EDUARDO TAMBIÉN ESTÁ EN:

El C-Level bajo ataque: Spear Phishing en México y LATAM 2025

Las empresas que fortalezcan a sus personas clave y a los equipos que las rodean no solo reducirán el riesgo de fraude, sino que también blindarán la continuidad de su negocio.

9 de septiembre, 2025

Jose Luis Garcia

El Spear Phishing son correos o mensajes diseñados a la medida de la víctima y se ha convertido en una de las amenazas más efectivas en México y Latinoamérica. A diferencia del phishing masivo, aquí el atacante investiga a su blanco para lograr mayor credibilidad.

En México, The CIU (The Competitive Intelligence Unit) reporta más de 13.5 millones de personas afectadas en 2024 por fraudes digitales, y Kaspersky registró un aumento global del 26% en intentos de phishing. En la región, este vector sigue siendo la puerta de entrada principal a fraudes tipo BEC (Business Email Compromise).

¿Quiénes son los blancos principales?

Los perfiles más atacados son CEO y CFO, áreas de finanzas, compras, recursos humanos (RH), así como asistentes ejecutivos y proveedores críticos. ¿Por qué? Porque tienen acceso a pagos, datos sensibles o capacidad de autorizar procesos clave.

Cómo operan: técnicas, tácticas y procedimientos

· Suplantación de RH: correos con asuntos como “Ajuste Salaria” incluyen un enlace falso a OneDrive para “ver el ajuste de sueldo”. Al abrirlo, el empleado entrega sus credenciales en un portal clonado de Microsoft.

· Dominios rotados: los atacantes usan decenas de dominios/subdominios distintos y los cambian constantemente; cuando uno es bloqueado, ya tienen otro listo para seguir operando.

· Envío vía Amazon SES: se aprovechan de este servicio legítimo de Amazon para dar apariencia confiable a los correos y mejorar la tasa de entrega.

Adversary-in-the-Middle (AiTM): el sitio malicioso actúa como “intermediario” entre usuario y servicio real, roba la cookie de sesión y así permite al atacante saltarse incluso la autenticación multifactor (MFA).

Impacto en las empresas

El Spear Phishing no solo genera pérdidas financieras directas. También permite:

· Robo de credenciales para entrar a sistemas internos.

· Acceso lateral: Moverse dentro de la red para comprometer más cuentas o servidores.

· Exposición de datos y afectación de la reputación corporativa.

¿Qué pueden hacer las empresas?

1. Concientización continua

Programas dirigidos a directivos y sus equipos cercanos (finanzas, RH, compras), con microcapacitaciones y simulaciones realistas y personalizadas con IA. Estos programas reducen la tasa de clic y aumentan la capacidad de reporte oportuno.

2. Verificación fuera de autenticación (fuera de banda)

Confirmar órdenes de pago o solicitudes críticas usando otro canal: llamar al teléfono registrado en el sistema, no al que aparece en el correo.

3. MFA resistente a phishing

Implementar passkeys o llaves FIDO2, que reducen el riesgo de que cookies de sesión robadas sean reutilizadas.

4. Autenticación de correo: SPF, DKIM y DMARC

o SPF (Sender Policy Framework): Define qué servidores están autorizados a enviar en nombre del dominio.

o DKIM (DomainKeys Identified Mail): Agrega firmas digitales al correo.

o DMARC (Domain-based Message Authentication, Reporting & Conformance): Alinea SPF y DKIM, y permite a la empresa publicar una política (ej. rechazar correos falsos).

5. Detección y respuesta en correo

Sistemas que identifiquen suplantaciones de proveedores, bloqueen enlaces maliciosos y disparen alertas tempranas.

Conclusión

El Spear Phishing ya no es un simple engaño masivo: combina ingeniería social con infraestructura rotativa (dominios efímeros, múltiples servicios en la nube, URLs de un solo uso) para mantener viva la campaña pese a bloqueos. Estas operaciones, cada vez más impulsadas por IA, pueden engañar incluso a usuarios experimentados.

La defensa requiere una estrategia integral:

· Concientización enfocada en VIPs,

· Procesos de verificación fuera de banda,

· MFA y correo autenticado con DMARC,

· Detección activa de campañas en curso.

Las empresas que fortalezcan a sus personas clave y a los equipos que las rodean no solo reducirán el riesgo de fraude, sino que también blindarán la continuidad de su negocio en un entorno donde los atacantes se vuelven cada día más creativos.

Fuentes:

Stripe OLT https://stripeolt.com/knowledge-hub/expert-intel/analysing-targeted-spearphishing/?utm

Kaspersky https://www.kaspersky.com/about/press-releases

Microsoft Threat Intelligence https://www.microsoft.com/en-us/security/blog/2022/07/12/

The CIU Reporte de fraudes digitales 2024 https://www.theciu.com/

SANS Security Awareness Report 2025 https://www.sans.org/for-organizations/workforce/resources/security-awareness-report

Comentarios

Jose Luis Garcia

BIO JOSE LUIS GARCIA José Luis García es Emprendedor y Director General de Grupo ETP. Graduado de la Universidad Autónoma Metropolitana como Ingeniero Industrial, con posgrados en Ciberseguridad y Finanzas por el Tecnológico de Monterrey y CISO Club, ha colaborado en posiciones ejecutivas para empresas como NCR de México, Moore de México y fue socio fundador de Netrix empresa especializada en Seguridad Informática. Durante su carrera profesional ha desarrollado exitosamente la instalación del primer SOC-MSSP de carácter internacional con Verisign, hoy Secure Works, desarrollando proyectos de integración en Seguridad informática, gestión de riesgos, certificación ISO 27000, y Security Awareness entre otros para instituciones como el SAT, SCT, Banorte, BanBajio, HDI, Banco Ve Por Mas, etcétera. Cuenta con las certificaciones Certified Cybersecurity Awareness Professional Certified Cybersecurity Professional por HIPAA y Cybersecurity Awareness – CAPC por CertiProf. Actualmente, dirige ETP Tecnología - unidad de negocios de Grupo ETP - como una empresa especializada en el ramo de la Seguridad de la Información y Gestión de Activos de TI.

See Full Bio