Publicado el por Deja un comentario

Panorama de amenazas por correo electrónico: tendencias y perspectivas del primer trimestre de 2026

Panorama de amenazas por correo electrónico: tendencias y perspectivas del primer trimestre de 2026

Dos trabajadores de oficina observan el monitor de una computadora de escritorio

Por: Microsoft Threat Intelligence y Equipo de investigación de Microsoft Defender Security.

Durante el primer trimestre de 2026 (enero-marzo), Microsoft Threat Intelligence detectó cerca de 8.300 millones de amenazas de phishing basadas en correo electrónico, con volúmenes que disminuyeron de manera ligera de 2.900 millones en enero a 2.600 millones en marzo. Al final del trimestre, el phishing por código QR emergió como el vector de ataque de más rápido crecimiento, más que duplicándose durante el periodo, mientras que el phishing con bloqueo CAPTCHA evolucionó con rapidez entre tipos de cargas útiles. En general, el 78% de las amenazas por correo electrónico fueron basadas en enlaces, mientras que las cargas maliciosas representaron el 19% de los ataques en enero—impulsadas por grandes campañas HTML y ZIP—antes de estabilizarse en el 13% tanto en febrero como en marzo. El phishing por credenciales siguió como el objetivo dominante detrás de las cargas maliciosas durante todo el trimestre. Este cambio hacia la entrega basada en enlaces, combinado con las tendencias de las cargas útiles, sugiere que los actores amenazantes preferían cada vez más la infraestructura de phishing de credenciales alojada frente a las cargas útiles renderizadas a nivel local, a medida que avanzaba el trimestre.

Estas tendencias reflejan cómo los actores amenazantes continúan la iteración tanto a escala como en técnicas de entrega para mejorar su efectividad. Al mismo tiempo, los esfuerzos de interrupción pueden impactar de manera significativa esta actividad. Tras la acción liderada por la Digital Crime Unit de Microsoft contra la plataforma de phishing como servicio Tycoon2FA (PhaaS) a principios de marzo, el volumen de correo electrónico asociado disminuyó un 15% durante el resto del mes, junto con una reducción significativa en el acceso a páginas de phishing activas, para limitar la efectividad inmediata de la plataforma. Aunque Tycoon2FA se ha adaptado al cambiar de proveedor de alojamiento y patrones de registro de dominios, estos cambios reflejan una recuperación parcial en lugar de una restauración completa de capacidades anteriores. De manera paralela a estos cambios, la actividad de compromiso de correo electrónico empresarial (BEC, por sus siglas en inglés) se mantuvo presente, para sumar cerca de 10,7 millones de ataques en el trimestre, impulsados en gran parte por mensajes de divulgación genéricos y de bajo esfuerzo. Al mismo tiempo, Microsoft Defender Research observó indicios tempranos de técnicas emergentes como el phishing de código de dispositivos —a veces habilitado por ofertas como EvilTokens— que, aunque aún no alcanzan la escala de las tendencias que se discuten a continuación, reflejan la innovación continua en métodos de robo de credenciales.

Este blog ofrece una visión de la actividad de amenazas por correo electrónico durante el primer trimestre de 2026, donde se destacan tendencias clave en técnicas de phishing, entrega de cargas útiles y comportamiento de los actores amenazantes observado por Microsoft Threat Intelligence. Examinamos los cambios en el phishing por código QR, tácticas de evasión CAPTCHA, cargas útiles maliciosas y actividad BEC, analizamos cómo los esfuerzos de interrupción y los cambios en la infraestructura influyeron en las operaciones de los actores amenazantes, y proporcionamos recomendaciones y detecciones con Microsoft Defender para ayudar a mitigar estas amenazas. Al reunir estas tendencias, este blog puede ayudar a los defensores a entender cómo evolucionan los ataques basados en correo electrónico y dónde centrar las estrategias de detección, mitigación y protección del usuario.

