🚀 Evaluando Campaña...
ruiz healy times (rht_t_0): Esperando...

El C-Level bajo ataque: Spear Phishing en México y LATAM 2025

Las empresas que fortalezcan a sus personas clave y a los equipos que las rodean no solo reducirán el riesgo de fraude, sino que también blindarán la continuidad de su negocio.

9 de septiembre, 2025

El Spear Phishing son correos o mensajes diseñados a la medida de la víctima y se ha convertido en una de las amenazas más efectivas en México y Latinoamérica. A diferencia del phishing masivo, aquí el atacante investiga a su blanco para lograr mayor credibilidad.

En México, The CIU (The Competitive Intelligence Unit) reporta más de 13.5 millones de personas afectadas en 2024 por fraudes digitales, y Kaspersky registró un aumento global del 26% en intentos de phishing. En la región, este vector sigue siendo la puerta de entrada principal a fraudes tipo BEC (Business Email Compromise).

¿Quiénes son los blancos principales?

Los perfiles más atacados son CEO y CFO, áreas de finanzas, compras, recursos humanos (RH), así como asistentes ejecutivos y proveedores críticos. ¿Por qué? Porque tienen acceso a pagos, datos sensibles o capacidad de autorizar procesos clave.

mo operan: técnicas, tácticas y procedimientos

· Suplantación de RH: correos con asuntos como Ajuste Salaria incluyen un enlace falso a OneDrive para “ver el ajuste de sueldo”. Al abrirlo, el empleado entrega sus credenciales en un portal clonado de Microsoft.

· Dominios rotados: los atacantes usan decenas de dominios/subdominios distintos y los cambian constantemente; cuando uno es bloqueado, ya tienen otro listo para seguir operando.

· Envío vía Amazon SES: se aprovechan de este servicio legítimo de Amazon para dar apariencia confiable a los correos y mejorar la tasa de entrega.

  • Adversary-in-the-Middle (AiTM): el sitio malicioso actúa como “intermediario” entre usuario y servicio real, roba la cookie de sesión y así permite al atacante saltarse incluso la autenticación multifactor (MFA).

Impacto en las empresas

El Spear Phishing no solo genera pérdidas financieras directas. También permite:

· Robo de credenciales para entrar a sistemas internos.

· Acceso lateral: Moverse dentro de la red para comprometer más cuentas o servidores.

· Exposición de datos y afectación de la reputación corporativa.

¿Qué pueden hacer las empresas?

1. Concientización continua

Programas dirigidos a directivos y sus equipos cercanos (finanzas, RH, compras), con microcapacitaciones y simulaciones realistas y personalizadas con IA. Estos programas reducen la tasa de clic y aumentan la capacidad de reporte oportuno.

2. Verificación fuera de autenticación (fuera de banda)

Confirmar órdenes de pago o solicitudes críticas usando otro canal: llamar al teléfono registrado en el sistema, no al que aparece en el correo.

3. MFA resistente a phishing

Implementar passkeys o llaves FIDO2, que reducen el riesgo de que cookies de sesión robadas sean reutilizadas.

4. Autenticación de correo: SPF, DKIM y DMARC

o SPF (Sender Policy Framework): Define qué servidores están autorizados a enviar en nombre del dominio.

o DKIM (DomainKeys Identified Mail): Agrega firmas digitales al correo.

o DMARC (Domain-based Message Authentication, Reporting & Conformance): Alinea SPF y DKIM, y permite a la empresa publicar una política (ej. rechazar correos falsos).

5. Detección y respuesta en correo

Sistemas que identifiquen suplantaciones de proveedores, bloqueen enlaces maliciosos y disparen alertas tempranas.

Conclusión

El Spear Phishing ya no es un simple engaño masivo: combina ingeniería social con infraestructura rotativa (dominios efímeros, múltiples servicios en la nube, URLs de un solo uso) para mantener viva la campaña pese a bloqueos. Estas operaciones, cada vez más impulsadas por IA, pueden engañar incluso a usuarios experimentados.

