EDUARDO TAMBIÉN ESTÁ EN:

Phishing, Smishing y Vishing: la nueva ola de fraudes digitales que amenaza a México

Las empresas y ciudadanos que desarrollen esta cultura de prevención no solo reducirán fraudes, sino que también ganarán confianza, reputación y estabilidad en un entorno cada vez más hostil.

16 de octubre, 2025

Jose Luis Garcia

Durante 2025, los ataques de phishing, Smishing y Vishing han alcanzado niveles sin precedentes. La combinación de fugas masivas de datos personales, el uso de inteligencia artificial para crear mensajes más creíbles y el aumento de la conectividad móvil han creado el escenario perfecto para los cibercriminales.
Este artículo explica cómo han evolucionado estas tácticas, por qué México se ha convertido en un blanco atractivo y qué medidas prácticas puedes aplicar para evitar caer en sus trampas.

¿Qué tan grave es la situación?

El phishing sigue siendo la amenaza más común del cibercrimen mundial, y México está viviendo un incremento sin precedentes.

Según Cloudflare, durante el primer trimestre de 2025 se registraron en el país alrededor de 59 millones de ciberataques diarios, siendo el phishing la modalidad más reportada. Por su parte, La Jornada informó que 13.5 millones de internautas mexicanos han sido víctimas de engaños digitales, con pérdidas promedio de $8,750 pesos por incidente.

En paralelo, múltiples bases de datos se han filtrado y vendido en foros clandestinos. Por ejemplo, en publicaciones en la red social X y Publimetro por parte de Ignacio Gómez Villaseñor se informa de la venta de información de 1.8 millones de clientes de Telcel, así como del IMSS, Bancoppel, Consubanco y Banco Azteca y una mega filtración de un call center que expuso los datos de más de 7 millones de mexicanos, incluyendo números telefónicos y perfiles de servicio. Estas fugas están alimentando campañas de engaño cada vez más personalizadas y efectivas.

Tipos de ataque y cómo operan

· Phishing (correo electrónico): Mensajes falsos que simulan provenir de bancos, paqueterías o instituciones gubernamentales, con enlaces a sitios fraudulentos que roban credenciales.

· Smishing (mensajes de texto o mensajería instantánea): Enlaces maliciosos enviados por SMS o WhatsApp que aparentan provenir de servicios conocidos.

· Vishing (llamadas telefónicas): Suplantación de empleados o autoridades mediante voz —a menudo generada por IA— para obtener información o inducir transferencias.

· Spear-phishing: Ataques altamente personalizados que utilizan datos reales del usuario o empresa para generar confianza.

· BEC (Business Email Compromise): Fraudes empresariales en los que los criminales suplantan a directivos o proveedores para solicitar pagos o transferencias urgentes.

Hoy los atacantes combinan estas tácticas: un SMS (Smishing) puede dirigir a la víctima a una llamada (Vishing), o un correo con un código QR redirige a un sitio falso (Phishing). La integración de IA generativa ha vuelto estos engaños casi indistinguibles de una comunicación legítima.

Fugas de datos: la gasolina del fraude

Cada vez que una base de datos se filtra de una empresa, gobierno o proveedor, los atacantes obtienen la materia prima para construir engaños creíbles.
Con nombres, correos, teléfonos, direcciones y hábitos de consumo, pueden personalizar mensajes, pasar verificaciones y ejecutar ataques de “recuperación de cuenta” o de “actualización de información”.

En 2025, México ha sufrido varias filtraciones relevantes. Además de los casos de antes mencionados, se han reportado vulneraciones en dependencias federales donde se comprometieron datos de empleados y contratistas. Estas bases son revendidas o intercambiadas en foros clandestinos para alimentar campañas de suplantación de identidad, extorsión o fraudes financieros.

Los beneficios para los atacantes son claros: acceso a cuentas, transferencias de dinero, venta de datos personales y control sobre identidades digitales que pueden usarse para nuevos fraudes.

¿Quiénes son los blancos principales?

