de los enlaces de documentos de confianza y del intercambio rutinario de datos confidenciales. Las vulneraciones de correo electrónico y las descargas de archivos redirigidas pueden dar lugar a fraudes de pago a gran escala y al robo de cuentas.

  • Verifique las solicitudes de pago con un canal secundario antes de enviar los fondos.
  • Escanee los documentos compartidos y aplique la caducidad de los enlaces en los servicios en la nube.
  • Supervise el comportamiento inusual de las cuentas y restrinja los tipos de archivos de alto riesgo.

Tendencias del sector hotelero

El sector de la hostelería es un terreno fértil para la suplantación de identidad de marcas. Los atacantes utilizan motores de reservas y servicios de terceros para que los mensajes parezcan legítimos y urgentes.

Tanto los huéspedes como el personal reciben avisos convincentes que solicitan credenciales o actualizaciones de pago. Estos ataques dirigidos dañan la reputación y ponen en riesgo los datos de los clientes.

  • Capacitar al personal de atención al cliente para que verifique las solicitudes de proveedores y clientes.
  • Restringir las integraciones de servicios y auditar el acceso de terceros.
  • Utilice ejercicios de simulación que reflejen los flujos de trabajo habituales en el sector de la hostelería.

Conclusión: La formación personalizada y los controles por capas reducen las amenazas específicas de cada sector. Comprender cómo se adaptan los atacantes a los flujos de trabajo de pago y documentación ayuda a proteger las operaciones comerciales y los datos confidenciales de los ataques de phishing.

Ejemplos reales de ataques sofisticados

Los ejemplos prácticos ilustran cómo la confianza, el momento oportuno y la astucia superan los controles de seguridad básicos.

Informes de mayo Trellix confirmó que se había detectado una campaña de spear-phishing dirigida a directores financieros de bancos y empresas de servicios públicos estadounidenses. Dicha operación utilizaba correos electrónicos personalizados y mensajes falsificados de proveedores para solicitar aprobaciones urgentes.

La Oficina del Subreceptor Especial de Illinois perdió $6,85 millones En un incidente de fraude por correo electrónico empresarial, los atacantes combinaron correspondencia falsificada con una verificación de voz convincente para forzar flujos de pago.

En UCLA y en todo el sistema de la Universidad de California, el personal recibió correos electrónicos manipulados con el objetivo de cambiar los datos de depósito directo. Estos mensajes combinaban cuentas falsificadas e ingeniería social para obtener acceso a la nómina y datos confidenciales.

  • Lección: Los mensajes dirigidos a este público se aprovechan de la urgencia y la confianza para eludir los controles rutinarios.
  • Técnica: Los atacantes combinan correo electrónico, voz y otros medios para validar el fraude.
  • Respuesta: Verifique el pago o los cambios en la cuenta utilizando un segundo canal antes de otorgar el acceso.

Equipos de seguridad Se deberían estudiar este tipo de incidentes para ajustar la monitorización de patrones de inicio de sesión inusuales, mejorar la formación en materia de concienciación y reforzar los pasos de verificación que protegen las cuentas y las redes.

Impacto de las operaciones de interrupción en los actores de amenazas

Cuando se elimina la infraestructura utilizada para alojar granjas de credenciales, los atacantes se apresuran a reconstruirla y el volumen de sus campañas suele disminuir. Tras el desmantelamiento de Tycoon2FA en marzo, el volumen de correos electrónicos asociados cayó aproximadamente 151 TP3T durante el resto del mes.

interrupciones coordinadas Obligan a los adversarios a cambiar de servidor, modificar los sistemas de pago y alterar las cadenas de distribución. Esto ralentiza los nuevos ataques y reduce el alcance de los mensajes dañinos durante un tiempo limitado.

Sin embargoLa interrupción no es la solución. Los grupos de ciberdelincuentes se adaptan y migran a plataformas alternativas. Los equipos de seguridad deben considerar las eliminaciones como una oportunidad para obtener ventaja, no como una solución permanente.

“Las interrupciones en las operaciones pueden perjudicar significativamente las campañas basadas en servicios, pero las pruebas de resiliencia y la formación continua siguen siendo esenciales.”

  • Analizar los descensos de nivel permite comprender la capacidad de resistencia de los atacantes y sus plazos.
  • Combine las interrupciones con controles internos más estrictos para proteger los datos confidenciales.
  • Actualizar la formación para que el personal sepa que las interrupciones ayudan, pero no eliminan el riesgo.