La defensa requiere una estrategia integral:

· Concientización enfocada en VIPs,

· Procesos de verificación fuera de banda,

· MFA y correo autenticado con DMARC,

· Detección activa de campañas en curso.

Las empresas que fortalezcan a sus personas clave y a los equipos que las rodean no solo reducirán el riesgo de fraude, sino que también blindarán la continuidad de su negocio en un entorno donde los atacantes se vuelven cada día más creativos.

Fuentes:

Stripe OLT https://stripeolt.com/knowledge-hub/expert-intel/analysing-targeted-spearphishing/?utm

Kaspersky https://www.kaspersky.com/about/press-releases

Microsoft Threat Intelligence https://www.microsoft.com/en-us/security/blog/2022/07/12/

The CIU Reporte de fraudes digitales 2024 https://www.theciu.com/

SANS Security Awareness Report 2025 https://www.sans.org/for-organizations/workforce/resources/security-awareness-report

Comentarios

author avatar
Jose Luis Garcia
BIO JOSE LUIS GARCIA José Luis García es Emprendedor y Director General de Grupo ETP. Graduado de la Universidad Autónoma Metropolitana como Ingeniero Industrial, con posgrados en Ciberseguridad y Finanzas por el Tecnológico de Monterrey y CISO Club, ha colaborado en posiciones ejecutivas para empresas como NCR de México, Moore de México y fue socio fundador de Netrix empresa especializada en Seguridad Informática. Durante su carrera profesional ha desarrollado exitosamente la instalación del primer SOC-MSSP de carácter internacional con Verisign, hoy Secure Works, desarrollando proyectos de integración en Seguridad informática, gestión de riesgos, certificación ISO 27000, y Security Awareness entre otros para instituciones como el SAT, SCT, Banorte, BanBajio, HDI, Banco Ve Por Mas, etcétera. Cuenta con las certificaciones Certified Cybersecurity Awareness Professional Certified Cybersecurity Professional por HIPAA y Cybersecurity Awareness – CAPC por CertiProf. Actualmente, dirige ETP Tecnología - unidad de negocios de Grupo ETP - como una empresa especializada en el ramo de la Seguridad de la Información y Gestión de Activos de TI.
Cuatro maneras de experimentar con la inteligencia artificial en el aula universitaria

¿Quién decide cómo enseñar cuando la inteligencia artificial entra en el aula?

Imaginemos a una profesora de periodismo. Lleva años enseñando a sus estudiantes a escribir reportajes: a buscar la fuente, a estructurar el...

junio 17, 2026
Group of diverse friends at a stadium, each looking at smartphones with glowing security shields on their chests amid confetti and soccer balls overhead.

¡Que no te metan un gol digital! Un campeonato también se juega en tu mente

Hoy los cibercriminales no necesitan hackear primero la tecnología. Muchas veces empiezan hackeando la emoción.

junio 16, 2026




Más de categoría
Cartel educativo sobre phishing en un parque: personas usando teléfonos y laptops mientras aparecen sombras de atacantes; mensajes de seguridad en la parte inferior indican verificar antes de confiar, reconocer mensajes y proteger la identidad digital.

¡Alerta! El nuevo phishing busca convertirse en ti

La tecnología puede bloquear muchas amenazas, pero una persona preparada puede evitar que el atacante encuentre la puerta abierta.

junio 29, 2026

99.9% Idénticos, 0.1% extraordinarios

Dicen que todos somos diferentes. La ciencia responde: sí... pero muchísimo menos de lo que imaginamos.

junio 29, 2026
Illustration of a man in a gray suit with a headset, sitting at a desk and speaking into a microphone during a call-center chat.

MARBLISM: AGENTES DE IA A TU SERVICIO

En este vibrante junio de 2026, la Inteligencia Artificial ha dejado de ser un juguete para redactar correos y...

junio 26, 2026
Cuatro maneras de experimentar con la inteligencia artificial en el aula universitaria

¿Quién decide cómo enseñar cuando la inteligencia artificial entra en el aula?

Imaginemos a una profesora de periodismo. Lleva años enseñando a sus estudiantes a escribir reportajes: a buscar la fuente,...

junio 17, 2026