Principales hallazgos de: Panorama de amenazas por correo electrónico: tendencias e información clave del Q1 de 2026 (Microsoft)
Durante el primer trimestre de 2026, Microsoft identificó más de 8.300 millones de amenazas de phishing distribuidas por correo electrónico, confirmando que este tipo de ataque no solo se mantiene como el principal vector de entrada para el cibercrimen, sino que está mutando rápidamente en sus formas y tácticas. Aunque el volumen mensual mostró una leve reducción, los datos revelan un cambio estructural: el 78% de las amenazas se basan ya en enlaces maliciosos, y el robo de credenciales corporativas concentró más del 90% de las cargas maliciosas, desplazando al malware tradicional como objetivo principal.
Uno de los giros más relevantes del periodo fue el crecimiento acelerado del phishing mediante códigos QR, que aumentó 146% en solo tres meses, junto con la proliferación de CAPTCHAs falsos utilizados para engañar a los usuarios y evadir los sistemas de detección automática. Al mismo tiempo, operaciones conjuntas contra infraestructuras criminales, como la interrupción de la plataforma Tycoon2FA, demostraron que es posible reducir el impacto de estas amenazas, aunque también dejaron en evidencia la capacidad de adaptación del ecosistema delictivo. El resultado es un panorama de amenazas más dinámico, profesionalizado y persistente, con implicaciones directas para empresas, organizaciones públicas y usuarios.
Estos son los principales hallazgos del reporte de Microsoft:
1. El phishing cambia de estrategia, no de escala
- 8.300 millones de amenazas de phishing fueron detectadas en el primer trimestre de 2026.
- 78% de los ataques se basaron en enlaces maliciosos, frente a cargas locales.
- El phishing de credenciales representó aproximadamente 94% de las cargas maliciosas en marzo.
El objetivo de los atacantes ya no es infectar dispositivos, sino robar identidades válidas para acceder a sistemas empresariales.
2. Los códigos QR se disparan como el vector de ataque de más rápido crecimiento
- El phishing con códigos QR creció 146% en el trimestre, pasando de 7,6 millones de ataques en enero a 18,7 millones en marzo.
- El formato favorito de los atacantes son los PDF, presentes en 7 de cada 10 ataques con QR.
- Emergen con fuerza los QR incrustados directamente en el cuerpo del correo, que crecieron 336% en marzo, eliminando la necesidad de archivos adjuntos.
Los códigos QR se están convirtiendo en un arma clave del phishing moderno, especialmente contra usuarios móviles.
3. CAPTCHAs falsos: una nueva capa de engaño
- El phishing protegido con CAPTCHA falso se duplicó en marzo (+125%), alcanzando 11,9 millones de ataques, el punto más alto del último año.
- Los atacantes usan CAPTCHAs como barrera antifraude inversa: engañan al usuario y bloquean los análisis automatizados.
- Los PDF maliciosos con CAPTCHA crecieron 356% solo en marzo, convirtiéndose en el principal vehículo de este tipo de ataques.
Elementos asociados a la seguridad están siendo reutilizados como herramientas de fraude.
4. Tycoon2FA: impacto de las interrupciones contra el cibercrimen
- Tras una operación coordinada liderada por Microsoft, Europol y socios de la industria, la infraestructura de Tycoon2FA, una de las plataformas de phishing como servicio más grandes del mundo, quedó significativamente debilitada.
- El volumen de correos asociados cayó 15% en marzo, y el acceso a páginas de phishing activas se redujo de forma notable.
- Sin embargo, el grupo se adaptó rápidamente, cambiando proveedores de alojamiento y patrones de dominios, lo que muestra una recuperación parcial, no total.
Las acciones contra el cibercrimen sí generan impacto, pero requieren continuidad frente a actores altamente adaptables.
5. Campañas masivas con alto nivel de personalización
- En solo tres días, una campaña distribuyó más de 1,2 millones de correos maliciosos a 53.000 organizaciones en 23 países.
- Los atacantes usaron archivos SVG personalizados, con nombres que incluían datos del destinatario codificados en Base64.
- Tras pasar un CAPTCHA falso, las víctimas eran redirigidas a páginas de inicio de sesión fraudulentas para robar credenciales.
El phishing está combinando escala industrial y personalización, una mezcla especialmente peligrosa para las organizaciones.
6. El compromiso de correo empresarial (BEC) sigue siendo una amenaza silenciosa
- Microsoft registró 10,7 millones de ataques BEC en el trimestre.
- Entre 82% y 84% de los ataques comienzan con mensajes genéricos como “¿estás disponible?”, buscando establecer confianza antes del fraude.
- Las solicitudes financieras directas son minoría, pero siguen activas, con picos estacionales (nómina, tarjetas regalo).
Muchos fraudes comienzan sin alertas técnicas, como simples intercambios de correo.
7. Qué deben saber las organizaciones (y los usuarios)
- La mayoría de los ataques actuales no usan malware tradicional, sino ingeniería social avanzada.
- El correo electrónico sigue siendo la principal puerta de entrada para comprometer identidades corporativas.
- La combinación de defensas tecnológicas + educación del usuario es clave para reducir el impacto real.
Los hallazgos del primer trimestre de 2026 confirman que el phishing por correo electrónico atraviesa una fase de madurez y sofisticación, en la que los atacantes priorizan el robo de credenciales, el abuso de elementos visuales aparentemente legítimos (como códigos QR y CAPTCHAs) y campañas capaces de combinar volumen masivo con personalización dirigida. Lejos de depender únicamente del malware tradicional, las amenazas actuales se apoyan cada vez más en ingeniería social y en el aprovechamiento de la confianza del usuario como principal vector de ataque.
Al mismo tiempo, las acciones coordinadas contra infraestructuras criminales demuestran que la interrupción del cibercrimen es posible y efectiva, aunque insuficiente por sí sola frente a un ecosistema altamente adaptable. El panorama descrito refuerza la necesidad de un enfoque integral que combine tecnología de protección avanzada, inteligencia de amenazas, educación del usuario y colaboración entre industria y sector público, como pilares esenciales para contener una amenaza que sigue evolucionando al ritmo de la transformación digital.
Leave a Reply