Impacto de la interrupción de Tycoon2FA

Desde su aparición en agosto de 2023, Tycoon2FA se ha convertido, de manera rápida, en una de las plataformas PhaaS más extendidas, a través del aprovechamiento de técnicas de adversario en el medio (AiTM, por sus siglas en inglés) para intentar derrotar defensas de autenticación multifactor (MFA, por sus siglas en inglés) no resistentes al phishing. El grupo detrás de la plataforma PhaaS (rastreada por Microsoft Threat Intelligence como Storm-1747) alquila infraestructuras maliciosas y vende kits de phishing que se hacen pasar por varias páginas de inicio de sesión de aplicaciones empresariales e incorporan tácticas de evasión, como páginas CAPTCHA falsas.

El trimestre comenzó con Tycoon2FA en un periodo de actividad reducida. Los volúmenes de enero representaron una caída del 54% respecto a diciembre de 2025, lo que marcó el segundo mes consecutivo de fuertes descensos. Aunque los efectos estacionales posteriores a las fiestas pueden haber contribuido a esta disminución de volumen, parte de la reducción también podría deberse a la interrupción de la Unidad de Delitos Digitales de RedVDS por parte de Microsoft, un servicio utilizado por muchos clientes de Tycoon2FA para distribuir campañas maliciosas de correo electrónico.

Tras un aumento del 44% en febrero, los ataques de phishing que apuntan a Tycoon2FA cayeron un 15% en marzo, impulsados en gran medida por los efectos de una operación coordinada de interrupción. A principios de marzo de 2026, la Unidad de Delitos Digitales de Microsoft, en coordinación con Europol y socios industriales, tomó medidas para interrumpir la infraestructura y operaciones de Tycoon2FA, lo que perjudicó de manera significativa las capacidades de alojamiento de la plataforma. Aunque los mensajes vinculados a Tycoon2FA continuaron en circulación tras la interrupción, casi un tercio del volumen total de marzo se concentró en un periodo de tres días a principios de mes; los volúmenes diarios durante el resto de marzo fueron, de manera notable, inferiores a los promedios históricos, y la capacidad de los objetivos para acceder a páginas de phishing activas se redujo de manera sustancial.

Gráfico de líneas muestra el volumen mensual de correos de phishing de noviembre a marzo para Tycoon2FA: caída pronunciada de ~23 millones en noviembre a ~9 millones en enero, seguida de un ligero aumento y estabilización alrededor de 11 millones en febrero y marzo.
Figura 1. Volumen mensual de mensajes maliciosos de Tycoon2FA (noviembre 2025 – marzo 2026)

La composición de la infraestructura de Tycoon2FA evolucionó varias veces durante los primeros tres meses de 2026. En enero, los dominios Tycoon2FA empezaron a desplazarse hacia dominios genéricos de nivel superior (TLDs, por sus siglas en inglés) más recientes como .DIGITAL, .BUSINESS, .CONTRACTORS, .CEO, y .COMPANY, alejándose de los TLD habituales anteriores o de dominios de segundo nivel como .SA.COM, .RU y .ES. Esta tendencia se consolidó aún más en febrero. Sin embargo, tras la interrupción de marzo, Microsoft Threat Intelligence observó un notable aumento en los dominios Tycoon2FA con registros .RU, con más del 41% de todos los dominios Tycoon2FA que usaron un .RU TLD desde la última semana de marzo.

Gráfico de líneas muestra tendencias porcentuales de TLD y 2LD de Tycoon2FA de noviembre de 2025 a marzo de 2026: seis categorías (SA.COM, RU, ES, DIGITAL, DE y DEV). SA.COM inicia cerca de 22% y desciende a ~6%, mientras RU aumenta de 13% a 23% en marzo; las demás categorías se mantienen por debajo de 7%.
Figura 2. TLDs principales y dominios de segundo nivel (2LDs, por sus siglas en inglés) asociados con la infraestructura Tycoon2FA (noviembre 2025 – marzo 2026)

Además, hacia finales de marzo, vimos cómo Tycoon2FA se alejaba de Cloudflare como servicio de alojamiento y ahora aloja la mayoría de sus dominios en diversas plataformas alternativas, lo que sugiere que el grupo intenta encontrar servicios de reemplazo que ofrezcan protecciones antianálisis comparables.

