Durante 2025, los ataques de phishing, Smishing y Vishing han alcanzado niveles sin precedentes. La combinación de fugas masivas de datos personales, el uso de inteligencia artificial para crear mensajes más creíbles y el aumento de la conectividad móvil han creado el escenario perfecto para los cibercriminales.
Este artículo explica cómo han evolucionado estas tácticas, por qué México se ha convertido en un blanco atractivo y qué medidas prácticas puedes aplicar para evitar caer en sus trampas.
¿Qué tan grave es la situación?
El phishing sigue siendo la amenaza más común del cibercrimen mundial, y México está viviendo un incremento sin precedentes.
Según Cloudflare, durante el primer trimestre de 2025 se registraron en el país alrededor de 59 millones de ciberataques diarios, siendo el phishing la modalidad más reportada. Por su parte, La Jornada informó que 13.5 millones de internautas mexicanos han sido víctimas de engaños digitales, con pérdidas promedio de $8,750 pesos por incidente.
En paralelo, múltiples bases de datos se han filtrado y vendido en foros clandestinos. Por ejemplo, en publicaciones en la red social X y Publimetro por parte de Ignacio Gómez Villaseñor se informa de la venta de información de 1.8 millones de clientes de Telcel, así como del IMSS, Bancoppel, Consubanco y Banco Azteca y una mega filtración de un call center que expuso los datos de más de 7 millones de mexicanos, incluyendo números telefónicos y perfiles de servicio. Estas fugas están alimentando campañas de engaño cada vez más personalizadas y efectivas.
Tipos de ataque y cómo operan
· Phishing (correo electrónico): Mensajes falsos que simulan provenir de bancos, paqueterías o instituciones gubernamentales, con enlaces a sitios fraudulentos que roban credenciales.
· Smishing (mensajes de texto o mensajería instantánea): Enlaces maliciosos enviados por SMS o WhatsApp que aparentan provenir de servicios conocidos.
· Vishing (llamadas telefónicas): Suplantación de empleados o autoridades mediante voz —a menudo generada por IA— para obtener información o inducir transferencias.
· Spear-phishing: Ataques altamente personalizados que utilizan datos reales del usuario o empresa para generar confianza.
· BEC (Business Email Compromise): Fraudes empresariales en los que los criminales suplantan a directivos o proveedores para solicitar pagos o transferencias urgentes.
Hoy los atacantes combinan estas tácticas: un SMS (Smishing) puede dirigir a la víctima a una llamada (Vishing), o un correo con un código QR redirige a un sitio falso (Phishing). La integración de IA generativa ha vuelto estos engaños casi indistinguibles de una comunicación legítima.
Fugas de datos: la gasolina del fraude
Cada vez que una base de datos se filtra de una empresa, gobierno o proveedor, los atacantes obtienen la materia prima para construir engaños creíbles.
Con nombres, correos, teléfonos, direcciones y hábitos de consumo, pueden personalizar mensajes, pasar verificaciones y ejecutar ataques de “recuperación de cuenta” o de “actualización de información”.
En 2025, México ha sufrido varias filtraciones relevantes. Además de los casos de antes mencionados, se han reportado vulneraciones en dependencias federales donde se comprometieron datos de empleados y contratistas. Estas bases son revendidas o intercambiadas en foros clandestinos para alimentar campañas de suplantación de identidad, extorsión o fraudes financieros.
Los beneficios para los atacantes son claros: acceso a cuentas, transferencias de dinero, venta de datos personales y control sobre identidades digitales que pueden usarse para nuevos fraudes.
¿Quiénes son los blancos principales?
Los ataques ya no distinguen tamaño ni perfil. En las empresas, los delincuentes suelen dirigirse a áreas financieras, contables y de operaciones, así como a proveedores o socios con acceso a sistemas. Buscan explotar relaciones de confianza para lograr transferencias o robo de información.
En el caso de las personas, los objetivos más frecuentes son usuarios de banca en línea, contribuyentes, compradores digitales y solicitantes de empleo. Los datos filtrados permiten ataques cada vez más específicos, con mensajes y llamadas que parecen legítimos.
