Seattle – El ‘phishing’, donde los ciberdelincuentes se disfrazan de una entidad confiable, como un banco, una agencia gubernamental o un servicio de entrega, es la amenaza cibernética número uno que enfrentan la mayoría de los estadounidenses. Estos correos electrónicos y mensajes de texto, diseñados para engañar a las personas y hacerles revelar información sensible, como números de Seguro Social, contraseñas o números de tarjetas de crédito, son responsables de la mayoría de los delitos cibernéticos, según el Informe de Delitos en Línea de la FBI de 2026.
La cantidad de ataques, mediante correo electrónico y mensajes de texto, es abrumadora. Durante el primer trimestre de 2026, la inteligencia de amenazas de Microsoft detectó aproximadamente 8.300 millones de amenazas de phishing basadas en correo electrónico.
El phishing mediante mensajes de texto (llamado ‘smishing’) ahora es el método principal de ataque, representando el 30 por ciento de todas las estafas cibernéticas observadas el año pasado, según el Informe de Preparación Cibernética.
Los ataques de phishing ya no se limitan al correo electrónico y los mensajes de texto. Los delincuentes cibernéticos están utilizando aplicaciones de mensajería instantánea, redes sociales, anuncios maliciosos, códigos QR falsos y sitios web falsos para atacar a sus víctimas.
John Castro mira su computadora durante una clase sobre fundamentos de teclado ofrecida por Free Geek el jueves, 15 de mayo de 2025, en Portland, Oregón. (AP Photo/Jenny Kane)
“Las tácticas que funcionaban antes de la década de 2010 ya no son las mismas hoy”, dijo Mark Beare, gerente general para el negocio de consumidores en Malwarebytes, una empresa de seguridad digital. “Son mucho, mucho, mucho más avanzadas”.
El phishing se ha vuelto tan rentable, según Beare, que los actores maliciosos están “escogiendo invertir dinero para engañar a la gente, al igual que las empresas de marketing lo hacen para adquirir clientes”.
El término ‘phishing’ fue oficialmente acuñado alrededor de 1995 para describir a los criminales que usaban ‘bait’ digital para ‘atraer’ a las víctimas a compartir información sensible.
Hemos avanzado mucho desde los correos electrónicos de ‘príncipe nigeriano’ que decían que se podría ganar dinero ayudando a mover millones de dólares de África. Esos correos electrónicos normalmente tenían errores de ortografía y errores gramaticales.
La mayoría de los ataques de phishing aún dependen de trucos de ingeniería social, usando el miedo, la urgencia, la curiosidad y las apelaciones emocionales para manipular a las personas y hacerles comprometer su seguridad. Involucran mensajes falsos y correos electrónicos que dicen que hay un problema con la entrega de un paquete, advierten que se debe pagar una tarifa de estacionamiento o que hay un problema con la devolución de impuestos. Estos se diseñan para hacer que respondas inmediatamente, sin pensar.
Los últimos ataques se han convertido en campañas altamente sofisticadas que son difíciles de detectar. Aquí hay dos ejemplos de esta nueva amenaza: invitaciones falsas y formularios de CAPTCHA corrompidos.
Los estafadores saben que la mayoría de las personas abrirán una invitación electrónica a una fiesta o reunión social. Por eso envían invitaciones maliciosas que parecen provenir de una plataforma de invitaciones bien conocida, como Evite, Paperless Post o Punchbowl.
“Aunque el miedo y la urgencia son hilos comunes en muchos estafas, no son requisitos”, dijo Eva Velasquez, CEO de la organización sin fines de lucro Identity Theft Resource Center. “Con el ataque de phishing mediante Evite, los fraudeadores están usando tu deseo de conexión y ser social para hacer que hagas clic en un enlace que no esperabas”.
Si haces clic en el enlace, pueden pasar cosas malas: o bien se descargará malware en tu dispositivo, permitiendo a los criminales robar tu información personal, o serás redirigido a un sitio web falso del estafador que te pedirá que ingreses tu contraseña de correo electrónico, lo que dará a los estafadores acceso directo a tu cuenta de correo electrónico, lo cual puede tener consecuencias graves.
Puede que no consideres tu cuenta de correo como sensible, pero “es la llave del reino”, advirtió Velasquez, porque si los criminales pueden comprometer tu cuenta de correo, pueden usarla para reiniciar contraseñas en otras cuentas. Por lo tanto, nunca ingreses tu contraseña de correo electrónico por cualquier motivo, excepto para iniciar sesión en tu cuenta de correo.
Revisa el remitente del correo electrónico.
La invitación siempre vendrá desde la URL oficial de la empresa. Si hay una dirección de correo electrónico personal, como Gmail, Yahoo o Hotmail, es falsa.
Muchos sitios web requieren que pruebes que eres humano, no un robot, antes de poder iniciar sesión. Un método común es la verificación CAPTCHA.
Normalmente, te muestran una cuadrícula de imágenes y te piden que hagas clic en objetos (como semáforos, automóviles o bicicletas), o te pedirán que escribas una serie de letras o números distorsionados que se muestran en la pantalla.
Como vemos desafíos CAPTCHA con tanta frecuencia, podemos responder automáticamente como se nos indica para probar que no somos robots y llegar a la siguiente pantalla. Según Malwarebytes, la genialidad de este ataque es mezclar algo rutinario con instrucciones que no son.
Hay muchas variaciones del fraude CAPTCHA, pero la más común comienza con una orden maliciosa que se copia automáticamente en tu portapapeles, junto con instrucciones para ejecutarla en el cuadro de diálogo de ejecución de Windows (Win + R). La imagen de abajo de Malwarebytes muestra un CAPTCHA real a la izquierda y uno falso debajo.
Protege tu cuenta: Un CAPTCHA legítimo nunca te pedirá que…
Compartir en Twitter: Phishing ataca 14 veces al día a estadounidenses