Ataques de phishing con código QR

En los últimos años, los códigos QR se han convertido con rapidez en una herramienta preferida entre los actores de amenazas de phishing que buscan eludir las defensas tradicionales del correo electrónico. Al incrustar URLs maliciosas dentro de códigos QR basados en imágenes en el cuerpo de un correo electrónico o en el contenido de un archivo adjunto, los actores malintencionados intentan explotar las limitaciones de los motores de escaneo basados en texto y redirigir a las víctimas a sitios de phishing en dispositivos móviles no gestionados.

El cambio más significativo en el primer trimestre de 2026 fue la rápida escalada del phishing por código QR, con volúmenes de ataques que pasaron de 7,6 millones en enero a 18,7 millones en marzo, un incremento del 146% respecto al trimestre. Tras una caída inicial del 35% en enero (para continuar una tendencia a la baja a finales de 2025), los volúmenes cambiaron de rumbo de manera importante, con un crecimiento de 59% en febrero y otro de 55% en marzo. A finales del trimestre, el phishing por código QR había alcanzado su mayor volumen mensual en al menos un año.

Gráfico de líneas muestra el volumen semanal de ataques de phishing con códigos QR de noviembre de 2025 a marzo de 2026, con variaciones en el número de correos y un pico en marzo de 2026.
Figura 3. Tendencia de ataques de phishing por código QR por volumen semanal (noviembre 2025 – marzo 2026)

Los archivos adjuntos en PDF fueron el método de entrega dominante durante todo el trimestre, al pasar del 65% de los ataques por código QR en enero al 70% en marzo. Aunque el volumen total de cargas útiles DOC/DOCX que contenían códigos QR maliciosos aumentó de manera constante cada mes, su cuota de cargas útiles de entrega total disminuyó del 31% en enero al 24% en marzo. Un desarrollo notable a finales de trimestre fue la aparición de códigos QR incrustados directo en los cuerpos de correo electrónico, que aumentaron un 336% en marzo. Aunque sigue como una pequeña parte del volumen total (5%), este enfoque elimina por completo la necesidad de un adjunto y pone de manifiesto un cambio en los métodos de entrega de los actores amenazantes que los defensores deberían mantener en vigilancia.

Tácticas CAPTCHA

Los actores de amenaza utilizan páginas CAPTCHA para retrasar la detección y aumentar la interacción del usuario. Estas páginas funcionan como señuelo visual, al dar la apariencia de una comprobación de seguridad legítima mientras ocultan una transición a contenido malicioso. Al obligar a los usuarios a interactuar con el CAPTCHA antes de acceder a la carga útil, los actores de amenazas reducen la probabilidad de que herramientas de escaneo automatizado identifiquen la amenaza y aumentan las probabilidades de obtener con éxito la obtención de credenciales o la entrega de malware. Además, se utilizan CAPTCHAs falsos en ataques ClickFix para engañar a los usuarios a que copien y ejecuten comandos maliciosos bajo el pretexto de verificación humana, lo que permite que el malware eluda los controles de seguridad convencionales.

Tras una caída tanto en enero (-45%) como en febrero (-8%), los volúmenes de phishing con bloqueo CAPTCHA se dispararon en marzo, más que duplicándose (+125%) hasta 11,9 millones de ataques, el volumen más alto observado en el último año.

Gráfico de líneas muestra el volumen de phishing con CAPTCHA entre noviembre de 2025 y marzo de 2026: pico alrededor de diciembre, descenso durante enero y febrero, seguido de un fuerte aumento en marzo hasta superar los 12 millones de ataques.
Figura 4. Volumen de phishing con bloqueo CAPTCHA (noviembre 2025 – marzo 2026)

El aspecto más notable de las tendencias del CAPTCHA del primer trimestre fue la rápida rotación de los métodos de entrega, ya que los actores amenazadores parecían experimentar de manera activa con qué formatos de payload evaden de manera más eficaz las defensas de correo electrónico:

  • Los archivos adjuntos HTML comenzaron el año como el método más común para ofrecer phishing con bloqueo CAPTCHA (37% en enero), pero cayeron un 34% en febrero, para alcanzar su volumen mensual más bajo desde agosto de 2025. Aunque su volumen más que se duplicó en marzo, para alcanzar un máximo mensual, los archivos HTML seguían solo como el segundo método de entrega más común para cerrar el trimestre.
  • Los archivos SVG, que habían visto meses consecutivos de disminución en volumen, crecieron un 49% en febrero, al mismo tiempo que casi todos los demás tipos de carga útil de entrega disminuyeron. Por ello, era el método de entrega más común del mes, algo que no se había producido desde noviembre de 2025. Sin embargo, este pico de un mes se revirtió en marzo, y el número de archivos SVG que entregaban phish con bloqueo CAPTCHA cayó un 57%, lo que representó solo el 7% de las cargas útiles de entrega.
  • Los archivos PDF experimentaron un aumento meteórico en volumen durante el primer trimestre del año. Tras experimentar descensos constantes mes a mes desde julio de 2025 y alcanzar un mínimo mensual anual en enero de 2026, el número de archivos adjuntos de PDF que llevan a sitios de phishing bloqueados por CAPTCHA se cuadruplicó más de un año en marzo (+356%). No solo recuperó su lugar como el método de entrega más común de estos ataques desde julio pasado, sino que superó su máximo anual en más de un 37%.
  • Los archivos DOC/DOCC, que no representaban más del 9% de las cargas útiles de phishing con bloqueo CAPTCHA en los nueve meses anteriores, aumentaron casi cinco veces (+373%) en marzo para representar el 15% de las cargas útiles.
  • Las URLs incrustadas en correo electrónico, que en su día entregaron más de la mitad del phishing controlado por CAPTCHA a finales de agosto de 2025, alcanzaron un mínimo de ocho meses tras caer un 85% entre diciembre y febrero. Aunque su volumen casi se duplicó en marzo, se mantuvieron muy por debajo de los niveles de finales de 2025.
Gráfico de líneas compara el uso mensual de datos para cinco tipos de archivo: XLS muestra un fuerte aumento en marzo, PDF desciende de forma sostenida, HTML alcanza un pico en diciembre, y DOC/DOCX y URL se mantienen relativamente bajos con ligeras fluctuaciones.
Figura 5. Volumen mensual de phishing controlado por CAPTCHA por método de distribución (Q1 2026)

Otro cambio notable en los ataques de phishing controlados por CAPTCHA fue la erosión del impacto de Tycoon2FA en el ecosistema. A finales de 2025, más de tres cuartas partes de los sitios de phishing bloqueados por CAPTCHA estaban alojados en la infraestructura Tycoon2FA. Esta cuota disminuyó de manera significativa durante los tres primeros meses de 2026, al caer hasta solo el 41% en marzo. Esta ampliación de los sitios de phishing con bloqueo CAPTCHA que utilizan un número creciente de actores maliciosos y kits de phishing, combinada con el aumento general del volumen, indica que esta técnica se ha comenzado a convertir en un componente más arraigado del manual de phishing en lugar de una especialidad de un pequeño número de herramientas.

Campaña de tres días ofrece contenido de phishing controlado por CAPTCHA con archivos adjuntos SVG maliciosos

Entre el 23 y el 25 de febrero de 2026, una campaña grande y sostenida envió más de 1,2 millones de mensajes a usuarios de más de 53.000 organizaciones en 23 países. Los mensajes de la campaña incluían varios temas, como una actualización importante del 401K, una advertencia de retención de crédito, una pregunta sobre un pago recibido, una solicitud de pago por una factura vencida y una notificación de mensaje de voz.

Muchos de los mensajes contenían un falso aviso de confidencialidad para aumentar la credibilidad de los mensajes y proporcionar una excusa proactiva sobre por qué un destinatario podría haber recibido por error un correo electrónico que puede no ser aplicable a él.

Captura de pantalla de un aviso de confidencialidad en un correo electrónico que advierte no compartir el mensaje con terceros sin el consentimiento del remitente. El texto enfatiza el destinatario previsto, prohíbe la distribución no autorizada y aclara que el correo no constituye un acuerdo legalmente vinculante.
Figura 6. Ejemplo de mensaje falso de confidencialidad usado en una campaña de phishing del 23 al 25 de febrero

Adjunto a cada mensaje había un archivo SVG nombrado para coincidir de manera adecuada con el tema del correo. Todos los nombres de archivo incluían una versión codificada en Base64 de la dirección de correo electrónico del destinatario. Ejemplos de nombres de archivo utilizados en la campaña incluyen los siguientes:

  • <Recipient Email Domain>_statements_inv_<Base64-encoded Email Address>.svg
  • 401K_copy_<Recipient Name>_<Base64-encoded Email Address>_241.svg
  • Check_2408_Payment_Copy_<Recipient First Name>_<Base64-encoded Email Address>_241.svg
  • INV#_1709612175_<Base64-encoded Email Address>.svg
  • Listen_(<Base64-encoded Email Address>).svg
  • PLAY_AUDIO_MESSAGE__<Recipient Name>_<Base64-encoded Email Address>_241.svg

Si se abría un archivo SVG adjunto, el navegador del usuario se abriría de manera local y obtendría contenido de uno de los tres nombres de host siguientes:

  • upheaval.niovapahrm[.]com
  • Hematogénesis.Hvishay[.]com
  • ubiquitarianism.drilto[.]com

En un inicio, al usuario se le mostraba un CAPTCHA de «comprobación de seguridad». Una vez completado con éxito el CAPTCHA, se mostraba al usuario una página de inicio de sesión falsa utilizada para comprometer las credenciales de su cuenta.

Cargas útiles maliciosas

El phishing por credenciales reforzó su control sobre el panorama de cargas útiles maliciosas durante todo el primer trimestre, para pasar del 89% de todos los ataques basados en cargas útiles en enero al 95% en febrero, antes de estabilizarse en el 94% en marzo. Estas cargas de phishing de credenciales vinculaban a los usuarios a páginas de phishing o bien cargaban pantallas de inicio de sesión suplantadas a nivel local en el dispositivo del usuario. La entrega tradicional de malware continuó su descenso a largo plazo, lo que representó solo el 5–6% de las cargas útiles al final del trimestre.

Gráfico circular muestra la distribución de cargas maliciosas: HTML (31%), PDF (28%), SVG (19%), DOC/DOCX (12%) y URL (10%).
Figura 7. Cargas maliciosas por tipo de archivo (T1 2026)

La tendencia más llamativa de la carga útil fue la volatilidad entre tipos de archivo, impulsada por grandes campañas que generaron cambios dramáticos semana a semana:

  • Los archivos adjuntos HTML comenzaron el primer trimestre como el tipo de archivo principal (37% de las cargas útiles en enero), cayeron a un mínimo anual en febrero (-57%) y casi triplicaron en marzo (+175%). Esta volatilidad fue impulsada en gran medida por campañas, con una actividad concentrada en la primera mitad de enero y la tercera semana de marzo.
  • Los PDFs maliciosos siguieron una trayectoria ascendente constante, al aumentar un 38% en febrero y otro 50% en marzo, para alcanzar su volumen mensual más alto en más de un año. En marzo, los PDFs representaban el 29% de las cargas útiles, frente al 19% de enero.
  • Los anexos ZIP/GZIP fueron igual de volátiles, casi duplicándose en enero (+94%), para caer un 38% en febrero y luego subir un 79% en marzo. Los actores de amenazas suelen utilizar archivos ZIP para eludir las protecciones de la Marca de la Web (MOTW, por sus siglas en inglés).
  • Los archivos SVG surgieron de manera breve en febrero como un método de entrega notable (con un aumento del 50% en el volumen) antes de disminuir un 32% en marzo, lo que reflejó el patrón observado en el phishing controlado por CAPTCHA.
Gráfico de líneas muestra tendencias diarias de uso de cinco formatos de archivo (DOC/DOCX, HTML, PDF, SVG y ZIP). Los archivos HTML presentan los picos más altos y frecuentes, superando los 2 millones, mientras que los demás formatos mantienen niveles más bajos y estables con picos ocasionales.
Figura 8. Tipo de archivo de carga maliciosa diaria (Q1 2026)

Una campaña de phishing HTML a gran escala aloja contenido en múltiples infraestructuras PhaaS

El 17 de marzo de 2026, Microsoft Threat Intelligence observó una campaña masiva de phishing que provocó un aumento significativo en archivos adjuntos HTML maliciosos durante el mes. La campaña involucró más de 1,5 millones de mensajes maliciosos confirmados enviados a más de 179.000 organizaciones en 43 países, lo que representa cerca del 7% de todos los archivos adjuntos HTML maliciosos observados en marzo.