Medidas esenciales para protegerse
1. Verifica por un canal independiente
Ante cualquier solicitud de pago, transferencia o actualización de datos, confirma por teléfono o dentro del sistema oficial. Nunca respondas directamente al correo o mensaje recibido.
2. Controla las notificaciones push
Si usas autenticación con notificaciones, evita el “push ilimitado”. Los atacantes pueden enviar múltiples solicitudes hasta que apruebes una por error. Configura límites o revisa cada solicitud antes de aceptarla.
3. Fortalece el filtrado y monitoreo
Usa sistemas de seguridad como antivirus que detecten como dominios sospechosos, enlaces falsos o códigos QR en correos. En dispositivos móviles, habilita filtros de SMS y bloqueadores de llamadas desconocidas. Supervisa accesos fallidos y operaciones inusuales.
4. Capacita con ejercicios reales
Más allá de teorías, realiza simulaciones adaptadas al entorno (correos, llamadas o mensajes) para que los equipos aprendan a identificar fraudes en situaciones realistas.
5. Evalúa la seguridad de tus proveedores
Muchas brechas provienen de terceros. Asegúrate de que a servicios como call centers, servicios de soporte, recursos humanos, contables o aliados tecnológicos manejen correctamente los datos.
6. Evita enlaces en mensajes falsos
Si recibes un aviso de cobro, trámite o notificación oficial, no des clic ni respondas. Busca directamente la página oficial o comunícate por un número verificado.
7. Reporta y conserva evidencia
En México, los incidentes se pueden reportar al 088 de la Guardia Nacional o a la Policía Cibernética Estatal. Guarda capturas, números y enlaces sospechosos antes de eliminarlos.
Conclusión
2025 marca un punto de inflexión: la cantidad de datos expuestos y la sofisticación de los ataques están generando una tormenta perfecta para individuos y organizaciones. Ya no basta con tener antivirus o firewalls; la seguridad depende de las personas.
Fortalecer los accesos, educar continuamente a los usuarios, exigir buenas prácticas a proveedores y reaccionar con rapidez ante incidentes son hoy los pilares de una verdadera resiliencia digital.
Las empresas y ciudadanos que desarrollen esta cultura de prevención no solo reducirán fraudes, sino que también ganarán confianza, reputación y estabilidad en un entorno cada vez más hostil.
Así escapa el hantavirus al control del sistema inmunitario: ¿cómo puede evitarse?
Narcisa Martínez Quiles | Catedrática de Inmunología (UCM) y Especialista en Inmunología (Ministerio de Sanidad), Universidad Complutense de Madrid La pandemia de...
mayo 13, 2026
EL DRAGÓN DIGITAL DESPIERTA: LA REVOLUCIÓN DE LA IA EN CHINA
¡Vaya tiempos vivimos, amigos techies! Si parpadeas, te pierdes tres revoluciones tecnológicas. En este mayo de 2026, mirar hacia el Pacífico no...
mayo 8, 2026
ANDROID SHOW 2026: GOOGLE QUIERE QUE GEMINI PIENSE Y ACTÚE POR TI
Google acaba de dejar muy claro hacia dónde quiere llevar Android… y honestamente, ya no parece solamente un sistema...
mayo 15, 2026
Así escapa el hantavirus al control del sistema inmunitario: ¿cómo puede evitarse?
Narcisa Martínez Quiles | Catedrática de Inmunología (UCM) y Especialista en Inmunología (Ministerio de Sanidad), Universidad Complutense de Madrid...
mayo 13, 2026
¿Cuánto pesan las nubes? El gran problema energético de normalizar el uso de IA
Durante años hemos hablado de “la nube” como si los datos flotaran en un espacio limpio, abstracto y casi...
mayo 12, 2026
¿Dónde nace la atención? La neurociencia tiene la respuesta
Es tal la avalancha de estímulos sensoriales que recibimos cada día que procesarlos todos del mismo modo sería no...
mayo 11, 2026