EDUARDO TAMBIÉN ESTÁ EN:

¡Alerta! El nuevo phishing busca convertirse en ti

La tecnología puede bloquear muchas amenazas, pero una persona preparada puede evitar que el atacante encuentre la puerta abierta.

29 de junio, 2026

Jose Luis Garcia

Cartel educativo sobre phishing en un parque: personas usando teléfonos y laptops mientras aparecen sombras de atacantes; mensajes de seguridad en la parte inferior indican verificar antes de confiar, reconocer mensajes y proteger la identidad digital.

Durante mucho tiempo pensamos que el phishing era fácil de reconocer: un correo mal escrito, una liga extraña, una promesa absurda o un archivo sospechoso. Pero esa idea ya se quedó corta. Hoy los ciberdelincuentes están usando inteligencia artificial para crear mensajes más creíbles, más personalizados y mucho más difíciles de detectar. El problema ya no es solo que una persona “dé clic”. El verdadero riesgo es que ese clic le abra la puerta al atacante para entrar a la empresa como si fuera un usuario legítimo.

El correo electrónico sigue siendo una de las principales puertas de entrada. Todos los días recibimos facturas, avisos de bancos, invitaciones a juntas, documentos compartidos, mensajes de proveedores, notificaciones de recursos humanos o solicitudes internas. En medio de esa rutina, un correo falso bien hecho puede pasar desapercibido.

La diferencia es que hoy ese correo ya no llega aislado. Está conectado con todo el ecosistema digital de la empresa: Microsoft 365, Google Workspace, Teams, OneDrive, calendarios, sistemas de facturación, CRM, aplicaciones financieras y plataformas de autorización. Es decir, si el atacante logra robar una cuenta, puede tener acceso a mucho más que una bandeja de entrada.

Aquí está el punto delicado: el atacante no siempre necesita “hackear” un sistema en el sentido tradicional. Muchas veces le basta con engañar a una persona para que entregue su acceso, autorice una aplicación falsa o inicie sesión en una página que parece legítima. Desde ese momento, el delincuente puede leer correos, revisar documentos, conocer conversaciones internas, identificar pagos pendientes, detectar quién autoriza compras y preparar un fraude mucho más convincente.

Con Inteligencia Artificial, este engaño se vuelve más peligroso. Antes, muchos correos falsos se detectaban por errores de redacción o por mensajes mal traducidos. Ahora la IA permite escribir correos correctos, con buen tono, con urgencia creíble y con apariencia profesional. Un mensaje falso puede parecer enviado por un proveedor, un jefe, un cliente o un área interna de la empresa.

Por ejemplo: “Te comparto la minuta de la junta”, “favor de validar la factura adjunta”, “confirma tu acceso al documento”, “actualiza tu sesión para continuar” o “autoriza este movimiento antes del cierre del día”. En apariencia, son mensajes normales de trabajo. En realidad, pueden ser el inicio de un robo de identidad digital.

En 2026 se han documentado casos que muestran hacia dónde va esta amenaza. Microsoft ha reportado el crecimiento de campañas de phishing que usan códigos QR y pantallas falsas de verificación. Barracuda ha señalado que muchos documentos maliciosos ya incluyen códigos QR para llevar a las víctimas a sitios falsos. El FBI alertó sobre Kali365, una plataforma usada por delincuentes para robar accesos de Microsoft 365 y evadir ciertos controles de seguridad. También se ha hablado de plataformas AiTM, como Tycoon 2FA, utilizadas para robar sesiones activas.

¿Qué es una plataforma AiTM? De forma sencilla, es como un intermediario malicioso. La víctima cree que está entrando a un sitio real, como Microsoft o Google, pero en medio está el atacante copiando la información de acceso. Así puede quedarse con credenciales, tokens o sesiones activas. En otras palabras, aunque el usuario haya usado autenticación en dos pasos, el delincuente puede intentar capturar la sesión y entrar como si fuera él.