Es probable que todos los mensajes de esta campaña se enviaran por medio de la misma herramienta o servicio, que mostraba varias características distintas y muy consistentes. Lo más destacado es que las direcciones de los remitentes en toda la campaña presentaban nombres de usuario bastante largos y llenos de palabras clave que incluían URLs, identificadores de seguimiento y referencias de servicios. Estos nombres de usuario fueron diseñados para parecerse a remitentes legítimos de notificaciones transaccionales, facturantes o relacionadas con documentos. Ejemplos de nombres de usuario observados por remitentes incluyen:

  • eReceipt_Payment_Alert_Noreply-/m939k6d7.r.us-west-2.awstrack.me/L0/%2F%2Fspectrumbusiness.net%2Fbilling%2F/2/010101989f2c1f29-ab5789bd-1426-4800-ae7d-877ea7f61d24-000000/LHnBIXX0VmCLVoXwNWtt23hGCdc=439/us02web.zoom.nl/j/81163775943?pwd=bLoo4JaWavsiTAuLWNoRsmbmALwjLB.1-qq8m2tzd
  • Center-=AAP1eU7NKykAABXNznVa8w___listenerId=AAP1eU7NKykAABXNznVa8w___aw_0_device.player_name=Chrome___aw_0_ivt.result=unknown___cbs=9901711___aw_0_azn.zposition=%5B%22undefined%22%5D___us_privacy=___aw_0_app.name=Second+Screen___externalClickUrl=otdk-takaki-h
  • DocExchange_Noreply-m939k6d7.r.us_west_2.awstrack.me/L0/%2F%2Fspectrumbusiness.net%2Fbilling%2F/2/010101989f2c1f29ab5789bd14264800ae7d877ea7f61d240000000/LHnBIXX0VmCLVoXwNWtt23hGCdc=439/us02web.zoom.nl/j/81163775943?pwd=bLoo4JaWavsiTAuLWNoRsmbmALwjLB.1-angie

Los correos electrónicos contenían poco o ningún contenido del cuerpo del mensaje. Aunque las líneas de asunto variaban, se hacían pasar de manera constante por notificaciones rutinarias de negocio y flujo de trabajo, incluidas alertas de pago y remesas (por ejemplo, Automated Clearing House (ACH), Electronic Funds Transfer (EFT), transferencias bancarias), extractos de facturas o antiguos, y solicitudes de firma electrónica o entrega de documentos. Estos sujetos se basaban en la urgencia, el lenguaje de aprobación y el encuadre transaccional para incitar a los destinatarios a revisar, firmar o acceder a un documento adjunto.

Cada mensaje incluía un archivo adjunto HTML con un nombre de archivo alineado con el tema del correo. Al abrirse, el archivo HTML se lanzaba a nivel local en el dispositivo del destinatario y redirigía de inmediato al usuario a una página de staging externa inicial. Esta página realizaba un filtro básico y luego redirigía al usuario a una segunda página de destino que albergaba el contenido de phishing. En la página de inicio final, se presentó a los usuarios un desafío CAPTCHA antes de ser dirigidos a una página de inicio de sesión fraudulenta diseñada para obtener credenciales de cuenta.

De manera curiosa, aunque los mensajes de esta campaña compartían herramientas, estructura y características de entrega comunes, la infraestructura que alojaba la carga final de phishing estaba vinculada a múltiples proveedores PhaaS diferentes. La mayoría de los endpoints de phishing observados estaban asociados con Tycoon2FA, mientras que actividad adicional se vinculaba a la infraestructura de Kratos (anteriormente Sneaky2FA) y EvilTokens.

Compromiso de correo electrónico empresarial

Microsoft define el compromiso de correo electrónico empresarial (BEC, por sus siglas en inglés) como un ataque basado en texto dirigido a usuarios empresariales que se hace pasar por una entidad de confianza con el fin de persuadir al destinatario para que inicie una transacción financiera fraudulenta o envíe al actor amenazante documentos sensibles. Estos ataques fluctuaron durante el primer trimestre, para sumar cerca de 10,7 millones de ataques: un aumento del 24% en enero, una caída del 8% en febrero y un aumento del 26% en marzo.