Para un análisis detallado del incidente y el contexto operativo, consulte la Informe de respuesta a incidentes de la Unidad 42Mantenerse informado ayuda a las organizaciones a anticipar cambios en las tácticas y a reforzar sus defensas en consecuencia.

Formación esencial en concienciación sobre seguridad

Un programa de concienciación sobre seguridad bien enfocado convierte a los usuarios cotidianos en detectores precoces y fiables de correos electrónicos maliciosos y estafas.

Una formación eficaz es la primera línea de defensa contra los sofisticados ataques de phishing dirigidos a las comunicaciones y los datos empresariales. Debe abarcar mensajes de voz, señuelos en redes sociales y páginas de verificación falsas que roban credenciales.

Los programas deberían enseñar al personal a reconocer patrones en correos electrónicos sospechosos y a verificar las solicitudes inusuales a través de un segundo canal. Simulaciones regulares y los escenarios específicos para cada rol ayudan a los equipos a desarrollar respuestas instintivas.

La formación debe ser continua y adaptarse a las tácticas de amenaza cambiantes. Abordar el cansancio ante la autenticación multifactor y mostrar cómo los atacantes eluden las comprobaciones garantiza que las lecciones sean prácticas y relevantes para cada departamento.

  • Incluya simulaciones cortas y frecuentes, así como ciclos de retroalimentación.
  • Diseñe módulos personalizados para los equipos de finanzas, recursos humanos y atención al cliente.
  • Mida los resultados y actualice el contenido en función de los patrones de incidencias.

“Una cultura de concienciación reduce los ataques exitosos y protege la información crítica.”

Invertir en una capacitación integral en seguridad ayuda a proteger a su personal y sus sistemas. Para conocer los pasos prácticos del programa, consulte los recursos que le ayudarán. Proteja su empresa.

Medidas técnicas de mitigación para redes empresariales

Una estrategia técnica por capas reduce el tiempo durante el cual los enlaces maliciosos y los recolectores de credenciales pueden causar daños. Las empresas deben combinar la detección, los controles de acceso y la monitorización activa para minimizar el riesgo.

Implementar herramientas de correo electrónico avanzadas Estos servicios analizan patrones, inspeccionan redirecciones y bloquean enlaces dañinos antes de que lleguen a los usuarios. Deben detectar comportamientos inusuales del remitente y analizar los archivos adjuntos en busca de scripts ocultos.

Implementar políticas sólidas de autenticación multifactor y acceso. Para evitar el acceso no autorizado a la cuenta incluso cuando las credenciales estén expuestas, utilice acceso condicional y tokens de corta duración para limitar la reutilización de la sesión.

Supervisar la red y los dispositivos finales. para detectar anomalías que indiquen una amenaza activa o malware en los dispositivos. La telemetría de comportamiento ayuda a detectar movimientos laterales y a reducir el impacto de los incidentes.

  • Integra la inspección de correo electrónico con el filtrado web para detectar cadenas de redireccionamiento.
  • Utilice análisis de comportamiento para detectar inicios de sesión extraños y accesos laterales.
  • Revise periódicamente las configuraciones y las fuentes de información sobre amenazas para bloquear nuevos servicios y técnicas.

Combine los controles técnicos con la formación continua.Las herramientas de seguridad reducen el volumen de correos electrónicos y la concienciación proporciona al personal el contexto necesario para informar rápidamente sobre correos electrónicos sospechosos. En conjunto, conforman una defensa sólida para la red y los datos críticos.

Conclusión

Ante la constante adaptación de herramientas y canales por parte de los adversarios, las empresas deben combinar personas, procesos y tecnología para mantenerse a salvo.

Adopte una defensa multicapa: Combine medidas técnicas avanzadas con capacitación continua en seguridad. Esta combinación reduce el riesgo y acorta el tiempo que tienen los atacantes para lograr su objetivo.

Manténgase informado y alerta: Comprender las tácticas en constante evolución ayuda a los equipos a anticipar nuevos señuelos y perfeccionar los controles. Las simulaciones periódicas y las actualizaciones controladas de la autenticación multifactor y la inspección de enlaces mantienen las defensas al día.

En resumen, una postura proactiva, respaldada por herramientas sólidas y personal capacitado, es la mejor manera de limitar los daños causados por las campañas de phishing modernas y proteger los datos y sistemas críticos.