Esto es muy grave porque la identidad digital se ha convertido en la llave del negocio. Antes protegíamos mucho el servidor o la computadora. Hoy también debemos proteger la cuenta del usuario, porque desde ahí se accede a documentos, juntas, aprobaciones, bases de datos, clientes, proveedores y dinero.

Los riesgos para una empresa son claros: robo de información, fraude financiero, suplantación de identidad, acceso no autorizado a documentos, manipulación de pagos, pérdida de continuidad operativa, daño reputacional y posibles sanciones si hay datos personales comprometidos.

¿Qué pueden hacer las empresas?

Primero, dejar de ver el correo como un sistema aislado. El correo, la identidad digital y las aplicaciones en la nube deben protegerse como una sola superficie de riesgo.

Segundo, fortalecer los controles técnicos: autenticación resistente al phishing, revisión de sesiones activas, alertas por accesos inusuales, control de aplicaciones autorizadas, monitoreo de reglas sospechosas en buzones y capacidad para cerrar sesiones o revocar accesos cuando exista una sospecha.

Tercero, y muy importante, capacitar mejor a los usuarios digitales. No basta con decirles “no des clic”. Esa frase ya no alcanza. Hay que enseñarles a detenerse, observar, verificar y reportar. Deben aprender a reconocer señales como urgencia excesiva, presión emocional, solicitudes fuera de proceso, ligas inesperadas, archivos que no esperaban o mensajes que “parecen normales” pero llegan en un contexto extraño.

La concientización de seguridad debe evolucionar. Ya no se trata de asustar al usuario ni de culparlo cuando se equivoca. Se trata de prepararlo para tomar mejores decisiones en momentos de presión. Porque muchas veces el ataque no va contra la tecnología, va contra la atención, la confianza, la prisa y la reacción humana.

Ese es precisamente el enfoque de PsicoSecurity 360 unir ciberseguridad con psicología cognitiva y neurociencia para fortalecer el criterio, la atención y la respuesta del usuario digital ante los engaños modernos.

La tecnología puede bloquear muchas amenazas, pero una persona preparada puede evitar que el atacante encuentre la puerta abierta.

Fuentes:

1. Microsoft Security Blog – Email threat landscape Q1 2026

Email threat landscape: Q1 2026 trends and insights

2. Barracuda – 2026 Email Threats Report

https://www.barracuda.com/reports/2026-email-threats-report

3. Proofpoint – Tycoon 2FA: Popular AiTM / PhaaS threat

https://www.proofpoint.com/us/blog/threat-insight/disruption-targets-tycoon-2fa-popular-aitm-phaas

4. FBI / IC3 – Alert on Kali365 phishing platform

https://www.ic3.gov/PSA/2026/PSA260521

5. Cloudflare – 2026 Threat Report

https://blog.cloudflare.com/2026-threat-report

Comentarios

Jose Luis Garcia

BIO JOSE LUIS GARCIA José Luis García es Emprendedor y Director General de Grupo ETP. Graduado de la Universidad Autónoma Metropolitana como Ingeniero Industrial, con posgrados en Ciberseguridad y Finanzas por el Tecnológico de Monterrey y CISO Club, ha colaborado en posiciones ejecutivas para empresas como NCR de México, Moore de México y fue socio fundador de Netrix empresa especializada en Seguridad Informática. Durante su carrera profesional ha desarrollado exitosamente la instalación del primer SOC-MSSP de carácter internacional con Verisign, hoy Secure Works, desarrollando proyectos de integración en Seguridad informática, gestión de riesgos, certificación ISO 27000, y Security Awareness entre otros para instituciones como el SAT, SCT, Banorte, BanBajio, HDI, Banco Ve Por Mas, etcétera. Cuenta con las certificaciones Certified Cybersecurity Awareness Professional Certified Cybersecurity Professional por HIPAA y Cybersecurity Awareness – CAPC por CertiProf. Actualmente, dirige ETP Tecnología - unidad de negocios de Grupo ETP - como una empresa especializada en el ramo de la Seguridad de la Información y Gestión de Activos de TI.

See Full Bio