Los ataques ya no distinguen tamaño ni perfil. En las empresas, los delincuentes suelen dirigirse a áreas financieras, contables y de operaciones, así como a proveedores o socios con acceso a sistemas. Buscan explotar relaciones de confianza para lograr transferencias o robo de información.

En el caso de las personas, los objetivos más frecuentes son usuarios de banca en línea, contribuyentes, compradores digitales y solicitantes de empleo. Los datos filtrados permiten ataques cada vez más específicos, con mensajes y llamadas que parecen legítimos.

Medidas esenciales para protegerse

1. Verifica por un canal independiente

Ante cualquier solicitud de pago, transferencia o actualización de datos, confirma por teléfono o dentro del sistema oficial. Nunca respondas directamente al correo o mensaje recibido.

2. Controla las notificaciones push

Si usas autenticación con notificaciones, evita el “push ilimitado”. Los atacantes pueden enviar múltiples solicitudes hasta que apruebes una por error. Configura límites o revisa cada solicitud antes de aceptarla.

3. Fortalece el filtrado y monitoreo

Usa sistemas de seguridad como antivirus que detecten como dominios sospechosos, enlaces falsos o códigos QR en correos. En dispositivos móviles, habilita filtros de SMS y bloqueadores de llamadas desconocidas. Supervisa accesos fallidos y operaciones inusuales.

4. Capacita con ejercicios reales

Más allá de teorías, realiza simulaciones adaptadas al entorno (correos, llamadas o mensajes) para que los equipos aprendan a identificar fraudes en situaciones realistas.

5. Evalúa la seguridad de tus proveedores

Muchas brechas provienen de terceros. Asegúrate de que a servicios como call centers, servicios de soporte, recursos humanos, contables o aliados tecnológicos manejen correctamente los datos.

6. Evita enlaces en mensajes falsos

Si recibes un aviso de cobro, trámite o notificación oficial, no des clic ni respondas. Busca directamente la página oficial o comunícate por un número verificado.

7. Reporta y conserva evidencia

En México, los incidentes se pueden reportar al 088 de la Guardia Nacional o a la Policía Cibernética Estatal. Guarda capturas, números y enlaces sospechosos antes de eliminarlos.

Conclusión

2025 marca un punto de inflexión: la cantidad de datos expuestos y la sofisticación de los ataques están generando una tormenta perfecta para individuos y organizaciones. Ya no basta con tener antivirus o firewalls; la seguridad depende de las personas.

Fortalecer los accesos, educar continuamente a los usuarios, exigir buenas prácticas a proveedores y reaccionar con rapidez ante incidentes son hoy los pilares de una verdadera resiliencia digital.

Las empresas y ciudadanos que desarrollen esta cultura de prevención no solo reducirán fraudes, sino que también ganarán confianza, reputación y estabilidad en un entorno cada vez más hostil.

Comentarios

Jose Luis Garcia

BIO JOSE LUIS GARCIA José Luis García es Emprendedor y Director General de Grupo ETP. Graduado de la Universidad Autónoma Metropolitana como Ingeniero Industrial, con posgrados en Ciberseguridad y Finanzas por el Tecnológico de Monterrey y CISO Club, ha colaborado en posiciones ejecutivas para empresas como NCR de México, Moore de México y fue socio fundador de Netrix empresa especializada en Seguridad Informática. Durante su carrera profesional ha desarrollado exitosamente la instalación del primer SOC-MSSP de carácter internacional con Verisign, hoy Secure Works, desarrollando proyectos de integración en Seguridad informática, gestión de riesgos, certificación ISO 27000, y Security Awareness entre otros para instituciones como el SAT, SCT, Banorte, BanBajio, HDI, Banco Ve Por Mas, etcétera. Cuenta con las certificaciones Certified Cybersecurity Awareness Professional Certified Cybersecurity Professional por HIPAA y Cybersecurity Awareness – CAPC por CertiProf. Actualmente, dirige ETP Tecnología - unidad de negocios de Grupo ETP - como una empresa especializada en el ramo de la Seguridad de la Información y Gestión de Activos de TI.

See Full Bio