Gráfico de líneas muestra el volumen mensual de ataques BEC durante cinco meses: inicia alto en noviembre, disminuye en diciembre, aumenta en enero y febrero, y alcanza un pico pronunciado en marzo con más de 4 millones de ataques.
Figura 9. Volumen mensual de ataques BEC (noviembre 2025 – marzo 2026)

La composición de los ataques BEC se mantuvo constante durante todo el primer trimestre. Los mensajes de comunicación genéricos (como «¿Estás en tu escritorio?») representaban entre el 82 y el 84% de los correos de contacto iniciales cada mes, mientras que las solicitudes explícitas de transacciones o documentos financieros específicos representaban solo el 9–10%. Este patrón subraya que los operadores BEC prefieren, de manera abrumadora, establecer una relación conversacional antes de hacer solicitudes fraudulentas, en lugar de comenzar con peticiones financieras directas.

Dentro del subconjunto más pequeño de solicitudes financieras explícitas, dos subcategorías mostraron un movimiento notable. Las solicitudes de actualización de nóminas crecieron un 15% en febrero, para alcanzar su volumen más alto en ocho meses, lo que podría reflejar la ingeniería social relacionada con la temporada fiscal. Las solicitudes de tarjetas regalo cayeron un 37% en febrero, para alcanzar su nivel más bajo desde julio antes de recuperarse de manera importante en marzo (+108%), aunque aún representaban menos del 3% del total de mensajes BEC. Estas fluctuaciones sugieren que los operadores de BEC ajustan sus pretextos financieros específicos según la temporada, manteniendo un enfoque global coherente.

Gráfico circular muestra la distribución del contenido de correos BEC para el primer trimestre de 2026: “generic outreach contact” domina con 83.1%, seguido de “generic task request” (7.0%), “payroll update” (4.2%), “invoice payment” (3.1%), “gift card request” (2.2%) y “other” (0.4%), con cada segmento codificado por color y etiquetado.
Figura 10. Contenido inicial del correo BEC por tipo (T1 2026)

Defensa frente a amenazas por correo electrónico

Microsoft recomienda las siguientes medidas de mitigación para reducir el impacto de esta amenaza.

  • Revisar la configuración recomendada para Exchange Online Protection y Microsoft Defender para Office 365 para asegurarse de que su organización ha establecido defensas esenciales y sabe cómo monitorizar y responder a la actividad amenazante.
  • Invertir en formación de concienciación de usuarios y simulaciones de phishing. La formación en simulación de ataques en Microsoft Defender para Office 365, que también incluye simular mensajes de phishing en Microsoft Teams, es un enfoque para ejecutar escenarios de ataque realistas en tu organización.
  • Activar la purga automática de cero horas (ZAP, por sus siglas en inglés) en Defender para Office 365 para poner en cuarentena el correo enviado en respuesta a inteligencia de amenazas recién adquirida y neutralizar de manera retroactiva los mensajes maliciosos de phishing, spam o malware que ya hayan sido entregados a los buzones.
  • Los respondedores también podían comprobar y borrar de manera manual correos electrónicos no deseados que contenían URLs y/o campos de Asunto que fueran similares, pero no idénticos, a los de mensajes malos conocidos. Investigar los correos maliciosos que se entregaron en Microsoft 365 y utilizar el Explorador de Amenazas para encontrar y eliminar correos de phishing.
  • Activar los enlaces seguros y los archivos adjuntos seguros en Microsoft Defender para Office 365.
  • Activar la protección de red en Microsoft Defender para Endpoint.
  • Animar a los usuarios a usar Microsoft Edge y otros navegadores web que soporten Microsoft Defender SmartScreen, que identifica y bloquea sitios web maliciosos, incluidos sitios de phishing, sitios fraudulentos y sitios que alojan malware.
  • Activar métodos de autenticación sin contraseña (por ejemplo, Windows Hello, claves FIDO o Microsoft Authenticator) para cuentas que soportan la función sin contraseña. Para cuentas que aún requieren contraseñas, usar aplicaciones de autenticación como Microsoft Authenticator para MFA. Consulten este artículo para conocer los diferentes métodos y características de autenticación.
  • Configurar la interrupción automática de ataques en Microsoft Defender XDR. La interrupción automática de ataques está diseñada para contener los ataques en curso, limitar el impacto en los activos de una organización y proporcionar más tiempo a los equipos de seguridad para remediar por completo el ataque.

