Por qué tu cuenta de correo electrónico es el objetivo principal de los ciberdelincuentes y cómo protegerla
728 x 90 px
En el ecosistema digital contemporáneo, la bandeja de entrada ha dejado de ser un simple canal de comunicación para transformarse en una infraestructura central de identidad. Los datos de la industria son contundentes: el correo electrónico es el activo más codiciado por los atacantes debido a que funciona como el nodo central donde convergen las alertas de seguridad, las confirmaciones financieras y los enlaces de restablecimiento de contraseñas.
De acuerdo con las investigaciones de ESET, compañía líder en detección proactiva de amenazas, la seguridad digital debe estructurarse desde la bandeja de entrada. Un acceso no autorizado a esta plataforma otorga a los ciberdelincuentes una ventaja estratégica sobre el resto de la vida digital del usuario, permitiéndoles interceptar códigos de verificación de un solo uso (OTP) emitidos por entidades bancarias, redes sociales y proveedores de almacenamiento en la nube, anulando con ello los mecanismos de defensa tradicionales.
El incremento de las campañas de phishing y el impacto en entornos corporativos
Las repercusiones de una intrusión adquieren una gravedad extrema cuando se traslada al entorno laboral. Las características de software de una cuenta corporativa radican en su interconexión nativa con sistemas de planificación de recursos empresariales (CRM), unidades de almacenamiento compartido en la nube y bases de datos de recursos humanos o finanzas. Al comprometer el correo de un empleado, el atacante no solo espía las conversaciones internas y las comunicaciones con los clientes, sino que utiliza dicha confianza para iniciar brechas de datos masivas, campañas de espionaje industrial o ataques de extorsión mediante ransomware.
(Automático aquí)
La telemetría oficial de ESET documentó un incremento del 36 % en la detección de correos electrónicos maliciosos durante la segunda mitad de 2025 en comparación con el semestre anterior. Las estadísticas demuestran que el phishing se consolidó como la modalidad de ciberataque más común con un 38 % de incidencia, seguida de cerca por la suplantación de identidad de organizaciones legítimas en un 12 %. Esta efectividad se apoya en el uso de herramientas basadas en inteligencia artificial generativa, las cuales permiten a los actores maliciosos redactar y escalar mensajes fraudulentos con una ortografía y gramática impecables, eliminando las sospechas habituales de los usuarios.
El factor humano y los riesgos en dispositivos móviles
El éxito de la ingeniería social radica en que opera en la intersección de la tecnología y la confianza humana. Los usuarios interactúan con sus bandejas de entrada a diario y bajo una constante presión de tiempo, procesando solicitudes de pago, actualizaciones de envíos o alertas de seguridad urgentes. Incluso los perfiles con capacitación técnica pueden cometer errores operativos cuando los mensajes simulan provenir de remitentes conocidos o directores ejecutivos.
Los informes de Verizon reflejan que el factor humano estuvo involucrado en el 62 % de las brechas de seguridad globales, consolidando a la ingeniería social como el tercer patrón de ataque más común con un 16 % del total. Un dato crítico para los administradores de TI es que la tasa media de clics exitosos en simulaciones de phishing ejecutadas en dispositivos móviles es un 40 % mayor en comparación con los ordenadores de escritorio, debido a las interfaces simplificadas de los teléfonos inteligentes que ocultan los detalles técnicos de los dominios y la prisa habitual del usuario en movilidad.
Buenas prácticas de configuración y mitigación de amenazas
Para neutralizar de forma proactiva estas técnicas de engaño, ESET recomienda implementar una serie de políticas de seguridad estrictas tanto a nivel personal como corporativo:
- Robustecimiento de credenciales: Utilizar frases de paso (passphrases) fuertes y únicas para cada servicio, gestionadas mediante un software de administración de contraseñas confiable, o adoptar métodos de autenticación sin contraseña (passkeys).
- Autenticación multifactor (MFA): Activar de forma obligatoria el segundo factor de verificación y rechazar sistemáticamente cualquier alerta o código push recibido en el teléfono móvil que no haya sido solicitado explícitamente por el usuario.
- Auditoría periódica de la cuenta: Revisar las configuraciones internas de la bandeja de entrada para detectar reglas de reenvío automático desconocidas, filtros anómalos, aplicaciones de terceros conectadas con permisos excesivos o sesiones iniciadas en dispositivos no identificados.
- Verificación de canales independientes: Tratar con extrema precaución cualquier solicitud urgente de transferencia de activos financieros, procediendo a confirmar la veracidad de la orden mediante un canal de comunicación alternativo y directo con el remitente.
Finalmente, resulta indispensable mantener actualizadas las opciones de recuperación de la cuenta, garantizando que números de teléfono antiguos o correos secundarios en desuso no puedan ser explotados por los atacantes para eludir los sistemas de protección. La adopción de estas pautas, complementada con el despliegue de soluciones de seguridad integrales basadas en aprendizaje automático, reduce drásticamente la superficie de exposición y transforma la bandeja de entrada en un entorno digital hermético, seguro y resiliente.
