Artículo de blog

Resumen del panorama de las amenazas por correo electrónico:
El panorama de las amenazas por correo electrónico del primer trimestre de 2026 se caracteriza por su magnitud y su especificidad. Microsoft Threat Intelligence registró aproximadamente 8.3 mil millones phishing por correo electrónico entre enero y marzo de 2026, con volúmenes mensuales que oscilaron entre los 2.9 mil millones y los 2.6 mil millones.
El volumen total es importante, pero la composición resulta más reveladora. Las tendencias en materia de phishing ponen de manifiesto cuatro puntos críticos: phishing mediante códigos QR, la adopción de ataques con CAPTCHA, phishing de credenciales y el BEC a gran escala. Cada uno de ellos se corresponde directamente con deficiencias en la autenticación y la supervisión que las grandes empresas pueden subsanar.
Comprender el panorama de amenazas por correo electrónico del primer trimestre de 2026 es el punto de partida para evaluar si tus medidas de control actuales son adecuadas. En esta entrada se analiza lo que revelan los datos y lo que esto implica para tu nivel de seguridad.
Averigua si tus medidas de seguridad actuales serían capaces de detener a los atacantes del primer trimestre de 2026.
phishing mediante códigos QR fue el vector de ataque que más rápido creció según los datos recopilados por Microsoft en el primer trimestre. El volumen de ataques pasó de 7,6 millones en enero a 18,7 millones en marzo, lo que supone un aumento del 146 % a lo largo del trimestre y ha llevado los volúmenes mensuales a su nivel más alto en al menos un año.
Esta técnica está diseñada para eludir las herramientas de análisis de correos electrónicos basadas en texto. Las URL maliciosas se incrustan en códigos QR basados en imágenes, que redirigen a los usuarios a phishing que suelen cargarse en dispositivos móviles, donde los controles de seguridad son más débiles o inexistentes.
Los archivos adjuntos en formato PDF fueron el método de distribución predominante, pasando del 65 % en enero al 70 % en marzo. Un avance significativo a finales del trimestre: los códigos QR incrustados directamente en el cuerpo de los correos electrónicos se dispararon un 336 % solo en marzo, eliminando por completo la necesidad de un archivo adjunto. Este cambio indica una evolución constante: los atacantes están probando qué formatos de distribución evaden la detección de forma más eficaz.
phishing con CAPTCHA phishing un 125 % en marzo, hasta alcanzar los 11,9 millones de ataques, lo que supone el volumen mensual más alto registrado en el último año. Para comprender phishing es necesario analizar esta técnica en profundidad. Consiste en utilizar una comprobación de seguridad falsa para eludir las herramientas de análisis automatizadas y aumentar la interacción del usuario antes de enviar la carga maliciosa.
Además, sirve de base para los ataques de tipo «ClickFix», en los que se engaña a los usuarios para que copien y ejecuten comandos maliciosos con el pretexto de completar un paso de verificación.
Los archivos HTML, SVG, PDF y DOC/DOCX se alternaban mes a mes como formato principal de la carga útil, lo que sugiere que se estaba llevando a cabo una experimentación activa para encontrar tipos de archivo que eludieran las defensas del correo electrónico.
En marzo, phishing de credenciales revelaron que este tipo de ataques representaba el 94 % de los ataques basados en carga útil, lo que supone un aumento con respecto al 89 % registrado en enero.
El objetivo es claro: recopilar credenciales válidas a gran escala. Una vez recopiladas, esas credenciales se utilizan para enviar un correo electrónico que elude por completo la autenticación: la cuenta es legítima, el mensaje está autenticado y nada lo señala como sospechoso.
Para los equipos de seguridad que analizan el panorama de amenazas por correo electrónico del primer trimestre de 2026, la relación entre phishing para obtener credenciales y la actividad posterior es la tendencia más relevante desde el punto de vista operativo que se desprende de los datos.
Microsoft registró aproximadamente 10,7 millones de ataques de BEC en el primer trimestre de 2026, con un aumento del 26 % en el volumen solo en marzo. El volumen explica solo una parte de la situación. La composición de esos ataques explica el resto.
Entre el 82 % y el 84 % de los correos electrónicos de contacto iniciales de cada mes eran mensajes genéricos de acercamiento —frases iniciales que no requerían mucho esfuerzo, como «¿Estás en tu puesto de trabajo?»— en lugar de solicitudes económicas directas. Esto refleja un comportamiento deliberado por parte de los atacantes: primero se gana credibilidad y, después, se realiza la solicitud fraudulenta.
Las solicitudes de actualización de nóminas aumentaron en febrero, en consonancia con las tácticas de ingeniería social propias de la temporada de declaración de la renta. Las solicitudes de tarjetas regalo repuntaron considerablemente en marzo. El pretexto concreto varía, pero la técnica sigue siendo la misma.
Lo que esto implica para las empresas: los ataques de BEC no siempre se basan en una gran sofisticación técnica. A menudo se basan en dar la impresión de ser un remitente legítimo. Un dominio que opera bajo p=none o sin DMARC completa DMARC permite que las direcciones de remitente falsificadas lleguen a las bandejas de entrada, lo que facilita que este tipo de ingeniería social tenga éxito.
Las tendencias de los ataques en el panorama de amenazas por correo electrónico del primer trimestre de 2026 no son motivo para sustituir tu infraestructura de seguridad. Son motivo para asegurarte de que los controles de autenticación y supervisión con los que ya cuentas se apliquen realmente.
El nivel DMARC determina qué ocurre con los correos electrónicos no autenticados enviados utilizando tu dominio:
Los informes agregados ofrecen una visibilidad continua de todas las fuentes que envían correos electrónicos desde tu dominio, incluidos los remitentes no autorizados, de modo que las decisiones sobre la aplicación de las normas se basan en el tráfico real y no en suposiciones. Sin esa visibilidad, pasar a p=reject conlleva un riesgo.
Las tendencias en materia de phishing ponen de manifiesto el costo ese retraso: cada mes que se pasa en p=none es un mes en el que los correos electrónicos suplantados pueden seguir llegando a sus destinatarios.
Con 8.3 mil millones phishing en un solo trimestre, la cuestión no es si tu dominio está siendo objeto de ataques, sino si tu configuración actual de autenticación impediría que un mensaje falsificado llegara a tus clientes, socios o empleados.
DMARC un control necesario, pero no es completo. Dos vectores de ataque que destacarán en el panorama de amenazas del correo electrónico en 2026 operan fuera de su ámbito de aplicación.
DMARC tu dominio. Sin embargo, no te protege frente a dominios registrados con el fin de suplantar tu identidad. Los atacantes registran dominios con ligeras variaciones ortográficas o con dominios de primer nivel alternativos y los utilizan para enviar phishing que eluden por completo tus controles de autenticación.
Sendmarc’s Lookalike Domain Defense identifica los dominios registrados para imitar a su empresa, que a menudo se utilizan como infraestructura de envío para phishing dirigidas a sus clientes y socios.
Sendmarc’s Breach Detection de Sendmarc supervisa si las direcciones de correo electrónico y las credenciales de los empleados han quedado expuestas en filtraciones de terceros.
Cuando una credencial aparece en una filtración, se avisa a los equipos de seguridad antes de que los atacantes la utilicen para enviar correos electrónicos autenticados —correos que superan DMARC SPF, DKIM y DMARC , ya que la cuenta es legítima—.
Los datos phishing reflejan un entorno de amenazas cuyo volumen va en aumento y cuyas técnicas son cada vez más sofisticadas. Las organizaciones más expuestas son aquellas que operan sin aplicar DMARC , sin visibilidad sobre los dominios similares y sin alertas tempranas sobre credenciales de empleados comprometidas; precisamente esas son las brechas que permiten que los ataques phishing, suplantación de identidad y BEC tengan éxito en entornos grandes y distribuidos.
Para prevenir las amenazas de forma eficaz se necesita algo más que un único control. El primer paso es obtener una visión global unificada de DMARC SPF, DKIM y DMARC . La supervisión continua de las infracciones y los intentos de suplantación de identidad mediante dominios similares es lo que evita que la seguridad se vea mermada entre una revisión y otra.
Descubre cómo Sendmarc aplica DMARC, detecta dominios similares y pone de manifiesto las credenciales comprometidas antes de que los atacantes las utilicen.