Detecciones de Microsoft Defender

Los clientes de Microsoft Defender pueden consultar la lista de detecciones aplicables a continuación. Microsoft Defender coordina la detección, prevención, investigación y respuesta entre endpoints, identidades, correo electrónico y aplicaciones para proporcionar protección integrada contra ataques como la amenaza que se discute en este blog.

Microsoft Defender para Endpoint

La siguiente alerta podría indicar actividad de amenaza asociada a esta amenaza. Sin embargo, la alerta puede activarse por actividades de amenaza no relacionadas.

  • Actividad sospechosa que es tal vez indicativa de una conexión con un sitio de phishing adversario en el medio (AiTM, por sus siglas en inglés)

Microsoft Defender para Office 365

Las siguientes alertas podrían indicar actividad de amenaza asociada a esta amenaza. Sin embargo, estas alertas pueden ser activadas por actividades de amenaza no relacionadas.

  • Se detectó un clic en una URL que podría ser malicioso
  • Un usuario hizo clic en una URL que podría ser maliciosa
  • Se detectan patrones sospechosos de envío de correos electrónicos
  • Los mensajes de correo electrónico que contienen URL maliciosa eliminados tras la entrega
  • Mensajes de correo electrónico eliminados tras la entrega
  • Correo electrónico reportado por el usuario como malware o phishing

Microsoft Security Copilot

Microsoft Security Copilot está integrado en Microsoft Defender y proporciona a los equipos de seguridad capacidades impulsadas por IA para resumir incidentes, analizar archivos y scripts, resumir identidades, usar respuestas guiadas y generar resúmenes de dispositivos, consultas de búsqueda e informes de incidentes.

Los clientes también pueden desplegar agentes de IA, incluidos los siguientes agentes de Microsoft Security Copilot, para realizar tareas de seguridad de forma eficiente:

Security Copilot también está disponible como una experiencia independiente donde los clientes pueden realizar tareas específicas relacionadas con la seguridad, como la investigación de incidentes, el análisis de usuarios y la evaluación del impacto en vulnerabilidades. Además, Security Copilot ofrece escenarios para desarrolladores que permiten a los clientes crear, probar, publicar e integrar agentes y plugins de IA para satisfacer necesidades de seguridad únicas.

Informes de inteligencia sobre amenazas

Los clientes de Microsoft Defender XDR pueden utilizar los siguientes informes de Análisis de Amenazas en el portal Defender (se requiere licencia para al menos un producto Defender XDR) para obtener la información más actualizada sobre el actor de la amenaza, la actividad maliciosa y las técnicas discutidas en este blog. Estos informes proporcionan inteligencia, información de protección y acciones recomendadas para prevenir, mitigar o responder a amenazas asociadas encontradas en los entornos de los clientes.

Análisis de amenazas de Microsoft Defender XDR

Los clientes de Microsoft Security Copilot también pueden utilizar la integración de Microsoft Security Copilot en Microsoft Defender Threat Intelligence, ya sea en el portal independiente Security Copilot o en la experiencia integrada en el portal Microsoft Defender para obtener más información sobre este actor amenazante.

Más información

Para la más reciente investigación en seguridad de la comunidad de Inteligencia de Amenazas de Microsoft, consulten el blog de Inteligencia de Amenazas de Microsoft.

Para recibir notificaciones sobre nuevas publicaciones y participar en debates en redes sociales, síganos en LinkedIn, X (antes Twitter) y Bluesky.

Para escuchar historias y opiniones de la comunidad de Microsoft Threat Intelligence sobre el panorama de amenazas en constante evolución, escuchen el podcast Microsoft Threat Intelligence.

Etiquetas:

The post Panorama de amenazas por correo electrónico: tendencias y perspectivas del primer trimestre de 2026 appeared first on Source LATAM.

 

​The post Panorama de amenazas por correo electrónico: tendencias y perspectivas del primer trimestre de 2026 appeared first on Source LATAM.  

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *