El phishing podría tener los días contados en España. Estas llamadas spam intentan robar los datos personales o bancarios haciéndose pasar por tu banco, la Seguridad Social, la DGT o incluso Hacienda.

Más regulaciones para acabar con el spam

El Gobierno ha modificado la normativa que regula las llamadas spam mediante la Orden TDF/558/2026 publicada en el BOE. Ahora introduce cambios a una norma que estaba aprobada desde el año pasado, se esperaba que entrase en vigor este mes de junio, pero han dado más margen a las compañías.

El bloqueo de llamadas y SMS de spam entrará en vigor este 15 de septiembre de 2026 con algunos cambios. Los operadores de telefonía estarán obligados a bloquear los SMS, MMS y mensajes RCS de usuarios no inscritos en el registro oficial de la Comisión Nacional de los Mercados y la Competencia (CNMC).

Estos cambios afectan sin excepción a operadoras como Movistar, Vodafone, Orange o DIGI. Los usuarios tendrán que registrar su nombre, que no podrá coincidir con otro previamente inscrito de un banco, compañía de la luz o una administración pública.

Nuevos bloqueos a las llamadas spam

La norma cambiará las llamadas con alias alfanuméricos para siempre. Los usuarios tienden a confiar ciegamente si ven el nombre de la compañía en la pantalla en lugar de un número de teléfono, pero era extremadamente fácil suplantar la identidad de las compañías.

Si una empresa quiere llamar o enviar mensajes usando su marca como remitente, tendrá que tener ese identificador registrado y vinculado a un titular legítimo. A partir de septiembre será mucho más sencillo identificar si otra persona o bot se está haciendo pasar por un banco, Hacienda o la compañía de la luz.

Vodafone, Movistar, DIGI y compañía tendrán que bloquear todas las llamadas de supuestas empresas que no estén registradas en la lista de la CNMC. Esta medida también evita las comunicaciones con identificador manipulado o numeración no válida.

“Yo alucino con la cantidad de SMS verídicos que te llegan y piensas, esto es un phishing, pero no lo es”, comenta la experta. Bancos, operadoras, empresas de mensajería o compañías de la luz se enfrentan a estas estafas a diario, los estafadores pueden copiar sus webs, SMS y correos en cuestión de minutos.

La inteligencia artificial supera al phishing

El phishing es una de las amenazas más peligrosas a las que se enfrentan los usuarios, pero cada vez hay más herramientas para detectarlas. El problema llega con la inteligencia artificial, los estafadores van más allá de replicar la web de la Agencia Tributaria o la DGT.

“No son páginas que suplanten, por ejemplo, a Zara, Bershka o a una marca que ya conocemos. Son páginas que se generan desde cero, con una marca que suena a española, y que están orientadas a un público femenino”, advierte Aperador en una entrevista para La Vanguardia.

La experta en ciberseguridad asegura que esta práctica es extremadamente simple. “Las fotos están hechas con inteligencia artificial, los productos están hechos con inteligencia artificial y, en el momento en que vas a hacer el pago, te cogen los datos de la tarjeta”, asegura.

Cuidado con tus datos bancarios

El sistema para estafar a los usuarios no tiene diferencias respecto a otras técnicas de phishing. Los ciberdelincuentes buscan un gancho para que los usuarios accedan a una plataforma de pago falsa que en realidad robará sus datos personales y bancarios.

“En el momento en que vas a hacer el pago, te cogen los datos de la tarjeta. Luego, evidentemente, nunca te llega el producto”, según la experta en seguridad. María Aperador asegura que muchos de estos comercios fraudulentos se encuentran en plataformas populares como Shopify.

Esta plataforma de ventas online no elimina los vendedores fraudulentos, muchas de estas páginas incluso se anuncian en Facebook e Instagram a través de Meta Ads. Los estafadores utilizan los propios algoritmos de las redes sociales para mostrar sus anuncios al público adecuado.

“Cuando veo estas páginas, los productos son atractivos, camisetas bonitas, productos de moda femenina que no te están costando 200 euros pero tampoco te están costando 10. No es un Shein ni un comercio de muy bajo coste, es una moda estándar que por el precio te lleva a pensar que es real”, comenta Aperador.

Todas estas páginas tienen algo en común. Si entras en la política de privacidad, ninguna tiene CIF, dirección, ni ningún dato fiscal real. Los estafadores incluso simularán que tienen sede en España, pero una búsqueda rápida en Google Maps acaba con todas las dudas.

Inicialmente, esta medida debía comenzar a aplicarse el próximo 7 de junio de 2026. Sin embargo, una modificación de la Orden TDF/149/2025 amplía el plazo hasta el 15 de septiembre de 2026, concediendo más tiempo a operadores, empresas y proveedores para completar los trámites necesarios.

El objetivo de esta normativa es impedir que los ciberdelincuentes puedan hacerse pasar por entidades legítimas mediante el uso de nombres comerciales falsificados en mensajes de texto. Se trata de una técnica muy habitual en campañas de phishing, donde el remitente aparenta ser un banco, una compañía de reparto o incluso un organismo oficial para ganarse la confianza de la víctima.

Para combatir este problema, la Comisión Nacional de los Mercados y la Competencia (CNMC) ha puesto en marcha un registro de alias. Las empresas que utilicen identificadores alfanuméricos como remitente deberán inscribirse en él para demostrar que tienen derecho a utilizar esos nombres.

Una vez que el sistema entre en funcionamiento, los operadores de telecomunicaciones estarán obligados a bloquear automáticamente cualquier SMS, MMS o mensaje RCS que emplee un alias no registrado. De esta forma, los usuarios dejarán de recibir una gran parte de los mensajes fraudulentos que actualmente consiguen superar los filtros tradicionales.

Según explica el Gobierno, el retraso responde a la complejidad técnica y operativa que implica la carga masiva de datos en el registro nacional. Las autoridades consideran que una implantación precipitada podría generar errores y provocar el bloqueo de mensajes legítimos.

Un fallo en el sistema podría impedir la recepción de recordatorios médicos, citaciones sanitarias, avisos administrativos o comunicaciones importantes relacionadas con trámites oficiales.

Por ello, aunque la medida sigue adelante sin cambios en su planteamiento, el Ejecutivo ha optado por conceder tres meses adicionales para garantizar que el registro funcione correctamente antes de su activación definitiva.

La peligrosidad de este ataque, que ya ha afectado a 35.000 usuarios en 26 países, reside en su capacidad para interceptar tokens de autenticación en tiempo real.

Esto permite a los ciberdelincuentes saltarse la protección de autenticación multifactor (MFA) y tomar el control total de las cuentas corporativas y personales sin que la víctima reciba ninguna alerta de inicio de sesión sospechoso.

Microsoft ha alertado de una campaña masiva de phishing que destaca por lo sofisticada que resulta, y por estar formada por distintas fases. La advertencia de la compañía revela que no se trata de una estafa como las muchas que circulan por Internet, sino de una amenaza mucho más preocupante a gran escala.

Básicamente, está diseñada para robar credenciales de cuentas, en especial de las de Microsoft, claro. Para ello, los ataques suelen partir de correos electrónicos muy creíbles. Muchos de ellos simulan temas internos de empresa, en plan "código de conducta", "incumplimiento" o "caso disciplinario". Así obtienen el interés de la gente.

La campaña fraudulenta de la que avisa Microsoft sí compórtate algo con otros casos de phishing: la sensación de urgencia. Aquí se emplea lenguaje corporativo precisamente para eso: que la gente se piense que se trata de un mensaje que no puede esperar. Quizá directo de tu jefe.

También se incluyen archivos y enlaces maliciosos. La propia Microsoft ha advertido en su blog que muchos correos van acompañados de PDFs o enlaces para que las víctimas potenciales tengan ocasión de "revisar el caso". Como suele ser habitual, estas trampas te llevan a páginas falsas que tienen todo el aspecto de ser auténticas.

Microsoft sobre el phishing: cuidado con los falsos filtros de seguridad

Microsoft también ha advertido sobre filtros de confianza falsos. ¿Qué quiere decir esto? Pues que las páginas intermedias incluyen verificaciones CAPTCHA o pantallas de carga diseñadas para reforzar la sensación de legitimidad. Así se evitan las sospechas tanto del usuario como de herramientas automáticas de seguridad. Todo parece cierto al cien por cien y legítimo.

Así, el usuario introduce sus credenciales creyendo que se encuentra en un entorno seguro. Sin embargo, esta información no va a un servidor de verdad, sino a una infraestructura controlada por los atacantes. El objetivo no es únicamente obtener la contraseña, sino capturar algo mucho más valioso: los tokens de autenticación.

Estos tokens son los elementos que permiten mantener una sesión activa sin necesidad de volver a introducir la contraseña constantemente. En la práctica, funcionan como algo parecido a una "llave digital" que da acceso continuo a la cuenta. No hace falta insistir en la importancia que tienen precisamente por eso para los ciberdelincuentes.

Uno de los aspectos más peligrosos de esta campaña, como dice Microsoft, es el uso de técnicas conocidas como Adversary-in-the-Middle, o "atacante en el medio". En este tipo de ataque, el hacker se sitúa entre el usuario y el servicio legítimo, interceptando la comunicación en tiempo real.

Esto permite que, incluso si la víctima utiliza autenticación multifactor (lo que cada vez es más común), el atacante pueda capturar la sesión ya verificada. Vamos, que no necesita confirmar la identidad del usuario otra vez. El atacante reutiliza el token robado para acceder directamente a la cuenta.

Esa es la principal diferencia con el phishing más corriente. Esta vez no se busca únicamente del robo de contraseñas, sino más bien el secuestro de sesiones activas. Microsoft lo ha advertido, pero no parece que esto haya tenido un gran impacto, a juzgar por la gran cantidad de gente que ya ha sido manipulada.

Un ataque a nivel global

Según los datos compartidos por Microsoft, la campaña ha alcanzado más de 35.000 usuarios en 26 países distintos. Aunque no se han revelado todas las organizaciones afectadas, se sabe que el ataque impacta en múltiples sectores, incluyendo empresas tecnológicas, instituciones financieras y organizaciones del ámbito sanitario.

Microsoft ha insistido igualmente en la necesidad de adoptar medidas de seguridad más resistentes frente a este tipo de amenazas. Por ejemplo, usar una autenticación multifactor resistente al phishing, como llaves físicas de seguridad o passkeys, o implementar sistemas avanzados de detección de comportamiento anómalo en sesiones.

La compañía también subraya la importancia de reducir la dependencia de métodos de autenticación basados únicamente en contraseñas o códigos temporales, ya que estos pueden ser interceptados en ataques AiTM.

Más que nada porque estas campañas de phishing no tienen pinta de ir a detenerse, sino más bien todo lo contrario: volverse cada vez más habituales. De ahí que estar preparados, como aconseja Microsoft, vaya a convertirse en algo sumamente importante.

En total, durante el mes pasado se registraron 29 incidentes. De estos 554 millones de euros hackeados en criptomonedas, unos 500 millones corresponden a solo dos robos: los de las entidades Drift y Kelp DAO, que se atribuyen a los peligrosísimos hackers de Corea del Norte.

24 de los 29 inicidentes está relacionados con bugs en el código del software que usan los monederos, o ciertas apps de criptos. Los expertos de CertiK Alert creen que se debe al uso de la IA para encontrar bugs en segundos, analizando millones de líneas de código. Antes los ciberdelincuentes tenían que hacerlo a mano.

Los peligros de operar con criptos

Pese a la gran cantidad de accesos mediante exploits (a través de un bug), el robo con este sistema solo suma el 6,6% de lo extraído, lo que apunta a que estos ataques están dirigidos a usuarios individuales, introduciendo el exploit en su móvil mediante malware.

Abril de 2026 ha sido el peor en cuanto a hackeos de criptomonedades desde marzo de 2022, excluyendo febrero de 2025. Ese mes, solo con el hackeo de ByBit se llevaron más de 1.300 millones de euros.

Según cuenta DLNews, en el caso de la plataforma de intercambio Drift, basada en Solana, los hackers coreanos invirtieron seis meses en un plan de ingenieria social, para hacerse con las credenciales de dos empleados de Drift.

La ingeniería social consiste en combinar técnicas de phishing, malware, espionaje y otras, para obtener el control de las cuentas. Con ellas en su poder, que les daba un control completo, los ciberdelincuentes robaron 243 millones de euros en Drift.

Para hackear Kelp DAO, el puente criptográfico LayerZero en el que se basaba el protocolo de seguridad estaba configurado para necesitar un único operador, así que los hackers se centraron en esa persona para extraer 233 millones de euros.

Estos dos brutales robos dejan al descubierto una grave debilidad de estas entidades de intercambio: su seguridad está muy centralizada. Basta con robarle las cuentas a uno o dos empleados, para obtener el acceso total a todas las criptos.

Finalmente, alrededor de tres millones de euros se robaron mediante técnicas clásicas de phishing, en donde los hackers se hacen pasar por la entidad de criptos para robar las claves del monedero. Estos también son accesos individuales.

El robo de criptos sigue siendo la gran lacra del mercado de criptomonedas. Y con la llegada de la IA, parece que las cifras van a crecer.

La nueva tendencia entre los ciberdelincuentes es suplantar a tribunales estatales con mensajes que incluyen imágenes de multas falsas con código QR y sin tener que utilizar inteligencia artificial. Con detalles minuciosos en estos avisos, consiguen engañar a las víctimas.

Todos los que pagan pensando que cumplen con las leyes están perdiendo dinero e incluso hay quienes quedan con la cuenta en cero.

¿Cómo funciona esta estrategia de phishing? Se reportan numerosos casos en varias partes del mundo y a continuación tienes la explicación de la manera en la que realizan estas tácticas para no caer en esos engaños.

Nueva modalidad de phishing: los códigos QR maliciosos se esparcen en mensajes de multas

El mundo digital está siendo sacudido por una nueva ola de estafas de phishing. Especialmente se trata de operaciones smishing, que son ciberataques realizados a través de mensajes de texto por medio de alertas o notificaciones que contienen enlaces maliciosos.

Los expertos de BleepingComputer, han compartido imágenes y detalles de la forma en la que los ciberdelincuentes están realizando este proceso para engañar a las víctimas.

Principalmente, se están ejecutando desde Estados Unidos en zonas como Nueva York, California y Texas, donde se reportan avisos falsos de "Notificación de Incumplimiento" por infracciones de tráfico.

Ahora los atacantes no solamente están implementando links directos, sino que han creado una campaña de phishing más sofisticada que contiene una imagen que simula una advertencia judicial en físico (como si hubiera sido escaneada) o un documento que indica la alerta judicial formal.

Lo curioso de esto es que ahora utilizan códigos QR para que los usuarios los escaneen y vayan a páginas donde deben pagar el recibo, siendo una forma de evitar filtros de seguridad.

La mayoría de las víctimas coinciden en que suelen pedir una cifra de 6,99 dólares (aproximadamente 6 euros) para pasar desapercibidos.

Como el ataque es a gran escala, estos piratas informáticos no solamente están recibiendo miles de euros, sino que también aprovechan que llenas el formulario de solicitud para obtener tu información personal y robar los datos de tus tarjetas de crédito.

Una vez que alguien cae en la trampa, es susceptible de quedarse en 0 en la cuenta. No solo afecta al país estadounidense, pues ya se está esparciendo a otras partes del mundo y se recomienda estar atentos en España.

Las autoridades ya han advertido que los sitios fraudulentos imitan a la perfección las páginas web oficiales, por lo que no hay que aceptar nada ni compartir información confidencial a menos que se esté 100% seguro de que es el sitio original de la plataforma.

Señales de que un SMS es una estafa

En España, ningún cuerpo de seguridad como la DGT, Guardia Civil o Policía Nacional advierte este tipo de infracciones por medio de una multa en un SMS o una llamada telefónica y mucho menos con un enlace de pago.

Si llegas a recibir algo como esto, simplemente no respondas y tampoco entres a ninguna URL que pida datos de tu tarjeta. Es normal tener dudas en situaciones como esta, pero la manera de confirmarlo es entrar a la app miDGT o verificar desde "dgt.gob.es".

¿La multa no aparece en los registros? Fácil, no te preocupes e ignora esos SMS que te han llegado. En cualquiera de los escenarios, siempre comprobar la procendencia es crucial para prevenir ciberataques.

A partir del 6 de junio, los operadores comenzarán a bloquear automáticamente los mensajes SMS no identificados, gracias a una nueva medida impulsada por la Comisión Nacional de los Mercados y la Competencia.

Esto va a verse en la forma en la que los usuarios reciben mensajes en sus teléfonos con el objetivo de frenar prácticas fraudulentas. Durante años, ciberdelincuentes han utilizado mensajes de bancos y de otras compañías para engañar a los usuarios y obtener datos personales o bancarios.

Estos SMS fraudulentos suelen incluir enlaces sospechosos y se recurre a la técnica de ingeniería social para parecer legítimos. El eje de esta iniciativa es el Registro alias, una base de datos gestionada por la CNMC, que recogerá los identificadores alfanuméricos utilizados por empresas para enviar mensajes a clientes en España.

Cuando entre en vigor, cualquier entidad que quiera comunicarse mediante SMS o RCS deberá registrarse previamente en el sistema y demostrar la vinculación de su alias con su marca o denominación social.

Este registro permitirá que los usuarios identifiquen de forma clara el origen de cada mensaje, sin necesidad de realizar comprobaciones adicionales.

Además, el sistema de control automático permitirá a los operadores bloquear aquellos mensajes que no cumplan con los requisitos establecidos.

En concreto, se bloqueará la entrega de SMS cuando el alias no coincida con el registrado, cuando el remitente no esté inscrito en la base de datos, si el envío no ha sido autorizado por el titular o si procede de empresas extranjeras que no operan oficialmente en España.

Las compañías que incumplan esta norma se expondrán a sanciones económicas cuantiosas. Hasta su activación definitiva, en junio, los proveedores dispondrán de un periodo de actuación para integrar sus sistemas con el Registro alias y realizar pruebas.

Con ello, la CNMC buscará reducir el volumen de mensajes fraudulentos y ofrecer un entorno más seguro para los usuarios, complementando las medidas adoptadas contra las llamadas comerciales no deseadas.

El ataque combina ingeniería social con funciones legítimas del navegador para convencer a las víctimas de que están realizando una comprobación oficial de seguridad. Para ello, los ciberdelincuentes emplean un dominio fraudulento que imita una supuesta página de protección de cuentas de Google.

En el sitio falso se muestra un proceso de configuración en cuatro pasos que anima al usuario a conceder permisos avanzados e instalar una aplicación web maliciosa. Las aplicaciones web progresivas pueden instalarse desde el navegador y ejecutarse como si fueran programas independientes, en una ventana propia y sin los controles habituales del navegador, lo que refuerza su apariencia de legitimidad.

Según investigadores de Malwarebytes, la aplicación es capaz de extraer contactos, datos de ubicación en tiempo real y contenidos del portapapeles. Además, puede actuar como proxy de red y escáner de puertos internos, permitiendo a los atacantes redirigir tráfico a través del navegador de la víctima y detectar dispositivos activos dentro de su red local.

Uno de los principales objetivos es interceptar códigos OTP enviados por SMS en navegadores compatibles. Asimismo, la aplicación solicita permiso para enviar notificaciones, lo que permite mostrar alertas falsas para que el usuario vuelva a abrir la PWA y ejecutar tareas adicionales o robar más información.

La campaña también distribuye un archivo APK para Android presentado como una “actualización crítica de seguridad”, supuestamente verificada por Google. Este archivo solicita hasta 33 permisos de alto riesgo, incluyendo acceso a SMS, registro de llamadas, micrófono y servicios de accesibilidad.

Entre sus componentes se incluye un teclado personalizado para capturar pulsaciones, un lector de notificaciones y mecanismos de persistencia que dificultan su desinstalación. Los investigadores recuerdan que Google no realiza comprobaciones de seguridad mediante ventanas emergentes ni exige la instalación de software adicional desde páginas externas.

Los estafadores copian los dominios de las páginas legales, desde bancos hasta la DGT a la Agencia Tributaria o el propio Google. Los ciberdelincuentes tan solo deben sustituir una letra por otra similar como una “L” en minúscula que se asemeja a una “I” mayúscula, o bien una “O” por el número “0”.

Cuidado con los dominios en internet

Las páginas web que duplican los estafadores son cada vez más realistas, así que el dominio puede ser la clave para comprobar si es fiable. “Cuidado con este tipo de ataques porque aparentemente estos dominios pareces iguales y legítimos”, advierte Jaime Gómez.

Una vez dentro de la página ilegal, los estafadores pueden acceder a todos los datos de los usuarios. Si han duplicado la web de Amazon o una tienda online, solo tendrán que añadir un formulario para rellenar los datos de la entrega de un supuesto pedido y reenviarte a una plataforma de pago falsa.

Las estafas mediante phishing son unas de las más populares en España. Los estafadores las distribuyen masivamente mediante correos con multas falsas de tráfico que debes abonar o un supuesto acceso desconocido a la aplicación del banco.

Este tipo de estafas suelen tener un patrón común. Los ciberdelincuentes envían un enlace desde el que se puede solucionar el incidente, explican cómo hacerlo paso a paso y tienden a jugar con la urgencia para que el usuario baje la guardia.

Ataques homógrafos muy letales

Jaime Gómez ha explicado en un vídeo publicado en su cuenta de TikTok que es extremadamente fácil detectar estos fraudes. “Los hackers usan ataques homógrafos: cambian letras por símbolos casi idénticos para engañarte”, afirma.

Los usuarios solo tendrán que comprobar que el dominio ubicado en la parte superior de la pantalla es legítimo. Para ello deben revisar que los símbolos corresponden con el enlace oficial y no emplean letras extrañas.

“Si pinchas el primer enlace, te llevará a Google. Pero si pinchas en el otro, probablemente te lleve a una página que será una estafa. Eso pasa porque una de las ‘o’ de Google no es una ‘o’ normal, es decir, no es una ‘o’ del alfabeto latino, sino que es una ‘o’ del alfabeto cirílico. Por lo que son dos letras diferentes y los delincuentes se aprovechan de esto para estafar a sus víctimas”, advierte el experto en privacidad.

Gómez recomienda escribir las URL a mano en el buscador si fuese necesario. Además, los dominios se pueden verificar copiándolos en cualquier herramienta de texto y escribiendo uno nuevo de forma manual. Si no coincide con el que has escrito, es una estafa.

Otra alternativa es seleccionar el dominio y utilizar herramientas de Word y otros editores de texto como el botón de cambio de letras a mayúsculas automáticamente, no habrá dudas entre letras conflictivas como la “O”, “I” o “L”.

Ninguno de los procesos se deberían compartir con nadie, pero si te lo pide la propia compañía, tal vez lo considerarías, ¿no? Los hackers se están aprovechando de esto, haciendo phishing desde una dirección de correo electrónico de Microsoft legítima.

Parece que los ciberdelincuentes se han aburrido de las llamadas de SPAM en WhatsApp y ahora están creando mensajes falsificados para engañar a las víctimas a través de Gmail, Outlook y otros servicios.

¿Por qué es más peligroso de lo normal? De alguna manera han conseguido suplantar la identidad de la compañía, así que si tienes Windows 11, Xbox o cualquier sesión abierta relacionada con el gigante de Redmond, esta información te interesa.

Millones de usuarios son afectados por una oleada de correos electrónicos fraudulentos de Microsoft

Los expertos de Ars Technica advierten que en los últimos días, muchos usuarios han estado reportando incidentes tras acceder a mensajes enviados por una de las compañías más grandes del mundo.

Específicamente, se trata de correos electrónicos de Microsoft que están usando los ciberdelincuentes para hacer phishing. Normalmente, podrías identificarlo si ves algo sospechoso en la dirección, pero en este caso, es de alto grado de peligro porque es uno legítimo.

El mencionado spam fraudulento proviene de “no-reply-powerbi@microsoft.com”, confirmado por la empresa en el apartado “Suscripciones por correo electrónico para informes y paneles de control en el servicio Power BI” de la documentación, donde se recomienda autorizarlo para evitar que forme parte de los mensajes no deseados.

Uno de los afectados comenta que recientemente recibió un correo electrónico con esta misma dirección. Tal y como se aprecia en la imagen, el mensaje reportaba que se había realizado un pago de 399 dólares (334 euros).

“Me dieron un contacto para reclamar la operación. Al llamar para cancelar, un sujeto me pidió instalar una herramienta de acceso remoto, con la intención aparente de controlar mi computadora (especificando que solo funcionaba en Mac o Windows, excluyendo Linux).”.

Otras personas han mencionado el mismo modus operandi. Los hackers crean todo el mensaje con cada detalle y realmente parece legítimo.

Los estafadores dejan un “número de soporte” y, una vez que la víctima cae en el engaño, al llamar solicitan que se instale una aplicación para que puedan controlar el ordenador de forma remota.

Esto lo hacen con el fin de acceder a toda la información guardada en el sistema operativo y hackear fácilmente las cuentas de redes sociales o bancarias.

Ante la preocupante situación, los que detectaron las acciones sospechosas, reportaron directamente en el sitio web de Microsoft, donde varios han compartido las capturas de campañas con mensajes que advierten de cantidades de 600, 700 y 900 euros o pago de suscripciones no solicitados.

La experta en ciberseguridad de Proofpoint, Sarah Sabotka, ha mencionado que estos piratas informáticos usan una función legítima de Power BI sin usar enlaces maliciosos o documentos adjuntos para que sus correos parezcan originales y pasen desapercibidos.

Esto también es una desventaja para ellos porque tienen que esperar a que el usuario realice llamadas telefónicas. Por eso, se recomienda primero verificar si el monto ha sido cobrado desde la cuenta de banco o plataforma oficial.

Los números grandes son unas de las pistas que algo raro sucede, así que no llames si ves que es sospechoso o que proviene desde este correo electrónico.

Si por alguna razón llegas a comunicarte, ningún operador debería pedirte que descargues algo o realices transferencias y tampoco te ofrece trabajo, pues son solo formas de convencerte para que caigas en la trampa.

Al parecer, no es la primera vez que esto pasa, ya que antes también ha habido casos similares con la misma dirección de correo de Microsoft, pero por suerte, la compañía limita acciones maliciosas para disminuir el impacto cuando algo así llega a ocurrir.

Cabe destacar que esto podría ocurrir con otras empresas, como Google o Apple si los cibercriminales se lo proponen. Hoy en día es crucial andar con mucho cuidado y verificar todo lo que conlleve el uso de datos o dinero para prevenir incidentes cibernéticos.

En ocasiones, hemos percibido la ciberseguridad como un ámbito ajeno a nuestras vidas y nuestros actos, pero lo cierto es que estamos mucho más que implicados en ella, ya que la tecnología no solo se ha democratizado sino que, además, llega a todos los ámbitos de la vida.

Por ese motivo, no solo deben tomar nota de ello empresas y administraciones, sino también la gente de a pie, a fin de que su identidad permanezca privada y también su información personal. Para ello, ambas partes han de estar alerta de lo que se espera de la ciberseguridad este año.

Así lo explica Josep Albors, director de investigación y concienciación de ESET España, que recuerda en una nota de prensa que "los atacantes no necesitan innovar constantemente si las defensas siguen fallando en lo básico".

Asimismo, los ciberdelincuentes tienen la gran ventaja de disponer de tecnologías cada vez más competitivas, donde la inteligencia artificial juega un papel clave. Por ese motivo, de aquí en adelante, los ataques serán más creíbles, personalizados y difíciles de detectar.

Teniendo en cuenta este escenario, varias compañías de ciberseguridad han coincidido en que este 2026 se repite una serie de tendencias y amenazas relacionadas con la ciberseguridad. Veamos cuáles son.

IA para la automatización ofensiva

Tal y como venimos viendo, en los últimos años, la inteligencia artificial se ha convertido en una herramienta tan beneficiosa como peligrosa si cae en manos de los ciberdelincuentes, que tienen un acceso fácil y rápido a cientos de modelos generativos y agentes autónomos.

Y, en estos términos, nadie está a salvo, ni empresas ni particulares, que deberán hacer frente a phishing personalizado, en el cual los atacantes emplean muy poco tiempo para su creación (con un par de indicaciones a la IA es más que suficiente). Además, les sale rentable, debido a que, con campañas pequeñas, pero realistas, pueden generar grandes ingresos.

Diego León, CEO y fundador de Flameera, coincide en que durante este año "veremos campañas de phishing mucho más creíbles, reconocimiento automatizado de sistemas vulnerables y ataques masivos capaces de adaptarse en tiempo real a cada objetivo".

Así lo ha expresado en una entrevista concedida a Computer Hoy, donde también ha insistido en que "el desequilibrio entre atacantes rápidos y organizaciones que dependen de infraestructuras envejecidas generara situaciones de riesgo significativas".

La IA, por otra parte, no solo está pensada para dar veracidad a la distribución de información fraudulenta y ciberataques, crear lo que se conoce como agentes ofensivos, que son los que pueden ejecutar ciclos completos: desde el reconocimiento de herramientas de detección hasta la explotación automática de vulnerabilidades.

Esta tecnología y, en concreto, sus amplias capacidades de generación de contenido han hecho que se convierta en la herramienta perfecta para crear información falsa e impulsar, precisamente, la desinformación automatizada.

Ciberespionaje y más familias de ransomware

Este 2026 también estará marcado por la evolución natural del ransomware, que dejará de centrarse exclusivamente en el secuestro de dispositivos para orientarse al chantaje basado en la reputación, exposición pública de datos y presión a terceros, según otro informe elaborado por Ayesa Digital.

Al igual que otros métodos fraudulentos, el este formato se irá perfeccionando para seguir liderando las amenazas globales y alcanzar un nuevo status, el ransomware 3.0, que generará dudas sobre la fiabilidad de la información.

Esto significa que el ransomware no solo permitirá cifrar o robar datos, sino que también puede alterar su integridad y modificarlos para corromper los registros de información fiable, lo que a su vez puede ser un gran problema para ámbitos de todo tipo, desde el financiero hasta el sanitario.

Por otra parte, compañías dedicadas a la ciberseguridad han anticipado que la reutilización de contraseñas obtenidas en brechas previas continuará facilitando ataques posteriores y que los infostealers hoy están más activos que nunca. Esto significa que es muy "importante la defensa proactiva", tal y como apuntan desde Sophos.

Android concentrará campañas de malware sofisticadas

Un mensaje claro para los propietarios de terminales Android: cuidado con la conectividad NFC, porque los móviles con este sistma operativo seguirán siendo un objetivo prioritario para los ciberdelincuentes, que explotan tecnologías como la comentada.

El Near Field Communication, que habitualmente se utiliza para pagar sin contacto y otras comunicaciones, se ha convertido en una vía de entrada de virus y campañas maliciosas como NGate, PhantomCard o RatON.

Estas amenazas, que ya están activas en varios países y que probablemente se sigan extendiendo conforme mejoran las tácticas de los ciberdelincuentes, buscan robar datos sensibles y facilitar fraudes financieros en segundo plano.

Millones de usuarios tienden a pensar que están protegidos cambiando su contraseña cada cierto tiempo o añadiendo símbolos que creen que son imposibles de adivinar. Los ciberataques ahora pueden llegar a través de un SMS, una llamada o un correo electrónico.

El objetivo perfecto de los ciberdelincuentes

Iván Mateos ha dejado claro que políticos, deportistas o cantantes no son el principal objetivo de los ciberdelincuentes. Los usuarios comunes pueden tener información mucho más valiosa, también caer en estafas con mayor facilidad.

El experto en seguridad confirma que “la gente más anónima es la más interesante” para un ciberataque”. Los usuarios deben enfrentarse a innumerables amenazas a diario, por probabilidad algunas pueden acabar colándose con éxito en sus dispositivos.

El phishing es el responsable de millones de ciberataques en usuarios completamente anónimos, incluso aquellos que no tienen presencia en redes sociales. Los estafadores solo tendrán que hacerse pasar por el banco en una llamada o enviar un SMS solicitando el pago de una supuesta multa a la DGT.

Este tipo de estafas cada vez son más sofisticadas con webs replicadas a la perfección. Los estafadores se harán pasar por el banco para acceder a la información bancaria con un simple enlace, una copia de la página casi indetectable y una plataforma de pago falsa.

Las contraseñas ya no son seguras

Iván Mateos ha acabado con la falsa creencia de que una buena contraseña te protege de prácticamente cualquier amenaza, tampoco es útil cambiarla cada cierto tiempo. Los usuarios tienden a utilizar el nombre de su mascota, su hijo o su pueblo, luego añaden algún número o símbolo.

No todas las contraseñas protegen una cuenta, la mejor será aquella que combina letras mayúsculas, minúsculas, números y símbolos, aunque es difícil de recordar. Esto tendrás que repetirlo para cada plataforma, así que lo más aconsejable es usar un gestor de claves.

Además, Mateos aconseja utilizar la letra ‘ñ’ al crear la contraseña, “así descartamos a los hackers extranjeros, que no incluirán esta letra al intentar descifrar nuestra contraseña”. El experto en ciberseguridad recomienda crear frases largas difíciles de adivinar, pero extremadamente fáciles de recordar como “Mi perro se llama Max”, incluyendo algún símbolo o número.

En esta estafa, los ciberdelincuentes se hacen pasar por la popular cadena de supermercados Lidl, y si te dejas engatusar, te pedirán tus datos personales para enviarte el regalo. Algo que, por supuesto, nunca harán, pero se quedarán con tus datos para actividades delictivas.

El timo lo ha destapado la web especialista en dar a conocer los fraudes y las fake-news, Maldita.es. Vamos a ver las claves para detectar esta estafa online.

Así funciona el nuevo phishing navideño a Lidl

Se trata de un supuesto mensaje de correo o SMS de Lidl, en donde explica que sortea 10 bicicletas eléctricas: “¡Enhorabuena! Estás participando de un sorteo de Lidl. La cadena internacional de descuentos Lidl lanza una nueva promoción. Hoy 10 afortunados recibirán un vale para una bicicleta eléctrica. Para ganar, tienes que encontrar el sobre con el vale”.

Para empezar, hay que decir que el mensaje está bien redactado. No tiene faltas de ortografía ni expresiones extrañas como otros. Sin embargo, el que Lidl regale cosas a desconocidos, en lugar de a sus clientes, ya debería hacerte sospechar.

Si picas, el mensaje redirige a la web ai-market [.] fit, que no tiene nada que ver con Lidl, pero la imita (phishing). La web muestra varios sobres, y tienes tres intentos. El premio siempre te tocará en el segundo intento:

Si “aciertas”, ganas una bicicleta eléctrica, que nunca recibirás. Pero claro, la bicicleta tienen que enviársela a alguien, por eso tienes que introducir tus datos personales: nombre, email, dirección física, móvil, etc. Estos datos pueden usarse para suplantación de personalidad, spam, otros timos, etc.

Desde Lidl indican que ellos solo hacen promociones a través de sus redes sociales, no en correos ni SMS, y todas están asociadas a webs y direcciones de email con @lidl.es. Lo mismo puede aplicarse a muchas otras empresas.

Este tipo de estafas de phishing son muy comunes, pero también obvias. Ahora que la conoces, no caigas en ella.

Movistar, Vodafone España e Iberdrola están en el punto de mira. Los clientes han empezado a recibir correos electrónicos falsos en los que solicitan el pago de una mensualidad, la contratación de un supuesto servicio o alertan de una irregularidad en los datos que deben corregir de inmediato. 

Cuidado si eres cliente de Movistar, Vodafone o Iberdrola

ESET, una empresa especializada en ciberseguridad, ha alertado de un nuevo fraude que no deja de crecer en España. El objetivo de los estafadores es engañar a los clientes con correos electrónicos falsos que simulan la estética y el tono de las comunicaciones oficiales.

La estafa tiene unos patrones comunes. Primero los estafadores alertan de una irregularidad: un supuesto inicio de sesión sospechoso, el impago de un servicio o la necesidad de revisar sus datos. A continuación, les envían a una plataforma de pago, les piden que aporten la información personal o descarguen un documento.

Los ciberdelincuentes juegan con la urgencia consiguiendo que los clientes bajen la guardia, en ese momento deciden atacar. La estafa comienza cuando proporcionas datos bancarios, personales o descargas un documento que ellos mismos adjuntan con un malware.

Josep Albors, director de investigación de ESET España asegura que las estafas mediante phishing son cada vez más sofisticadas. Los atacantes envían correos electrónicos que imitan a las empresas "con gran precisión", explica para Europa Press.

Las estafas mediante phishing se extienden en España

Los fraudes con phishing que han afectado a Movistar, Vodafone e Iberdrola son cada vez más complejos. Los ciberdelincuentes cuidan hasta el más mínimo detalle incluyendo logotipos, remitentes falsos y textos diseñados para generar una falsa sensación de urgencia.

"Como es previsible, el enlace proporcionado en el email redirige a una web de los delincuentes que está alojada en servidores de una empresa que lleva meses siendo usada por varios grupos de delincuentes para alojar sus webs fraudulentas y ficheros maliciosos. En esta web se nos mostrará la descarga de un supuesto fichero PDF, aunque la realidad es bien diferente", explica Albors.

El experto ha advertido que los clientes no deben abrir el fichero descargado bajo ningún concepto. No es una supuesta factura que debes pagar, sino un PDF con un malware que puede acceder a todos los datos del dispositivo.

"El fichero descargado está en formato .ISO y contiene en su interior un script de Visual Basic. Este script es el encargado de iniciar la cadena de infección, ejecutado a través de Windows Script Host", advierte Josep Albors.

Otros artículos interesantes:

• Llega a España la nueva estafa de WhatsApp que hace estragos en toda Europa
• Estafa viral en WhatsApp: secuestran cuentas con el falso concurso "Vota por mi hijo"

Estos engaños se pueden detectar a tiempo si se entiende el modus operandi, pero los ciberdelincuentes están creando métodos cada vez más sofisticados con herramientas como inteligencia artificial y falsificación de documentos. El problema es que también se está sumando otra estrategia que está siendo muy difícil de contrarrestar desde Google Chrome.

Lamentablemente, en este navegador está creciendo cada vez más el tabnabbing e incluso podrías haberte convertido en una víctima sin darte cuenta. Esto se debe a que con una simple pestaña podrías estar ingresando tu información como email, número telefónico y otros puntos de relevancia que se vuelve algo peligroso si caen en manos equivocadas.

• ¿Qué es tabnabbing y por qué deberías tener cuidado en Chrome?
• ¿Cómo protegerte de este ataque phishing?

¿Qué es tabnabbing y por qué deberías tener cuidado en Chrome?

En la actualidad hay una gran variedad de métodos de phishing que definitivamente causan estragos en el ordenador de cualquier usuario. Al igual que el Clickjacking, Pharming y Man in the Browser (MITB), hay una de estas tácticas que es sumamente peligrosa llamada Tabnabbing.

El verdadero problema es que esta es una de las formas más difíciles de detectar, especialmente si sueles abrir muchas pestañas de páginas a la vez en Chrome. Esto ha sido confirmado por la Policía Nacional en un Reel de Instagram, donde se explica que los piratas informáticos en España y el resto del mundo, están aplicando cada vez más este método para adquirir datos de las víctimas.

Lo que hacen es que, mediante un malware previamente insertado en el sistema operativo, logran tomar control para modificar una de las pestañas sin levantar sospechas, mayormente las inactivas que quedan en el navegador. Esta la reemplazan por una copia exacta para que parezca el sitio web oficial con el fin de engañarte para que ingreses tus datos a la plataforma, como iniciar sesión o compartir información confidencial.

Esto puede pasar tanto en redes sociales como Instagram o Facebook, como en cuentas de banco o correos electrónicos, por lo que hay que tener muchísimo cuidado al navegar. Al ser un hábito común el hecho de dejar ventanas abiertas mientras se hacen otras actividades en una página específica.

El enfoque de los hackers es Chrome porque es el navegador más utilizado en la actualidad, pero la misma situación se puede dar en otras alternativas como Edge, Firefox, Opera o Brave. En cualquiera de estas plataformas es importante percatarse de este tipo de ciberataques.

Cuando los sitios web se recargan, una de las cosas que suelen suceder es que inmediatamente se carga un apartado de inicio de sesión o para llenar formularios. Evidentemente, esto es con toda la intención de que pongas tu nombre completo, ubicación, teléfono, email, contraseña y más. 

Al presionar en enviar o, de manera directa, toda esa información le llega la ciberdelincuente y este podría lograr acceder a tus cuentas o vender los parámetros a terceros para que causen más problemas.

¿Cómo protegerte de este ataque phishing?

Principalmente, la Policía Nacional recomienda que se cuente con un antivirus de confianza en el PC para evitar desde un principio la infección por malware. Al mismo tiempo, es importante tomar las precauciones para ni siquiera acercarse a estas situaciones, pues tener una buena ciberseguridad hace la diferencia.

Lo otro es hay que cerrar pestañas inactivas que no son fundamentales. Si duran demasiado tiempo abiertas, podrían ser un peligro y es mejor no estar ante ese riesgo. De ser así, lo mejor es que se compruebe la URL original para saber si no ha sido sustituida y si aparece un formulario automático sin que hayas hecho nada, entonces debes sospechar.

En cualquiera de las plataformas que te lo permita, no dudes en activar la autenticación de dos pasos  y mantener tu navegador actualizado. El tabnabbing es una estafa sigilosa que podría ser una catástrofe para cualquier usuario.

Otros artículos interesantes:

• ¿Te estafan por 'phishing' y el banco te ignora? El Supremo dice basta, pero hay matices: "El problema es determinar qué entendemos por 'ser descuidado'"
• Ni antivirus ni VPN: este es el método que realmente me protege del phishing cuando trabajo desde casa

Uno de los casos más recientes son las cuentas filtradas de PayPal y las réplicas de voces con inteligencia artificial con las que han robado miles de euros. Lamentablemente, la situación no cesa con respecto a estos problemas y los ciberdelincuentes parecen que están en todos lados, hasta en el buscador de Google.

¿Pensabas que estabas ingresando a la página web oficial de Microsoft? Mucho cuidado es importante que te mantengas alerta de cualquier cambio extraño o sospecha porque podría tratarse de un sitio web falso en donde quieren que llenes un formulario que pone en riesgo tu seguridad y privacidad.

• Los piratas informáticos crean enlaces fraudulentos de las páginas que visitas cada día
• ¿Cómo evitar el fraude por redirecciones ADFS?

Los piratas informáticos crean enlaces fraudulentos de las páginas que visitas cada día

Ahora los cibercriminales están yendo más allá de lo esperando, pues el nuevo phishing es tan potente que abusa de la confianza de los dominios de Microsoft que son legítimos para engañar a las víctimas por medio de redirecciones fraudulentas que se realizan al acceder a las páginas oficiales de la compañía. 

Vas al buscador de Google y desde aquí entras a uno de los sitios web de la lista donde debería aparecerte el enlace hacia la plataforma donde necesitas iniciar sesión, como Outlook, Xbox o cualquier otra relacionada con Microsoft 365. Sin embargo, al entrar, parece que algo redirecciona a otra página que es prácticamente idéntica y es aquí donde aprovechan para adquirir tus datos.

Confiando en esa interfaz, podrías estar ingresando tus credenciales en un formulario que traslada los datos hacia el hacker detrás de esa réplica. Bleeping Computer explica que los investigadores de Push Security han analizado las etapas con respecto al modus operandi.

Esto lo hacen a través de un método que conlleva varias estrategias, empezando porque compran anuncios para usar técnicas como typosquatting para que las personas, cuando se confundan con los títulos, caigan en un entorno falso.

La otra manera es hacer uso de Active Directory Federation Services (ADFS) para redirigir a los usuarios a un dominio legítimo de Microsoft para, continuamente, pasar a otro que es el fraudulento y es manipulado por los ciberdelincuentes. Esto hace que se vuelva complicado de detectar cuando no se está atento del todo e incluso no es identificado por los sistemas de seguridad como una acción maliciosa.

El objetivo principal parece hacer uso de esta nueva táctica para poder aplicar otras maniobras más peligrosas que pongan en riesgo la vida virtual de las víctimas, ya sea por acceso indebido a cuentas de Microsoft o robo masivo de datos que pueden ser puestos en venta.

¿Cómo evitar el fraude por redirecciones ADFS?

Lo que se recomienda para evitar estas situaciones es que no se entre directamente a los anuncios patrocinados. Tal y como explica la experta en ciberseguridad, María Aperador, muchos piratas informáticos aprovechan la vulnerabilidad con las redirecciones de ADFS para que puedan ser usados de esta forma y crear las trampas.

Siempre se debe acceder directamente al sitio web oficial y a ninguna otra variación extraña en la URL, ya que eso significaría que ha sido algo manipulado. Otra de las maneras de protegerse si eres usuario de Microsoft 365 es que uses la autentificación multifactor y actives todas las medidas de seguridad. 

Siguiendo estos consejos, podrás mantenerte a salvo del phishing que podría darte muchos problemas. No solo esta vez, siempre debes tratar de priorizar la ciberseguridad para que no te conviertas en una de las víctimas afectadas por las nuevas estrategias de los hackers.

Otros artículos interesantes:

• Qué es el 'whale phishing', la nueva estafa para cazar "peces gordos"
• ¿Te estafan por 'phishing' y el banco te ignora? El Supremo dice basta, pero hay matices: "El problema es determinar qué entendemos por 'ser descuidado'"

Según el último informe AI Security Report 2025, elaborado por Check Point Research, lo más peligroso de esta nueva forma de planificar los ataques es la posibilidad de comprar paquetes directamente en lugares de la dark web o Telegram, impulsados por IA.

Por ejemplo, se han identificado sistemas de telefonía asistidos por este tipo de tecnología dirigidos a criminales sin conocimiento técnico que se pueden adquirir por aproximadamente 20.000 dólares, en el ámbito de los deepfakes, con herramientas de clonación de voz y manipulación facial.

"La frontera entre la realidad digital y la ficción ha desaparecido", asegura Eusebio Nieva, director técnico de Check Point Software para España y Portugal. "Las empresas que no se preparen para estas amenazas corren el riesgo de convertirse en víctimas de ataques diseñados por inteligencia artificial, escalables y difíciles de detectar".

En el caso de los vídeos manipulados con IA, el informe introduce el concepto de deepfake maturity spectrum, que clasifica los ataques en 3 categorías: generación offline –contenido ya grabado–, en tiempo real –modulación de voz e imagen en directo– y autónoma –con agentes de IA simultáneos–.

ElevenLabs, por ejemplo, permito ya clonar voces en menos de 10 minutos de audio, además de que existen herramientas para cambiar el rostro en llamadas de vídeo. Incluso plataformas como GoMailPro ofrecen abiertamente paquetes de phishing por 500 dólares mensuales en lugares como la dark web o Telegram.

Todo ello con soporte para ChatGPT, ya que el modelo de IA de OpenAI es el favorito para la construcción de estos modelos de lenguaje natural maliciosos, aunque están adquiriendo popularidad otros como Google Gemini, Microsoft Copilot y Anthropic Claude.

De la misma forma, para salvar las restricciones éticas y legales que puedan tener estos modelos, los cibercriminales han desarrollado los suyos propios, como OnionGPT, un modelo oscuro de IA para Tor, y WormGPT, basado en un jailbreak de ChatGPT.

Como menciona la compañía de inteligencia y seguridad, en la dark web existen foros en los que los cibercriminales comparten prompts maliciosos para engañar a estos modelos, como el que puedes ver a continuación para que DeepSeek cree un malware para robar información:

En este apartado, la lista que enumera Check Point no tiene prácticamente fin, ya que el uso de los LLM no para de incrementarse con fines maliciosos, como las ya mencionadas técnicas de phishing automatizadas o los deepfakes para suplantar identidades.

Uno de los ejemplos más recientes fue el caso de un hacker que vendió una lista con más de 15.000 documentos relacionados con DNIs y vídeos de verificación que, más tarde, usó para el registro en casas de apuestas online. Ahora, con la IA generativa, ni siquiera haría falta el robo de estos datos.

Adicionalmente, este informe guarda bastante relación con lo compartido recientemente también por CrowdStrike, que analizó cómo los actores persistentes y hackers patrocinados por Estados se habían hecho pasar por personas reales en procesos de contratación para infiltrarse en sistemas.

En definitiva, todos estos riesgos, que ya están presentes en la sociedad actual, solo muestran cómo la tecnología y, concretamente, la IA generativa, también puede ser usada y manipulada con objetivos ilegales. Un peligro cada vez más real.

Otros artículos interesantes:

• Nace Raven Stealer, el malware que se propaga por Telegram y se dirige a Windows
• Así es la estafa de los 100 euros al día de Telegram: "¡No caigas!"

Según explica en su blog oficial Mike Fiedler, administrador de PyPI e ingeniero de seguridad, no es una brecha de seguridad del sitio, sino una campaña para suplantar la identidad de la web oficial, mediante un supuesto correo electrónico de verificación de la cuenta.

"PyPI no ha sido hackeado, pero los usuarios están siendo el blanco de un ataque de phishing que intenta engañarlos para que ingresen en un sitio falso de PyPI", alerta Fiedler. "No es una violación de seguridad de PyPI en sí miso, sino más bien un intento de phishing que explota la confianza que los usuarios tienen en PyPI".

La técnica de los ciberdelincuentes ha sido bastante refinada y utiliza un correo electrónico con el asunto "[PyPI] Verificación de correo electrónico", con una dirección cuyo dominio es realmente parecido: mientras que el oficial es pypi.org, el de phishing agrega una j, con noreply@pypj.org.

Son 2 caracteres realmente parecidos, y si un usuario no revisa bien la dirección del remitente, podría llevar a una página que, de nuevo, imita casi a la perfección la oficial lo que llevará al robo de los datos de inicio de sesión.

Curiosamente, los cibercriminales han conseguido que dichas solicitudes en la página se devuelvan a PyPI, lo que perfecciona aún más una técnica impecable en la práctica, irreconocible por los usuarios que no revisen concienzudamente el enlace.

"Al usuario se le pide que inicie sesión, y las solicitudes se devuelven a PyPI, lo que puede llevar al usuario a creer que se ha conectado a PyPI, pero en realidad ha proporcionado sus credenciales al sitio de phishing", relata el administrador de PyPI.

El equipo de administración, como confirma en el blog Fiedler, está investigando diferentes métodos para manejar este sofisticado ataque, mientras que ya ha colocado un aviso en la página oficial para notificar a los usuarios sobre esta campaña masiva.

Según el ingeniero de seguridad, se ha avisado a los proveedores de CDN y nombres registrados, con el objetivo de avisar a las marcas, respecto a los abusos cometidos por este sitio malicioso.

Como recomendaciones, Fiedler explica que lo mejor al recibir este correo electrónico es no hacer clic en ningún enlace o proporcionar información personal; de la misma forma, lo más recomendable es eliminarlo definitivamente, además de inspeccionar siempre la URL en el navegador antes de iniciar sesión.

En caso de que algún usuario ya ha haya hecho clic en el enlace y haya proporcionado sus credenciales de inicio de sesión, se recomienda cambiar la contraseña lo antes posible, así como revisar el historial de protección de la cuenta por si existen cambios inesperados o no autorizados.

De momento, se desconoce quién está detrás de esta campaña masiva de phishing contra los usuarios de PyPI, además de las cifras de credenciales de inicio de sesión afectadas.

Otros artículos interesantes:

• Aprende Python sin saber programación: así puedes comenzar con este lenguaje
• ¿Es una buena idea aprender a programar en Python existiendo la inteligencia artificial?

Sin embargo, los hackers no solamente están usando inteligencia artificial para crear facturas falsas con la generación de imágenes en ChatGPT, sino que también están clonando las voces de personas de una manera muy efectiva.

¿Qué harías si un familiar te llama porque ha presenciado un accidente? Con su propia voz y en un contexto de urgencia, sin pensarlo dos veces, seguro que estarías dispuesto a ayudar. Por ejemplo, si se necesitan pagar deudas de cosas como asistencia médica o daños, pero el problema es que, en la actualidad, esa persona podría ser un ciberdelincuente.

Estamos hablando de una estrategia sofisticada donde alguien se hace pasar por un conocido con su voz, algo que es muy complicado de detectar. Lamentablemente, ya hay una víctima que ha reportado este tipo de caso y es que al confiar en esta fuente desconocida, ha perdido miles de euros.

Los estafadores ahora usan inteligencia artificial para robarle dinero a las víctimas

Fox13News ha compartido uno de los casos más impresionantes de phishing de los últimos años, algo que en la actualidad parece que se está volviendo cada vez más común. En el informe se explica que los scammers están haciendo uso de IA para clonar las voces de personas cercanas de las víctimas.

En esta ocasión, la afectada ha sido una residente de Dover, Florida, Estados Unidos, llamada Sharon Brightwell. Un día cualquiera, recibió una llamada telefónica en la que su hija hablaba desesperadamente, explicando que tuvo un accidente con una mujer embarazada.

“Era su voz de llanto; estaba histérica”, fue lo que explicó, destacando que era difícil siquiera pensar en que se trataba de una estafa, ya que son momentos en los que solo se quiere resolver un problema. Pero, ¿cómo no sospechó si no era el número exacto de su ser querido? Al parecer, durante la conversación, mencionó que su smartphone había sido confiscado por la policía.

Por lo visto, la autoridad había detenido a su hija y para poder dejarla libre debía pagar una fianza de 15.000 dólares (aproximadamente 12.870 euros). Evidentemente, sin pensar detenidamente y siguiendo las instrucciones que mencionaba el atacante encubierto. La víctima obtuvo el dinero y se lo dio a un “mensajero legal” en efectivo que fue enviado a la dirección exacta de su casa, diciendo que “cuando los vi alejarse, sentí una sensación terrible en el estómago”.

Confiando el proceso, el mal presentimiento no era equívoco. Posteriormente, llamó a su hija al número verdadero y se dio cuenta de que todo lo que había hecho era parte de una estafa, siendo un dinero que no pudo ser recuperado.

La IA implementada era tan realista que Brightwell no tuvo dudas al hablar con su hija, por lo que es posible que haya sido entrenada con vídeos de redes sociales. Este tipo de casos están volviéndose cada vez más frecuentes, incluso la afectada ha comentado que hubo otro intento de extorsión, pero con otro contexto y, esta vez, pidiendo alrededor de 25.000 euros.

La policía de Hillsborough sigue investigando estos sucesos, pero es de suma importancia tener cuidado, ya que no es algo que solo esté sucediendo en Estados Unidos. En cualquier parte del mundo donde los modelos de IA cloradores de voces estén disponibles, es posible que los cibercriminales se estén aprovechando de la tecnología de los sistemas cognitivos.

Cuando se trata de estos ataques de phishing, por mucho que insistan las autoridades, familiares o compañías reconocidas en hacer acciones urgentes, siempre se deben verificar los números telefónicos reales y contactar de ser necesario para evitar estas circunstancias.

Otros artículos interesantes:

• Estafa WhatsApp: aunque te lo pida un contacto conocido, jamás deberías hacer esto
• Por qué siguen cayendo miles en estafas absurdas: el factor psicológico que los ciberdelincuentes explotan

Si eres cliente de Amazon, durante el día de ayer deberías haber recibido un email titulado "Protégete contra las estafas", en donde la compañía fundada por Jeff Bezos alerta sobre un timo de phishing relacionado con una falsa subida de cuotas de Amazon Prime.

Este tipo de correos de alerta enviados por la propia compañía de comercio electrónico no son habituales, lo que indica que es una estafa peligrosa que seguramente ya ha engañado a algunos clientes.

Así funciona la estafa de la subida de precio de Amazon Prime

Según cuenta la propia Amazon en el correo que ha enviado a sus clientes, los estafadores están enviando emails electrónicos falsos que afirman que tu suscripción de Amazon Prime se renovará automáticamente por un precio mucho más alto del actual.

En algunos casos, el timo incluye información personal obtenida de otras fuentes, para que el email parezca aún más auténtico.

Los ciberdelincuentes intentan que la víctima se enfade por la subida, o se asuste al ser una renovación automática a un precio mucho mayor. Por eso el correo incluye un botón de "Cancelar suscripción". Si lo tocas, tu cuenta está en peligro.

Es un intento de phishing: el botón lleva a una página web que simula ser la original de Amazon, pero es una copia alojada en otro sitio.

Si intentas iniciar sesión para revisar tu suscripción, los ciberdelincuentes se quedarán con tu usuario y contraseña, y podrán entrar en tu cuenta para usarla en actividades ilícitas, desde comprar a tu cargo a suplantar la identidad, o robar tus datos bancarios.

Amazon recomienda acceder a su tienda desde la app, o escribiendo directamente la dirección web en el navegador, nunca desde un enlace. Si has sufrido una estafa o recibes un email o SMS sospechoso, puedes denunciarlo en su web Denunciar una estafa.

Finalmente, conviene activar la verificación en dos pasos de la cuenta de Amazon, que pedirá un código enviado a tu móvil cuando alguien intente entrar en tu cuenta desde lugares extraños. Puedes activarla en esta web.

El Prime Day 2025 está muy cerca, así que las estafas asociadas a la cuenta Amazon Prime se van a multiplicar estos días. Permanece alerta para evitar caer en la trampa.

Otros artículos interesantes:

• El sencillo método para saber cuándo una llamada es una estafa, según los expertos
• Es la mayor estafa del verano, pero los expertos dan la clave de cómo detectarla

El correo electrónico es una herramienta poderosa y realmente peligrosa si cae en manos de alguien con intenciones maliciosas, debido a que contiene mucha información sensible que cualquiera podría utilizar en contra de su propietario para engañarle, chantajearle o manipularle.

Con un único email, como, por ejemplo, la compra de la entrada de un teatro, es posible conocer nuestro nombre, nuestro número del carné de identidad, nuestro teléfono, nuestra dirección de facturación el número de tarjeta bancaria con la que se haya realizado la transacción.

Por ese motivo, conviene cuidar de más no solo los dispositivos en los que hayamos iniciado sesión y las redes WiFi que hayamos utilizado para conectarnos a nuestras apps, sino también, saber diferenciar  entre un correo legítimo y otro que, con toda probabilidad, es phishing.

Para aquellos que no tengan las mañas para saber identificarlo, como la dirección del remitente, la gramática del mensaje o la url del enlace contenido en el mensaje, algunas firmas de ciberseguridad como Avast o AVG han desarrollado una marca de agua que certifica que el correo electrónico es inocuo.

Doble comprobación de seguridad

El objetivo principal de una marca de agua es el de proteger y autentificar contenido digital, ya sean imágenes (para determinar cuál es su procedencia), como documentos (para identificar al propietario o al autor para evitar usos no autorizados). 

Asimismo, se puede utilizar para verificar que la procedencia de éstos es lícita. Esto es, precisamente, lo que han hecho algunas marcas desarrolladoras de soluciones de ciberseguridad, que incorporan la leyenda Libre de virus en el apartado que dedican a los correos electrónicos de sus plataformas para generar tranquilidad entre clientes y receptores de estos correos.

De esta manera, AVG y Avast lo hacen para determinar que se ha hecho una doble comprobación y lo que se está enviando está limpio, libre de malware, de modo inicialmente que no representa una amenaza para la persona que lo reciba.

Esta frase, que funciona como una firma y se sitúa en la parte inferior del mensaje, se integra de forma predeterminada en la mayoría de los casos, aunque se puede administrar y desactivar desde el apartado de Configuración de la plataforma de correo electrónico, como Microsoft Outlook o Mozilla Thunderbird.

La opción se puede activar y desactivar en cualquier momento y, una vez se haya quitado, los correos electrónicos salientes dejarán de incluir esta marca de agua en la parte inferior de cada email. 

Eso no significa que el software deje de funcionar a la hora de enviar un correo electrónico (y, por tanto, que quepa la posibilidad de que lo que se está enviando no es lícito), sino que, simplemente, el remitente deja de comprobar de un golpe de vista que lo que está visualizando no está infectado.

Cuestión de marketing

Conviene comentar también que esta leyenda no solo beneficia al remitente, sino también a la propia firma de ciberseguridad, ya que es una forma directa de publicitar sus servicios, por si la persona que visualice el nombre de antivirus se interesa por su software o por otras de las soluciones que ofrezca.

Esto, además, se demuestra al incluir el enlace a la página web de cada marca, de modo que al hacer clic sobre ella, se dirige al usuario a un apartado en el que se le invita a instalar su antivirus o a conocer otras de las características que ofrecen sus paquetes gratuitos.

Esto también refuerza la identidad de las marcas como proveedores de seguridad de confianza si se incluye la leyenda con su nombre en una comunicación que proceda de un remitente relevante, como puede ser una empresa o una institución.

En cualquier caso, es importante recordar que no es aconsejable confiar por completo en este tipo de herramientas de ciberseguridad ya que, aunque pocas, también tienen sus fallas.

Aunque las plataformas de antivirus ofrezcan muchas barreras de protección y posibilidades destinadas a limitar el impacto del software malicioso más sofisticado, los ciberdelincuentes siempre buscan la manera de ir un paso por delante, con nuevas fórmulas que sí pueden aprovechar vulnerabilidades para hacer daño.

Otros artículos interesantes:

• Cómo crear un correo temporal si no quieres dar el tuyo al registrarte en páginas dudosas o que no conoces
• He sido hackeado: accedieron a todos mis correos y así es como pude librarme

Pero a veces los ciberdelincuentes usan estrategias elaboradas que es prácticamente imposible saber si se trata de un correo electrónico fidedigno o bien de una estafa.

Según el desarrollador Nick Johnson, explicó que recientemente fue víctima de un complejo ataque de phishing, que aparentemente provenía de la propia Google.

Afirma que este correo electrónico phishing se envió desde un subdominio de Google y que encima estaba firmado por la propia Google, y Gmail no mostraba ninguna advertencia sobre el correo a pesar de que era una estafa.

Básicamente este correo redirige a los usuarios a un enlace de Google Sites que resulta ser una web de soporte falso.

Los ciberdelincuentes han intentado de esta forma que los usuarios creyeran que estaban en una página legítima de Google y, al hacer clic en ciertos lugares de la misma, se les permitía que introdujeran sus credenciales, que irían a parar a los ciberdelincuentes.

Lo raro es que este correo electrónico estaba firmado por la propia Google, y explica la situación.

Comenta que los ciberdelincuentes registraron el dominio y crearon una cuenta de Google asociada al mismo. Desde ahí, crearon una aplicación OAuth y usaron el correo de phishing completo como nombre de la aplicación.

Después los atacantes otorgaron acceso a esta aplicación OAuth a su cuenta de Google recién creada resultando de esta forma en el envío de un correo electrónico de notificación de seguridad, firmado por Google que se reenvió a las víctimas.

Parece ser que tras las quejas del investigador, Google se decidió a solucionar este problema de autenticación.

Así que debes tener mucho cuidado, porque incluso correos electrónicos que parecen totalmente fidedignos, pueden robarte las credenciales de acceso.

Otros artículos interesantes:

• ¿Qué es spear phishing y por qué compartir demasiado en Internet o redes sociales puede ser un gran error?
• Qué es el 'whale phishing', la nueva estafa para cazar "peces gordos"

Hay maneras de detener los intentos de ciberdelincuentes con recomendaciones de ciberseguridad, pero lamentablemente los hackers están logrando ataques de gran potencia con nuevas estrategias, tan poderosos que podrían evadir la protección de Autentificación de Dos Factores (2FA).

La 2FA se supone que es una de las capas de seguridad más fuertes, pues impide que los piratas informáticos puedan ejecutar las mayorías de sus tácticas, pero un nuevo kit llamado “Astaroth” está explotando todas las vulnerabilidades de las plataformas más usadas en Internet.

La situación es grave debido a que se está poniendo a la venta para estafadores y todo tipo de cibercriminales, por lo que muchas personas podrían estar siendo afectadas justo en este momento.

• ¿Por qué Astaroth es uno de los métodos de phishing más peligrosos?
• ¿Cómo proteger tu autentificación de dos pasos?

¿Por qué Astaroth es uno de los métodos de phishing más peligrosos?

Descubierto por el equipo de SlashNext, surgen preocupaciones sobre la alta capacidad de infiltración que tiene el kit de phishing Astaroth, el cual ha estado rondando desde enero de 2025, llevándose a varias víctimas con una implementación casi indetenible.

Probablemente, se trate de una de las estrategias más peligrosas que se han creado hasta ahora, ya que funciona distinto a muchas otras porque impacta directamente con la Autenticación de Dos Factores por medio de la recopilación de credenciales en tiempo real.

¿Cómo es capaz de superar esta protección? Según los informantes, utiliza una técnica de proxy inverso que se asemeja a otro kit llamado EvilGinx. Entonces, el proceso por el que pasa es que el usuario pone sus datos en una plataforma, este actúa como intermediario e intercepta los datos confidenciales sin que se levanten sospechas porque incorporan certificados SSL.

Servicios como Gmail, Outlook, Yahoo, Microsoft 365 y demás, que se utilizan normalmente para acceder de manera directa a plataformas similares, son los principales objetivos de Astaroth. Si logran obtener estos datos, pueden infiltrarse en otras cuentas y expandirse para causar estragos en diversos sitios de la persona afectada.

De la misma manera que otros métodos de phishing, este también crea páginas idénticas a las originales para que los usuarios caigan en la trampa pensando que están poniendo sus datos en un lugar “seguro”.

Cuando lo hacen sin darse cuenta, las técnicas de secuestro de sesiones e interceptación de credenciales se activan, por lo que son capaces de adquirir información personal, tokens de 2FA y las cookies guardadas en el navegador, algo que es sumamente catastrófico. 

Ese no es el único problema, la amenaza se ha vuelto aún más grande porque se está vendiendo este kit a terceros por aproximadamente 2000 francos (2.130 euros) a través de Telegram o foros ocultos, por lo que en este momento, ya debe haber una gran cantidad de hackers utilizándolo. 

¿Cómo proteger tu autentificación de dos pasos?

Probablemente, ya hay muchas compañías intentando crear métodos para evitar que estas situaciones se generen, pero no es un trabajo sencillo. Astaroth incorpora una infraestructura de alta resistencia al desmantelamiento porque, al parecer, el creador, lo estaría actualizando de manera constante.

A simple vista parece inevitable, pero todo es cuestión de tener cuidado al navegar. Este kit está centrado en la captura de tokens de 2FA y cookies, por lo que para evitarlo, es necesario desconfiar de las URLs a las que accedes. 

La mayoría de estos ataques pueden provenir de mensajes de WhatsApp de desconocidos y otras aplicaciones o correos electrónicos de SPAM. En estos suelen convencerte de entrar a un enlace donde se hacen pasar por una compañía verídica e insisten en que pongas tus datos.

No hagas nada antes de comprobar la procedencia, si vas a entrar a alguna promoción o cualquier cosa tentadora de una tienda online o si te llegó una notificación y quieres acceder a tu cuenta, hazlo yendo directamente a la página oficial y no desde el enlace que te envían. 

Evitar los resultados de “Patrocinado” de Google también es esencial para que estas cosas no sucedan. Por otro lado, puedes hacer uso de claves físicas como PassKeys o autenticación biométrica con el fin de dejar de emplear los códigos si sientes una mayor preocupación.

Para eludir estas amenazas debes seguir las recomendaciones de protección ante el phishing recomendadas por los expertos, donde la regla básica y más importante es no poner tus datos confidenciales a la ligera en cualquier plataforma o red social.

Otros artículos interesantes:

• Si caigo en una estafa de 'phishing', ¿está mi banco obligado a devolverme el dinero?
• ¿Qué es spear phishing y por qué compartir demasiado en Internet o redes sociales puede ser un gran error?

Los timos a través del correo electrónico, SMS o WhatsApp son tan viejos como Internet, pero la gente sigue picando, porque se siguen produciendo constantemente, tal como confirma Orange. Señal de que funcionan.

Todas las suplantaciones de identidad, que es lo que hace el phishing, necesitan un gancho para engañar a la víctima. Y los dispositivos tecnológicos muy deseados, desde un iPhone a un móvil Samsung, unos auriculares inalámbricos o un reloj inteligente, son un caramelo para atraer a los confiados.

Así funciona la estafa del iPhone gratis de Orange

Según explica la propia operadora naranja en su blog, han detectado una estafa de phishing enfocada a los clientes de Orange, con el iPhone como protagonista.

El timo se inicia a través de un correo electrónico o un SMS. Los ciberdelincuentes se hacen pasar por un comercial de Orange, y comunican al cliente que le ha tocado un iPhone, u otro dispositivo de gama alta.

Para recibir el regalo, piden entrar en un enlace que lleva a la supuesta web de Orange, en donde debes introducir tus datos personales.

Como es fácil adivinar, aquí está la trampa. Usando phishing, es decir, clonando la apariencia de la web de Orange para que parezca que es la original, en realidad accedes a una web de los ciberdelincuentes, y cualquier dato que introduzcas, lo robarán.

Debería sonar extraño que, para recibir un regalo que te ha tocado, la operadora te obligue a introducir datos personales que ya tiene. O información que no se necesita. ¿Para qué te piden tu cuenta bancaria, si te ha tocado un iPhone que deberían enviarte a casa?

Aun así, ante la perspectiva de recibir un iPhone gratis, mucha gente pica, y les acaban robando sus datos personales, cuenta bancaria o tarjeta de crédito. Los estafadores lo usarán para suplantar la identidad (cometer delitos en tu nombre) o para intentar robar dinero al banco.

Ante este tipo de estafas online, la Regla de Oro es siempre la misma, y además muy sencilla: no toques en enlaces que llegan a través de SMS o email.

Si te ha tocado algo, o te piden hacer una operación con tu banco, operadora, cuenta de Amazon, etc., y tienes dudas, nunca entres en los enlaces. Busca el número de teléfono o el email manualmente en Internet, asegurándote de que es el original, llama, y pregunta si lo que has recibido es verdad.

La estafa de phishing centrada en los clientes de Orange, que ofrece un iPhone gratis, es la última, pero llegarán muchas más. Es muy fácil protegerse contra ellas.

Otros artículos interesantes:

• Advierten sobre una peligrosa estafa: un simple SMS podría costarte todo tu dinero
• DIGI, de cero a héroe: cómo un "recién llegado" a España ha provocado un revuelo en Movistar y Vodafone

Cada vez más empresas han adoptado el modelo de trabajo en casa o un sistema híbrido, lo que ha llevado a una mayor digitalización. Sin embargo, esta evolución también ha abierto la puerta a múltiples amenazas online. Los piratas informáticos saben que muchas personas desconocen los riesgos a los que están expuestos y utilizan tácticas para intentar robar datos.

Por esta razón, es fundamental que tomes medidas para protegerte, y lo mejor es que no necesitas un antivirus ni tampoco una VPN para evitar caer en estas trampas, sino aplicar estrategias de seguridad efectivas. A continuación, te comparto algunos métodos para evitar ser víctima de phishing mientras teletrabajas. 

Piensa antes de hacer clic

Uno de los errores más comunes que cometen muchas personas es hacer clic sin pensar. Los correos electrónicos, mensajes o enlaces sospechosos pueden parecer legítimos a simple vista, pero al abrirlos puedes estar comprometiendo tus datos sin darte cuenta.

Los hackers suelen utilizar tácticas de urgencia para que los usuarios actúen sin reflexionar, como correos que afirman que tu cuenta ha sido bloqueada o que necesitas actualizar tu información de inmediato. 

Por esta razón, es muy importante que antes de hacer clic en un enlace o descargar un archivo PDF o incluso una imagen o un vídeo, verifica la dirección del remitente y revisa si hay señales de que pueda tratarse de un intento de phishing.

Mantente informado

El conocimiento es tu mejor herramienta contra el phishing. Los ciberataques evolucionan constantemente y los hackers cada vez usan métodos más sofisticados, incluyendo el uso de inteligencia artificial para hacer que los correos sean más creíbles.

Si estás al tanto de las últimas amenazas y técnicas utilizadas por los ciberdelincuentes, te será más fácil identificar posibles fraudes. Mantente informado a través de fuentes confiables, como sitios especializados en ciberseguridad o las alertas de seguridad de tu empresa.

Aprende a detectar el phishing

El phishing puede presentarse de diferentes formas, desde correos electrónicos falsificados hasta mensajes de texto o llamadas de números desconocidos. Para evitar caer en estos engaños, es clave que sepas reconocer sus señales.

Uno de los principales indicios de un intento de phishing es la dirección de correo electrónico del remitente. A menudo, los hackers intentan suplantar identidades utilizando direcciones muy similares a las originales, pero con ligeras variaciones en letras o símbolos.

Otra señal de alerta es el lenguaje del mensaje. Muchos mensajes incluyen errores gramaticales, textos demasiado formales o mensajes que intentan generar pánico. También debes estar atento a enlaces sospechosos o archivos adjuntos que no estabas esperando recibir.

Protege tu conexión WiFi

Uno de los mayores riesgos de trabajar desde casa es la seguridad de tu conexión a Internet. Si tu red WiFi no está correctamente protegida, los hackers pueden interceptar tu tráfico y acceder a datos confidenciales.

Para reducir este riesgo, asegúrate de utilizar una contraseña segura en tu red, cambiar el nombre de la red predeterminado y activar el cifrado WPA3 o WPA2. Además, evita conectarte a redes públicas, ya que pueden ser utilizadas para ataques de phishing o robo de datos bancarios.

Utiliza un antivirus

Aunque en este caso no es imprescindible, contar con un buen antivirus sigue siendo una capa de seguridad adicional que puede ayudarte a detectar amenazas antes de que afecten tu dispositivo. Los hackers emplean métodos sofisticados para distribuir malware, ya sea a través de correos de phishing, páginas web maliciosos o archivos infectados. 

Un programa que esté continuamente monitoreando tu sistema, puede identificar estos riesgos y bloquearlos antes de que puedan comprometer tu información. Además, muchos antivirus modernos incluyen funcionalidades que examinan el tráfico web en tiempo real y ofrecen protección proactiva frente a ataques desconocidos.

Por qué es importante seguir estas recomendaciones

Si no aplicas estas medidas de seguridad, corres el riesgo de caer en un ataque de phishing y comprometer información personal o de tu empresa. Los piratas informáticos pueden robar credenciales, acceder a documentos importantes o incluso instalar malware en tu equipo.

Un solo descuido podría derivar en una fuga de datos, pérdida de dinero o incluso el acceso no autorizado a cuentas bancarias. Además, si trabajas para una empresa, podrías poner en peligro la seguridad de toda la organización, facilitando la entrada de los ciberdelincuentes a su red interna.

Por ello, aplicar estas estrategias es esencial para mantenerte seguro mientras realizas teletrabajo. No necesitas herramientas costosas ni complejas configuraciones, solo estar atento y adoptar hábitos de seguridad adecuados. Así evitarás ser víctima del phishing y protegerás tu información en todo momento.

Otros artículos interesantes:

• Ni Mac ni Linux, las 3 razones por las que Windows tiene más virus
• Ni Norton ni McAfee: los jóvenes ya no usan antivirus de pago, según los expertos

Apenas con la entrada del nuevo milenio, esta técnica se puso de manifiesto con la llegada a numerosas bandejas de entrada de una misiva titulada ILoveYou, un gusano que llegó a infectar hasta 50 millones de ordenadores a nivel mundial.

A día de hoy, la técnica continúa siendo muy parecida, aunque con enlaces que llevan a sitios HTTP –por lo general– que anotarán cualquier datos que introduzcas, habitualmente en formato de formulario. Más allá de la técnica clásica, los ciberdelincuentes han mejorado considerablemente sus métodos.

Es lo que le ha ocurrido a Héctor Rodríguez Monerris, CEO y fundador de Marca Condal, quien ha vivido en primera persona un ciberataque en el que los delincuentes suplantaron la identidad de un proveedor para estafar 42.000 euros.

"Nos dimos cuenta del problema cuando llegó una supuesta factura del proveedor con datos de transferencia modificados", explica en una conversación con Computer Hoy. "A primera vista, todo parecía normal: el tono, los archivos adjuntos, las fechas. Pero algo no encajaba del todo, y gracias a una revisión exhaustiva y a ciertas alertas internas, evitamos que el daño fuera aún mayor". 

Sin embargo, a pesar de la rapidez en solventar lo más urgente, los atacantes se hicieron con parte de los datos: "Para entonces ya habían comprometido cierta información", lamenta. En cualquier caso, el modus operandi ha sido "casi perfecto", en declaraciones de la Policía Nacional al empresario.

En primer lugar, los atacantes se hicieron con el control del dominio de correo electrónico de dicho proveedor, con lo cual estos podían revisar cualquier movimiento en la bandeja de entrada, según explica Rodríguez Monerris.

"Todo empezó cuando el correo de uno de nuestros proveedores fue hackeado. Los atacantes estuvieron leyendo todos sus emails durante semanas, recopilando información para entender nuestras dinámicas de trabajo", asegura. "Fue un ataque meticuloso, nada al azar".

En segundo lugar, los atacantes no manipularon ningún dato importante o principal, aunque sí el que culminaría el engaño: los números de la cuenta bancaria a la que se realizaría el pago, los cuales habían cambiado a conveniencia. ¿El resultado?

Una estafa prácticamente imposible de rastrear: desafortunadamente, existen ciertas entidades bancarias que permiten registrar un DNI de forma telemática, algo que no debería ocurrir en este tipo de organizaciones si se quiere garantizar la seguridad de los activos más importantes, los datos de los clientes.

Dicho esto, los atacantes son prácticamente imposibles de rastrear, debido al posible uso de un documento de identificación falsificado o sustraído. Por fortuna, el CEO asegura que el impacto a nivel reputacional ha sido "limitado", informando siempre con confianza a proveedores y equipos.

Los aprendizajes y consejos tras el ciberataque

Aunque no es plato de buen gusto para nadie ser víctima de un ciberataque, Rodríguez Monerris asegura que ha aprendido muchísimo con esta amarga experiencia, desde la colaboración directa e inmediata con proveedores hasta la monitorización constante de las redes.

Estos elementos son prácticamente indiscutibles en un manual de estrategias de ciberseguridad, aunque no siempre se tienen en cuenta; en cambio, el CEO actuó de forma positiva: comunicó el incidente a proveedores y autoridades, además de minimizar el impacto del ataque de manera ágil.

Además de herramientas básicas de ciberseguridad, como la doble autenticación o los filtros avanzados del correo, esto es lo que recomienda para prevenir un ciberataque:

• Confirma que la dirección de un correo es auténtica. A pesar de que muchos de los atacantes usan el mismo dominio que una organización de confianza, siempre has de revisar que dicha dirección sea verídica. En tal caso, podrías realizar el contacto mediante una llamada telefónica.
• Forma en ciberseguridad a tus equipos. Una de las técnicas más usadas por los ciberdelincuentes es la ingeniería social, que hace referencia al eslabón más débil de la cadena, el ser humano. "Muchas veces el ataque no es tecnológico, sino psicológico. Los estafadores saben cómo manipular el lenguaje y la confianza", agrega.
• Fomenta el principio del mínimo privilegio. Es uno de los pilares fundamentales de una estrategia integral en ciberseguridad, ya que permitirá controlar los accesos no autorizados. El resumen más exacto sería: a cada cual se le concederá acceso según sus necesidades en la organización. 
• Registra absolutamente todo. Para una posterior denuncia e investigación, lo mejor es que recopiles toda la información disponible del ataque, tanto correos electrónicos como paquetes recibidos –algo que se puede realizar con un analizador de redes–. "Si pasa algo, tener un registro detallado puede ser clave para limitar el daño y colaborar con las autoridades", recomienda este empresario.

Como ves, no son pocas las recomendaciones para evitar este tipo de ciberataques, sobre todo, como recuerda Rodríguez Monerris, hay que actuar con transparencia para evitar daños mayores, algo que en su caso no ha ocurrido afortunadamente.

Otros artículos interesantes:

• Cómo convertir tu Raspberry Pi en un dispositivo de extrema ciberseguridad con Pi.Alert
• Si usas VPN, te interesa conocer esta función secreta contra el malware y las estafas online

La firma de seguridad any.run ha descubierto un ataque phishing que evade los antivirus, y no permite ejecutarse en un sandbox, utilizando documentos Word corruptos que supuestamente incluyen bonificaciones de nóminas, pagas extra, bonos, y otros ganchos.

El ataque está dirigido a empleados de ciertas empresas, ya que los documentos de Word tienen el logo de las empresas, e incluso fotos reales de los empleados para parecer más reales. Vamos a ver cómo funciona esta estafa.

El nuevo ataque phishing con documentos Word corruptos

Según ha podido comprobar any.run, estos documentos se enviaban a empleados de empresas desde un correo falso que simulaba el departamento de administración o de nóminas de dicha compañía.

Los ficheros de Microsoft Word son detectados como limpios por los antivirus, y producen un error al intentar abrirlos en un sandbox, porque están corruptos.

Sin embargo, aun conteniendo fallos, Microsoft Word puede abrirlos. Entonces aparece un mensaje que indica que el documento adjunto se ha corrompido, y muestra un código QR para poder volver a descargarlo.

Un fichero de Word no puede contener virus, pero un código QR puede llevar a una web que sí lo contenga. Como  ocurre en este caso. El QR apunta a una web que simula el departamento de nóminas, en donde pide iniciar sesión con la cuenta de la empresa.

Al hacerlo, los ciberdelincuentes roban el nombre de usuario y la contraseña de la cuenta, obteniendo el acceso a la empresa.

Lo destacable de esta nueva técnica de phishing, es cómo elude la seguridad. El documento Word ha sido corrompido a propósito, de tal forma que los antivirus lo identifican como un fichero comprimido corrupto. Al intentar descomprimirlo no pueden hacerlo, así que lo catalogan de fichero inservible y, por tanto, inofensivo.

Sin embargo, la corrupción solo es parcial, generada de tal forma que Microsoft Word pueda leer parcialmente el fichero de texto, para mostrar el mensaje y el código QR.

La protección ante este tipo de phishing es siempre la misma: no descargar ficheros de ningún enlace o código QR que llegue por email, hasta comprobar su origen.

Usar documentos Word corruptos para eludir el antivirus, sin estropear del todo el fichero, es una técnica muy inteligente, que requiere una gran destreza para llevarla a cabo.

Otros artículos interesantes:

• Detenidas ocho personas por una gran estafa man in the middle con IA, en Madrid, Sevilla, Murcia, Las Palmas y otras provincias
• Gmail: así funciona la aterradora y peligrosa estafa de los 10 segundos

Sin embargo, ni la Guardia Civil ni la Policía Nacional se pondrán en contacto contigo mediante correo electrónico, excepto en aquellas ocasiones en las que hayas pedido alguna cita, como la renovación del DNI o pasaporte, por ejemplo.

A lo largo de varios meses, algunos ciberatacantes –aún no identificados– han aprovechado diferentes direcciones institucionales para intentar suplantar la identidad de las autoridades españolas; en muchos casos, con resultados que afectan a la víctima de la estafa.

En los últimos días, llegó a mi bandeja de correo un mensaje de este tipo, con un remitente perteneciente a un profesor de música de un centro universitario de Cantabria, al que Computer Hoy ha contactado ante una más que posible brecha de seguridad en su red interna, o al menos en esa dirección.

Hay ciertos elementos que, en un primer vistazo, ya rechinan, como las direcciones de respuesta y del remitente, que son diferentes. En el caso del remitente, aparece la del profesor de música del centro, mientras que en la de respuesta el correo llegará a un tal Francisco Pardo Piqueras.

Oficialmente, este es el director general de la Policía Nacional, aunque la dirección no acaba con el dominio de este organismo, sino a la dirección del atacante que quiere hacerse con tus datos.

Según la respuesta de la Policía Nacional, ante la denuncia informal de los hechos que ha compartido Computer Hoy, es una campaña de phishing que lleva activa, a día de hoy, más de 1 año. Aunque la estrategia ha cambiado parcialmente.

Mientras que en la campaña compartida por la Policía en su cuenta de X se ofrecen en el mismo correo enlaces o adjuntos, en esta nueva versión no aparece nada de eso. Lo que se busca, en definitiva, es una respuesta para engañar a la víctima.

En este sentido, la Unidad Central de Ciberdelincuencia aconseja no responder nunca a este tipo de correos, además de informar a las autoridades correspondientes o configurar un filtro antispam para correo no deseado.

"Como recomendación, no abra los correos electrónicos recibidos de procedencia dudosa, cuyo remitente desconozca, o de empresas de las cuales no haya solicitado información o algún servicio", recomiendan. 

"Igualmente, nunca pinche en los enlaces que contienen los correos electrónicos sospechosos, y, ante la duda, contacte con la persona o entidad que presuntamente está enviando dicha información, para comprobar si efectivamente es legítima", agregan.

En conclusión, si dudas de la procedencia de este tipo de correos, contacta directamente con las fuerzas y cuerpos de seguridad.

Otros artículos interesantes:

• Guía definitiva para identificar el 'phishing' y protegerte de correos que quieren estafarte
• ¿Has sido víctima de phishing? Así es como debes actuar según un experto

Y ahora, el Ministerio para la Transformación Digital y de la Fundación Pública ha anunciado una batería de medidas para combatir estas estafas, en concreto las de suplantación de identidad que se cometen mediante SMS o bien llamadas telefónicas.

Ahora el ministerio ha iniciado el trámite para una orden ministerial, que incluya estas modificaciones normativas para el plan.

Algunos aspectos muy interesantes en este plan, que se podría poner en marcha en breve, destacan la prohibición de la numeración móvil para la realización de llamadas comerciales.

Por otra parte comentan que permitirán con carácter general “la utilización de números 800 y 900 por parte de las entidades que tengan asignados estos números para la realización de llamadas comerciales, de forma que, si un usuario tiene un número 800 o 900 guardado en su agenda como el servicio de atención de una empresa de la que es cliente, le aparezca como tal cuando esta le llame para realizar una oferta comercial".

También se recoge el bloqueo por parte de los operadores de las llamadas que utilicen números que no hayan sido atribuidos a ningún servicio, adjudicados a ningún cliente o bien asignados a ningún operador.

Igualmente se bloquearán las llamadas y los mensajes de numeración nacional con origen internacional.

Por otra parte, se creará una base de datos con usuarios que utilizan alfanuméricos en sus mensajes: "Aquellos mensajes procedentes de entidades no incluidas en esta base de datos quedarán bloqueados", ha añadido el ministerio. Se trata de una base de datos que gestionará la Comisión Nacional de los Mercados y de la Competencia.

En estos últimos años se han incrementado fraudes como las estafas de suplantación de identidad donde los ciberdelincuentes suplantan la identidad de una organización de confianza con la intención de obtener datos personales del usuario a través de un engaño.

"Estas estafas son relevantes ya que hacen disminuir la confianza de la ciudadanía en la fiabilidad y seguridad del contenido transmitido a través de las comunicaciones electrónicas, perjudicando a aquellas empresas y organismos que hacen uso de llamadas y mensajes de texto legítimamente y, además, causan importantes daños financieros y económicos a todos los sectores de la sociedad, incluidos los consumidores, las empresas y los organismos públicos", aclara el Ministerio para la Transformación Digital y de la Fundación Pública.

Otros artículos interesantes:

• Guía definitiva para identificar el 'phishing' y protegerte de correos que quieren estafarte
• La cara B de ChatGPT: engaños, 'deepfakes', estafas y 'phishing'

Hablamos de la estafa del retrovisor, de la que ya te hemos hablado anteriormente, pero que vuelve a estar presente y que tiene varias modalidades, y la más difundida es la siguiente.

Como ha explicado la cuenta de Instagram lawtips, la nueva estafa del retrovisor es cuando un conductor se encuentra el retrovisor o cualquier elemento de su coche roto, y con una nota en el parabrisas.

Esta nota está hecha por el delincuente, y en la que se insta al usuario a ponerse en contacto con el mismo a través de un número de teléfono.

Si el usuario llama a ese número de teléfono, le invitarán a que agregue dicho número a WhatsApp para ponerse en contacto con la supuesta aseguradora.

De primeras puede parecer que se está obrando de buena fe y que se han preocupado del golpe, pero en realidad es el comienzo de una estafa.

Cómo se produce la estafa del retrovisor

Si el usuario agrega dicho número a WhatsApp le contestarán con un mensaje junto con un enlace web que, si se pulsa en el mismo, será reedirigido a una página en posesión de los delincuentes.

En esta página que se hace pasar por una aseguradora, se tendrán que introducir los datos personales, y a partir de ahí ya estarían en posesión de los delincuentes tu información. Esa información podría usarse para futuras compañas de phishing o para incluso intentar obtener datos más sensibles como los bancarios.

El consejo que hay al respecto, es que este tipo de trámites siempre los hagas a través de los números oficiales de las aseguradoras o entrando de forma manual a las páginas webs correspondientes.

No se debe confiar en enlaces facilitados a través de SMS, correos electrónicos, mensajes de redes sociales o de WhatsApp, dado que suelen ser la principal vía para estafar a los usuarios.

Otros artículos interesantes:

• ¿Es fiable comprar en Miravia? Opiniones y en qué debes fijarte para evitar estafas
• ¿Es fiable comprar en TEMU? Opiniones y en qué debes fijarte para evitar estafas

Una de sus estrategias más habituales es el phishing, que consiste en enviar correos electrónicos falsos que simulan ser de personas conocidas o empresas legítimas.

Aprovechan el correo porque es una herramienta imprescindible en la vida cotidiana de muchas personas, tanto para comunicarse como para gestionar diversos asuntos. Por eso, hay riesgos que debes prevenir.

En un mundo digital plagado de amenazas, las estafas se han convertido en una forma avanzada de fraude que puede tener graves consecuencias para quienes caen en la trampa.

Para protegerte, es fundamental comprender estas amenazas y saber cómo identificarlas. El phishing es un tipo específico de estafa que usa la suplantación de identidad, donde los delincuentes se hacen pasar por entidades fiables para obtener tu información.

Afortunadamente, existen señales de alerta que pueden ayudarte a detectar cuando algo no está bien. A continuación, te mostramos las 8 señales principales que debes tener en cuenta para protegerte de correos que intentan estafarte.

Así puedes identificar los correos electrónicos de phishing

• Asunto de correo alarmante: Para evitar caer en el phishing, lo primero que debes hacer es fijarte en el asunto del correo. Los ciberdelincuentes suelen usar asuntos que te provocan temor, con palabras como "Urgente" o "Alerta de seguridad". Su objetivo es que reacciones sin pensar y hagas clic en sus enlaces o archivos maliciosos. Por eso, cuando recibas un correo con este tipo de asuntos, revisa con atención el resto del mensaje.
• El dominio en la dirección del remitente: Un correo fraudulento puede tener un aspecto muy convincente, pero hay formas de detectarlo. Fíjate bien en el dominio del remitente y busca indicios de falsedad, como dominios públicos que no coinciden con la empresa real, faltas de ortografía o gramática, dominios demasiado largos o complicados o extensiones raras. 
• Un saludo demasiado personalizado: Los correos de phishing suelen utilizar saludos que no se ajustan a la forma en que te comunicas con las empresas legítimas. Por ejemplo, pueden decir "Estimado cliente" o "Saludos", sin mencionar tu nombre, o pueden usar tu nombre demasiadas veces para intentar ganarse tu confianza. Las empresas suelen usar saludos equilibrados y profesionales, que no son ni demasiado impersonales ni demasiado familiares. 
• Errores de ortografía: Una forma de distinguir los correos legítimos de los fraudulentos es fijarse en el nivel de redacción. Los correos de las empresas suelen estar bien escritos, mientras que los de phishing pueden tener errores evidentes por la falta de tiempo o de conocimientos del idioma. Es importante prestar atención a la gramática y la ortografía para detectar posibles intentos de engaño. 
• Verifica los enlaces: Una forma de protegerte es verificar los enlaces que recibes en los correos. Algunos de estos enlaces pueden llevarte a sitios web falsos que intentan engañarte para que proporciones información personal o financiera. No hagas clic en los enlaces sin asegurarte de que son de fuentes confiables y no abras archivos adjuntos que te parezcan extraños. Podrían contener programas maliciosos que ponen en riesgo la privacidad y el funcionamiento de tu dispositivo.

• Solicitud de información personal: Un correo de phishing es un intento de engañarte para que reveles tu información personal o datos bancarios. Las empresas nunca te pedirán estos datos por email. Por tanto, si recibes un correo que te solicita tu contraseña, número de tarjeta de crédito, dirección, número de teléfono o cualquier otra información confidencial, debes sospechar que se trata de un fraude y no responder ni hacer clic en ningún enlace.
• Amenazas con sentido de urgencia: Los ciberdelincuentes suelen recurrir a la manipulación emocional, creando una falsa sensación de urgencia, como el bloqueo de cuentas o el cobro de multas si no respondes de inmediato. Antes de actuar de forma precipitada, es importante que compruebes la veracidad de la solicitud. No caigas en la trampa de las amenazas.
• Ofertas falsas y poco realistas: Si algo parece demasiado bueno para ser verdad, probablemente lo sea. Correos que anuncian ganancias inesperadas o premios sin participación previa pueden ser intentos de phishing. Desconfía de las ofertas poco realistas y verifica la autenticidad antes de tomar cualquier acción, de esta manera protegerás tu seguridad.

Cabe señalar que la prevención es el factor más importante para proteger tu información de los ataques de phishing y de los estafadores. Estos mensajes falsos intentan engañarte para que reveles tus datos o accedas a sitios web maliciosos. 

Para evitar caer en estas trampas, debes estar atento a las señales de advertencia que te indican que un mensaje o un sitio web no es de fiar. 

Si detectas alguna de estas señales, no respondas al mensaje ni hagas clic en ningún enlace o archivo. En su lugar, verifica la autenticidad del remitente o del sitio web, de esta manera, podrás mantener la seguridad de tus cuentas y datos personales.

Otros artículos interesantes:

• Así puedes protegerte de las estafas de PayPal y mantener tu dinero seguro
• La cara B de ChatGPT: engaños, 'deepfakes', estafas y 'phishing'

Ahora mismo, existe una campaña de phishing mediante la cual los ciberdelincuentes están intentando hacerse con las credenciales de acceso a la banca online o con los datos de la tarjeta de crédito o de débito de los usuarios.

De hecho, la propia Policía Nacional avisa en sus redes sociales como X, de una campaña de phishing en la que hablan de que nuestra tarjeta del banco ha sido inhabilitada.

Así funciona la estafa

Esto se produce a través de un mensaje de SMS en la que el banco te informa de que tu tarjeta de crédito o de débito ha sido inhabilitada por los nuevos cambios en seguridad.

Con ello, el mensaje insta al usuario a que pinche en un enlace para reactivarla, y ahí es donde viene el problema.

Si el usuario confía en el mensaje, y pincha en este enlace, se le pedirá que proporcione una serie de datos, unos datos que irán a parar a los servidores en posesión de los ciberdelincuentes.

Aunque el usuario cree que ha reactivado su tarjeta, lo que realmente ha hecho es facilitar estos datos a los piratas informáticos, y con ello podrían empezar a vaciar la cuenta bancaria del usuario.

Si el usuario pica en esta estafa lo que debe hacer rápidamente es bloquear su tarjeta de crédito y pedir al banco que le envíe una completamente nueva dado que la anterior ya ha sido expuesta a los piratas informáticos.

El usuario debe ser consciente de los datos que ha proporcionado a los ciberdelincuentes para poderlos denunciar y, por otra parte, debe estar muy atento a los próximos meses por si alguien intenta suplantar su identidad o bien observa movimientos extraños en su extracto bancario.

Otros artículos interesantes:

• Cómo evitar el carding, la estafa que usan los ciberdelincuentes para robarte la cuenta
• La cara B de ChatGPT: engaños, 'deepfakes', estafas y 'phishing'

Los ciberdelincuentes están siempre al acecho de intentar vaciar la cuenta bancaria de los usuarios, y para ello utilizan distintos procedimientos para engañarlos.

Así que la Guardia Civil ha publicado un nuevo vídeo en TikTok donde hablan de un nuevo tipo de banco fantasma, mediante el cual los ciberdelincuentes se hacen pasar por tu banco para intentar robarte las credenciales de acceso.

La estafa es sencilla, el ciberdelincuente enviará de forma aleatoria varios mensajes SMS con la esperanza de que algún usuario acabe contestando.

Estos mensajes SMS pueden hacer referencia a varios bancos, entre los que figuran BBVA y CaixaBank, de los más populares en nuestro país.

En estos SMS, se dice al usuario que tiene algún problema con el acceso a la banca online, y que debe acceder a un enlace en particular para introducir sus credenciales de acceso y volver a habilitar la cuenta.

Pues bien, este enlace es fraudulento, y básicamente lo que hace es redirigirnos a una página web creada por los ciberdelincuentes, pero calcada a la de nuestro banco.

En esa web, de la que el usuario cree que es de su propio banco, si introduce las credenciales bancarias, irán a parar directamente a los ciberdelincuentes que ya podrían acceder a su cuenta.

Sin embargo, es una estafa bastante antigua y con un mínimo de cultura de Internet es prácticamente imposible de caer.

Cómo identificar estas estafas

Este tipo de mensajes suelen contener errores gramaticales, pero además siempre meten prisa para que no pensemos con claridad.

Por otra parte, los enlaces incluidos en estos SMS, dirigen a páginas que no son las las oficiales, y que suele estar enmascaradas en acortadores o bien en subdominios, por lo que debes echar un ojo siempre a la barra de direcciones.

Y quizás lo más importante, jamás tu banco te pedirá que introduzcas las credenciales de acceso a través de un enlace enviado por correo electrónico o por SMS.

Cualquier gestión que tengas que hacer con tu banco, hazlo siempre a través de la aplicación oficial o bien accediendo de forma manual al banco a través de tu navegador favorito.

Otros artículos interesantes:

• Cómo evitar el carding, la estafa que usan los ciberdelincuentes para robarte la cuenta
• He convertido Telegram en la herramienta definitiva para conocer todos los movimientos de los ciberdelincuentes

La nueva estafa de ciberdelincuencia, comienza con una llamada telefónica, el número que aparece en pantalla es España —+34 6xxxxxxxx"—. Una voz afirma representar a un bufete de abogados en nombre de INCIBE, inquiriendo sobre un supuesto fraude en el que has sido víctima.

A continuación, el ciberdelincuente solicita su dirección de correo electrónico para clarificar la situación. Horas después, en tu bandeja de entrada, un e-mail revela el motivo de la llamada y le pide más detalles sobre el incidente. Es aquí donde el peligro se esconde.

Esta táctica engañosa afecta a toda persona que haya proporcionado su correo electrónico tras la citada llamada telefónica y luego haya recibido el correspondiente correo electrónico con solicitudes de información. 

Este es un ejemplo de mail fraudulento:

"Espero que este correo electrónico lo encuentre bien. Le escribo hoy en mi calidad de una oficina legal con sede en el Reino Unido en relación con un asunto importante que nos ha sido delegado por Instituto Nacional de Ciberseguridad (INCIBE). Usted está involucrado en un esquema de fraude del cual se ha retirado una suma considerable de su cuenta.

Después de que INCIBE realizó las investigaciones respectivas, el caso fue entregado a nosotros junto con la documentación relevante para proporcionarle soluciones legales y finalizar el retorno de los fondos tomados. Por favor, no dude en ponerse en contacto con nosotros y proporcionarnos todos los detalles de cómo ha sido engañado, para que podamos facilitar la resolución de este asunto.

Puede comunicarse con nosotros en la dirección adjunta a continuación: consult@incibe-inXX.XXXXX +** *********

Atentamente, Emma FoXXX Abogada especialista en Derecho Informático y Ciberdelincuencia"

Lo inquietante es que no todos los mails tienen la misma presentación. Algunos pueden contener palabras clave como “INCIBE”, y aunque la redacción de muchos de ellos ha resultado "deficiente", quizás por traducciones literales, el riesgo es innegable.

Así que, si en los últimos días ha sido contactado por un bufete de abogados relacionado con INCIBE y has proporcionado tu dirección de correo, debes estar alerta. De recibir dicho mail, es crucial marcarlo como "spam" o "correo no deseado", y eliminarlo de inmediato.

Contacta con el servicio de ayuda de INCIBE si has sido afectado

Si has proporcionado información adicional, se recomienda comunicarse con el servicio de ayuda en ciberseguridad de INCIBE en el 017. También hay que estar atentos a posibles usos indebidos de su información en la web. En caso de haber compartido datos bancarios, revisar exhaustivamente los movimientos de su cuenta.

En tiempos donde la tecnología es esencial en nuestras vidas, es fundamental permanecer alerta y siempre contrastar la información de cualquier comunicación sospechosa. Recordemos: ante llamadas inesperadas, lo mejor es colgar y verificar llamando al número oficial de la entidad mencionada.

Otros artículos interesantes:

• La estafa del burofax: INCIBE alerta sobre este peligroso malware
• INCIBE lanza un nuevo servicio antiransomware gratuito

Los investigadores de seguridad han descubierto una nueva campaña phishing en la que los piratas informáticos entran a los sistemas oficiales de los hoteles, de sitios de reservas o de agencias de viajes, y desde ahí estafan a los clientes.

La estafa comienza con una llamada del pirata informático al hotel o a la agencia de viajes. Después de haberse comunicado con el hotel, los delincuentes hablan de algún motivo como una condición médica de uno de los futuros clientes para que envíen documentos importantes a través de una dirección web.

Si el hotel accede a esta dirección web, los piratas informáticos inyectan un malware que opera de forma sigilosa y que recopila datos confidenciales como credenciales o información financiera.

Con ello, los piratas informáticos tendrían acceso a los propios clientes que hayan realizado algún tipo de reserva en este hotel o agencia de viajes.

El pirata informático, al contar ya con un canal de comunicación directo y oficial del hotel, o la agencia de viajes que ha podido corromper, pueden enviar sus mensajes phishing directamente a los clientes que hayan realizado una reserva.

Este mensaje phishing que se realiza a través de un canal de comunicación oficial del hotel o de la agencia de viajes, y por eso parece legítimo, se pide a la posible víctima que confirme la tarjeta de crédito una vez más.

Para ello se insta al cliente a que acceda a una página web fraudulenta que lleva a un sitio falso de Booking donde se tendría que volver a introducir los datos de la tarjeta bancaria. Si lo hace, estos datos de la tarjeta bancaria irán a llegar al pirata informático.

Dado que la comunicación proviene del sitio de reservas a través del canal oficial, el usuario cree que todo es fidedigno e introduce su tarjeta sin saber que se le está otorgando los datos a los piratas informáticos.

Cómo saber si es una estafa

Si bien es bastante complicado en este caso saber si se trata de una estafa, sí que hay que fijarse que cuando el pirata informático manda el nuevo correo electrónico se insta al usuario a que haga clic en un enlace que nada tiene que ver con Booking ni con ninguna página oficial.

Ahí es donde el usuario tiene que sospechar, y jamás entrar a ese enlace en el correo electrónico.

Además los investigadores también señalan que otra forma de detectar que se trata de una estafa, es porque se insta al usuario a que introduzca de nuevo sus datos bancarios metiéndole bastante prisa.

Recomiendan que ante cualquier mensaje que pueda hacernos dudar mínimamente, que nos pongamos en contacto directamente con el hotel, preferentemente en el número de teléfono oficial para confirmar si este mensaje es realmente de ellos.

Otros artículos interesantes:

• Google explica por qué su tienda de aplicaciones es un coladero de malware
• Cómo comprobar si las extensiones que tienes instaladas en Chrome contienen malware o son peligrosas

Y en lo que respecta aplicaciones de compra y venta, la más famosa es Wallapop, y los ciberdelincuentes la están utilizando para timar a cientos de personas, sobre todo, a nuevos usuarios.

Según informan desde Panda Security, han localizado una nueva estafa través de Wallapop, mediante la cual los ciberdelincuentes se hacen con datos personales de la víctima, como puede ser el número de la tarjeta de crédito.

Según explican, los delincuentes buscan a usuarios que sean nuevos en la aplicación básicamente aquellos que no tienen votos, para realizar esta estafa phishing.

Una vez que el delincuente encuentra a la víctima potencial, se interesa por alguno de los productos que tiene a la venta, hasta que se llega un acuerdo.

Ahora comienza el intento de estafa

Pero a la hora de realizar el pago, es cuando se perpetra la estafa. Y es que pocos minutos después de que se llegue a un acuerdo por el chat de Wallapop, el ciberdelincuente vuelve a escribir al vendedor sobre un problema con el pago.

En concreto el supuesto interesado señala al vendedor de Wallapop que no ha realizado bien el registro en la aplicación, en concreto que no ha registrado bien su correo electrónico.

Lo que quiere conseguir el ciberdelincuente es el correo electrónico del vendedor de Wallapop para enviar su correo phishing a la víctima.

Una vez que la posible víctima recibe este correo electrónico del ciberdelincuente, hay un enlace que redirige a una página web externa que parece a la real de Wallapop.

Si el vendedor accede a ese enlace y entra a la web phishing, se le pedirá que introduzca algunos datos personales como el correo electrónico, pero lo más importante, el número de tarjeta de crédito.

Si la víctima cae en la trampa, enviará estos datos a los propios ciberdelincuentes, que ya tendrán la tarjeta de crédito de la víctima con el código CVV incluido.

De esta forma, desde Panda Security avisan de que está circulando esta estafa phishing por Wallapop, y debes tener cuidado, sobre todo ahora en el último tramo del año, que es donde se incrementan las transacciones.

Otros artículos interesantes:

• Cómo comprar de forma segura en Wallapop
• Cómo registrarte y empezar a vender en Wallapop

Operación recibida. Nada extraño. Pasan los días. Para sorpresa de la víctima, llega una acusación de estafa por las autoridades. Aquellos 1000 euros han sido sustraídos de la cuenta de otra persona. Otro que recibió un mensaje, quizás aparentando ser de la Agencia Tributaria y al que le robaron su contraseña y accedieron a su cuenta bancaria. Esta vez, sí, para robarle 1000 euros. 

¿Puede probar la primera y presunta víctima qué no tuvo nada que ver? ¿Cómo garantiza que el dinero fue ingresado en su cuenta contra su voluntad? Bizum no requiere de autorización para que el dinero haya llegue. La persona devolvió los 1000 euros como le pedía el SMS, no podía saber que se trataba de un delincuente.

Esto es lo que le ha pasado a una mujer de Zamora, tal y como cuenta La opinión de Zamora, un caso que ya está en manos de las autoridades que tratarás de encontrar al causante del delito, un proceso en el que la presunta víctima tendrá que demostrar que ella no tuvo nada que ver en la sustracción de los 1000 euros robados. 

El método criminal suele ser el siguiente: el ladrón envía un mensaje SMS o mail alertando a la primera víctima de un problema con su banco, que hace clic en el enlace e introduce su DNI y contraseña para acceder a entidad bancaria. No parece que la aplicación funcione, y el afectado desiste tras varios intentos. Con esta técnica de phishing acaba de entregarle los datos de acceso al banco a un ciberdelincuente.

El estafador saca el dinero de la cuenta de la primera víctima y transfiere, desde el propio banco del afectado 1000 euros mediante Bizum a la cuenta de la segunda víctima. 

A continuación, el estafador manda un segundo mensaje SMS a esta haciéndose pasar por su banco para alertarle de que se han equivocado y que por favor le envíe el dinero de vuelta, aunque donde realmente se devuelve el dinero es al estafador vía Bizum.

Tres rutas o pasos que complican la investigación y que ponen la diana en a la persona que ha recibido y devuelto el Bizum, ya que puede ser denunciado de haberse apropiado del dinero de la cuenta de la primera de las víctimas. 

Así, el presunto delincuente, trata de cubrir su rastro, complica a las autoridades que rastreen sus movimientos. Quién sabe cuantos más son los saltos que han dado aquellos 1000 euros y cuántas víctimas ha dejado por el camino hasta llegar al autor de la estafa. Puede que incluso algunos de los afectados no se hayan dado cuenta. También puede que alguno se haya quedado con el dinero, pero se haga pasar por víctima.

Los ataques como este son cada vez más comunes, y la propia Agencia Tributaria ya ha alertado de posibles ciberestafas en el ejercicio de declaración de la renta 2023. Además, ha puesto una página a disposición de los usuarios para comprobar la veracidad de los mensajes que reciben.

Consejos de seguridad ante el phishing

Si recibes un correo o SMS, verifica que se trate de uno oficial en el caso de recibir una notificación. Evita responder a mensajes con datos personales como tu nombre o DNI. Los ciberdelincuentes aprovecharán esto.

Revisa con cautela el remitente y sospecha de cualquier símbolo extraño que encuentres. Lo mismo ocurre con el contenido del mensaje. Si encuentras faltas de ortografía o no tiene demasiado sentido bórralo.

Nunca pinches en cualquier enlace que te proporcione el correo o SMS. Si ves que este lleva adjunta alguna imagen o documento, no la descargues. Recuerda que estos enlaces suelen llevar a páginas fraudulentas que solicitarán tus credenciales. 

Activa siempre que sea posible la autenticación en dos pasos en todos los accesos a aplicaciones y adopta políticas de contraseñas seguras que incluyan cambios de las mismas de manera frecuente y sin compartirlas entre diferentes aplicaciones.

Otros artículos interesantes:

• Los clientes del Santander en peligro por ataque phising

Instagram es un objetivo claro para estafadores ya que si bien en 2018 alcanzaron los 1.000 millones de usuarios activos, hoy día prácticamente han duplicado esa cifra.

TikTok también es otro objetivo, pero actualmente hay ciertas limitaciones en la red social china que no existen en Instagram, como por ejemplo, la venta directa de productos con enlaces a webs.

Incluso para el ojo más experto en ocasiones cuesta diferenciar un perfil, ya que la clonación con fotos, y actividad es muy precisa. En ocasiones, la diferencia es un punto, un guión bajo y claro, eso puede hacer que acabes perdiendo tu dinero.

Las estafas más populares tienen dos modus operandi, o bien es un perfil falso que anuncia productos como la marca real o bien es un perfil que se anuncia como influencer y quiere vender productos falsos como originales. 

El año pasado más de 95.000 personas, solo en EE.UU., denunciaron estafas por un total de 770 millones de dólares. De esas pérdidas prácticamente la mitad eran compras online y de estas últimas el 70 % estaba relacionado con redes sociales como Facebook o Instagram.

Cuáles son las estafas en Instagram más comunes:

• Estafas románticas
• Estafas de Loterías y sorteos
• Préstamos de dudosa legalidad
• Timos de falsas inversiones y criptomonedas
• Falsas ofertas de trabajo
• Tarjetas de crédito
• Suscripción a perfiles falsos
• Phishing puro
• Vendedores falsos
• Reclamaciones falsas de Copyright

Estafas románticas, más populares de lo que creerías

Este tipo de estafas intentan iniciar una relación amorosa y acaban por hacen uso de catfishing o amores tóxicos como reclamo para salir de su relación actual y poder empezar "vuestra supuesta relación".

Este caso es el que ha dado fruto incluso a un pequeño documental de Netflix, pero era en aplicaciones para ligar, no en Instagram: el estafador de Tinder. 

Para identificar este tipo de timos lo más factible es tener un poco de sentido común, y evitar alguien que, de repente, le da Me gusta a muchas fotos y luego empieza a flirtear de manera sospechosa.

Este tipo de personas evitan cualquier tipo de contacto que implique tiempo real, bien sea videollamada o llamada. Además, si ya nos pide dinero, tenemos la red flag perfecta para dejar de comunicarnos con esa persona.

Timos relacionados con lotería o sorteos

Este tipo de timos es el típico en el que te anuncian como ganador de un sorteo o la lotería, incluso en el que tú sabes perfectamente que no has participado.

Los timadores también suelen contactar por Instagram para dar una parte de un premio que les ha tocado a unos pocos agraciados. Evidentemente, es un timo.

Solo tienes que buscar en Google el nombre del ganador y comprobar, si no eres tú el primer "agraciado" seguramente encontraremos información relativa a esta estafa.

Como siempre, tengamos sentido común, y pensemos que en general nadie regala dinero y mucho menos nos puede tocar algo en lo que no hemos participado.

Préstamos de dudosa legalidad

Podéis llamarme tonto, pero yo no creo que el lugar para que alguien me ofrezca el préstamo con las mejores condiciones del mercado sean la redes sociales.

Partiendo de esta base, el funcionamiento de este método es precisamente este, un anuncio o alguien que contacta directamente contigo ofreciendo unas condiciones demasiado buenas para ser ciertas.

Una vez les das los datos financieros tuyos, acaban desapareciendo. Es decir justo después de hacer el primer pago, para que realicen la gestión de ese megapréstamo, desaparecen.

Dinero y redes sociales no es buena combinación, sospechad siempre de este tipo de contenido.

Falsas inversiones y criptomonedas

Los timos con inversiones suelen ser unos de los más populares y es que con las criptomonedas ha habido un gran boom.

La aproximación de esta estafa suele ser ofrecer un método único, secreto, y solo disponible para unos elegidos con el que se puede doblar la inversión a través de varias inversiones.

Muchas veces se ha visto este esquema llegar incluso a estafa piramidal, ofreciendo las "ganancias" de las inversiones, pero nunca pudiendo recuperar la inversión inicial. 

Los expertos siempre recomiendan que no se haga ningún tipo de inversión sin hacer un exhaustivo estudio de quién ofrece la inversión y el tipo de inversión. Las inversiones legítimas no llegan nunca a través de Instagram.

Trabajos estafa

La situación actual del mercado laboral trae consigo que mucha gente busque alternativas a su trabajo actual e incluso unos ingresos extra teletrabajando en su tiempo libre y ahí es donde muchas de estas estafas inciden.

Los timadores usan cuentas para dejar claro que tienen una alternativa a tu trabajo con la que ganarás mucho dinero, en pocas horas y haciendo muy poco y desde casa.

Durante las conversaciones sobre el trabajo, intentarán que les des la información completa bancaria y también personal. Pero una empresa nunca te pedirá esos datos por Instagram. 

Esta red social da sensación de seguridad, pero no debes fiarte de nadie.

El timo de la tarjeta de crédito

Este tipo de estafa llega a Instagram desde páginas web de dudosa legitimidad. Los timadores te venden un producto a un precio muy reducido, que puede llegarte o no, y suelen ser falsificaciones.

La metodología implica que tú pagues con tu tarjeta de crédito y una vez tienen tus datos, pueden usarlos para pagar otros servicios como si fueras tú o incluso para vender tus datos a terceros.

No, cualquier web no es segura, ni cualquier pasarela de pago te protege. Siempre tenemos que prestar atención al dominio de la web, ver que esté bajo el protocolo HTTPS y constatar el origen de la web.

En caso de que pagues algo por Internet, siempre tienes que estar atento a los movimientos de tu tarjeta y reportar cualquier cosa inusual a tu banco.

Timo de la suscripción a perfiles falsos

Este timo es una versión que busca el mismo fin que la anterior, conseguir tus datos de pago o incluso acabar haciendo una venta falsa.

Los timadores registran perfiles con nombres que parecen legítimos, es decir, imaginad que alguien quiere registrar @computerhoy_ o @computer-hoy, que se parecen lo suficiente a nuestro perfil @computerhoy.

Pueden clonar nuestras publicaciones y esperar un tiempo a que usuarios se suscriban, pensando que somos nosotros. Cuando ya tengan un grueso de suscriptores entonces pueden ofrece una oferta a los suscriptores, que es una estafa, no enviar nada y conseguir sus datos de pago.

Ojo a los perfiles a los que os suscribís, prestad especial atención al nombre y que coincida con el que anuncian en el resto de medios y web oficial.

Phishing puro, intentar robar tu cuenta

Este tipo de ataque es el que intentan hacerte creer que estás entrando en tu cuenta y te muestran una página de login en la que introducir tus credenciales.

Una vez tienen tus credenciales suelen tomar tres opciones, usan tu cuenta como si fueras tú para ofrecer productos u ofertas, para hacer picar a tus contactos o incluso te pueden pedir un rescate económico por devolverte la cuenta.

Para no caer en este tipo de problemas de phishing siempre se recomienda prestar mucha atención a las URLs en las que hacemos click, suele haber diferencias con la oficial. Además Instagram no te mandará esos mensajes pidiendo tu información.

Algo muy recomendable es activar la autenticación en dos pasos, que nos manda un SMS al teléfono registrado en la cuenta y se convierte como un seguro adicional en caso de que alguien conozca nuestra clave y usuario.

Vendedores falsos en stories y mensajes privados

Muchas veces recibimos publicidad en forma de stories de productos que nos pueden interesar a precio muy reducido por perfiles de usuario que no son la marca oficial. 

Suelen ser ofertas poco creíbles, a precios ridículos y de las que curiosamente quedan pocas unidades.

Estos timadores usan una técnica similar a la de la tarjeta de crédito, para mandarte falsificaciones de lo que venden o simplemente robarte los datos de forma de pago.

Si alguien te presiona para que no uses pasarelas de pago de tarjeta de pago tradicionales y te pide que pagues por Zelle o Bizum tiene pinta de ser un timo ya que esas plataformas no tienen ningún seguro o protección antifraude.

Timo sobre falso reclamo de copyright

En este timo la víctima recibe lo que parece ser un email de un bufete o abogados que actúan por parte de Instagram.

Suelen ser emails o SMS, incluso WhatsApp, con mensajes alarmistas del estilo: "Has violado las leyes de copyright de Instagram y tu cuenta será borrada en 24 horas".

También te dicen que si piensas que Instagram ha cometido un error, y aquí es donde viene el gancho, que hagas clic en el botón de verificar tu cuenta.

Es en ese momento donde te redirigen a un clon de la página de login de Instagram y, si metes tus credenciales, les acabas de dar acceso a tu cuenta. Hay casos incluso casos más elaborados que, además, te preguntan por tu dirección de email y tu contraseña, por lo que el problema se agravaría aún más.

Según Instagram, ningún email de la compañía tiene el dominio @mail.instagram.com ni mucho menos ninguno Gmail. De hecho si alguien recibiese un correo que parece real, se recomienda NO responder y ponerse en contacto con phish@fb.com o phish@instagram.com, que son los correos oficiales para este tipo de sospechas.

Instagram no te mandará mensajes sobre violación de copyright, siempre que recibas algo similar haz caso omiso.

Como vemos aquí hay una serie de los timos y estafas más comunes en Instagram, sin embargo no son todos los posibles actuales y venideros. 

Ante todo queremos dejar claro que cualquiera es susceptible de caer en alguno de ellos, pero, por favor, que no sea por falta de sentido común y observación.

Otros artículos interesantes:

• Instagram quiere protegernos de contenido no deseado en los MD con este nuevo filtro
• Instagram comienza a verificar la edad en España a través de vídeo o escaneo del DNI

Pues bien, ¿qué nos dirías si te decimos que hay una nueva herramienta de hacking que puede burlar toda nuestra seguridad y robarnos nuestros inicios de sesión de todos los servicios a los que estamos suscritos? Pues ve preparando la respuesta porque es una realidad.

Una nueva herramienta de pirateo puede, supuestamente, superar todas las protecciones de seguridad establecidas para evitar los ciberataques y obtener acceso a cualquier sitio web.

El operador detrás de la herramienta, llamada EvilProxy, dice que es capaz de robar los tokens de autenticación necesarios para saltarse los sistemas de autentificación multifactor (MFA) utilizados por empresas como Apple, Google, Facebook, Microsoft y Twitter.

El servicio es especialmente preocupante, ya que promete poner este tipo de ataques a disposición de todos los hackers, incluso de aquellos que no tienen las habilidades o conocimientos necesarios para atacar objetivos tan complicados.

La herramienta fue descubierta por la empresa de seguridad Resecurity, que señala que EvilProxy (también conocido como Moloch) es una plataforma de phishing como servicio de proxy inverso que se anuncia en la Dark Web.

Ofrece el robo de nombres de usuario, contraseñas y cookies de sesión por un coste de 150 dólares por diez días, 250 dólares por 20 días o 400 dólares por una campaña de un mes de duración, aunque los ataques contra Google cuestan más, 250, 450 y 600 dólares respectivamente.

Los proxies inversos suelen situarse entre un sitio web y algún tipo de punto final de autenticación en línea, como una página de inicio de sesión. EvilProxy engaña a sus víctimas mediante señuelos de phishing, llevándolas a una página legítima en la que se les pide que introduzcan las credenciales de acceso y la información MFA.

Estos datos se envían al sitio web legítimo previsto, iniciando la sesión, y generando también una cookie de sesión que contiene un token de autenticación, que se envía al usuario.

Sin embargo, esta cookie y el token de autenticación pueden ser robados por el proxy inverso, que, como se ha señalado, se encuentra entre el usuario y el sitio web legítimo.

Los atacantes pueden entonces utilizar este token para iniciar la sesión en el sitio haciéndose pasar por su víctima, obviando la necesidad de volver a introducir la información en el proceso MFA.

Resecurity señala que, aparte de la astucia del ataque en sí, que es más sencillo de desplegar que otros ataques de tipo man-in-the-middle (MITM), lo que también diferencia a EvilProxy es su facilidad de uso.

Tras la compra, los clientes reciben vídeos de instrucción y tutoriales detallados sobre cómo utilizar la herramienta, que cuenta con una interfaz gráfica clara y abierta en la que los usuarios pueden configurar y gestionar sus campañas de phishing.

También ofrece una biblioteca de páginas de phishing clonadas existentes para servicios de Internet populares, que junto con los nombres mencionados anteriormente, incluye GitHub, Dropbox, Instagram o Yahoo.

Otros artículos interesantes:

• ¿Qué es Trickbot y cómo funciona una de las principales redes de ciberataques?
• Este es el último phishing del que nos alerta la Policía Nacional

Aunque se sabe que esta organización no es nueva, ya que son conocedores de su existencia desde 2017, Microsoft ya tiene todas las claves y modus operandi de esta organización para poder poner en alerta a todos los posibles perjudicados u objetivos.

Y es que estos se basan en perfiles falsos para poder robar correos electrónicos sensibles de organizaciones y personas de interés para Rusia. "Se ha observado que SEABORGIUM tiene como objetivo a antiguos funcionarios de inteligencia, expertos en asuntos rusos y ciudadanos rusos en el extranjero", explica la compañía.

La parte más peligrosa de la campaña es la forma en que los actores de la amenaza inician el ataque. Partimos de una investigación exhaustiva de la víctima utilizando perfiles fraudulentos en las redes sociales, que finalmente conduce al envío de un archivo adjunto de phishing.

Microsoft dice que han visto a los hackers distribuyendo los archivos adjuntos a través de correos electrónicos con PDF adjuntos, enlaces a servicios de alojamiento de archivos, o a cuentas de OneDrive que alojan los documentos PDF.

Sea cual sea la forma de envío, una vez abierto, el archivo adjunto mostrará a la víctima un mensaje indicando que el documento no pudo ser visto y que debe hacer clic en un botón para volver a intentarlo.

Al hacer clic en este botón, la víctima accede a una página que ejecuta marcos de phishing, como EvilGinx, que muestra un formulario de inicio de sesión para el servicio en cuestión. Como este actúa como proxy, los delincuentes pueden robar las credenciales introducidas y las cookies de autenticación generadas después de que un usuario inicie sesión en su cuenta.

Otros artículos interesantes:

• Hoy hace 41 años del origen de Windows: Microsoft compró DOS
• Microsoft prepara una actualización misteriosa para Windows 10

Por si no fuese suficiente la presión y el estrés generado por la campaña de la Renta, también hay que andar con cuidado por si recibimos algún tipo de enlace fraudulento que pretende robar datos. A lo largo de los meses que dura la campaña empezarán a salir a la luz una gran cantidad de ejemplos como el que vamos a relatar a continuación.

Ha sido la Guardia Civil la que ha descubierto este fraude y la que ha hecho que las personas estén alerta gracias a la publicación de un tweet donde incluye varias capturas en las que se puede ver cómo actúan ciertos ciberdelincuentes. La forma de funcionar es la de siempre: intentan aprovecharse de la situación de estrés.

En el mensaje que ha publicado la Guardia Civil en Twitter se pueden ver cuatro capturas de pantalla. La primera captura de pantalla hace referencia a un correo que habrían enviado los ciberdelincuentes y en los cuales se ve un mail supuestamente oficial, con el logo de la Agencia Tributaria y el Gobierno de España.

Lo que aparece escrito en este mensaje es que la Agencia Tributaria te instaría a pagar una multa pendiente y en el mismo correo electrónico aparecería un enlace para acceder a la realización del pago. Vamos, lo que pretenden es que se haga clic en este enlace para luego robar toda la información posible.

No sería la única forma en la que los ciberdelincuentes intentarían robar información o realizar fraude, existe otro correo que cumple con todo lo mencionado. Eso sí, esta vez hace referencia a que habría una acción legal por resolver con la Agencia Tributaria y, por lo tanto, sería necesario acceder para solucionarla.

Por último, las dos capturas que completan el tweet tienen el mismo sistema de funcionamiento. Los ciberdelincuentes envían dos correos con documentos adjuntos, el primero hace referencia a una transferencia bancaria y el otro es una supuesta devolución de impuestos. En ambos casos estos dos documentos son falsos.

La mejor forma de evitar caer en este tipo de estafas y fraudes es no abrir ninguno de estos correos. Si presentáis la declaración de la Renta y os llega algún mensaje que haga referencia a esta vía correo electrónico o SMS, lo mejor es acceder directamente a la página web de la Agencia Tributaria.

Una vez dentro de la página de la Agencia Tributaria lo que tienes que hacer es comprobar en tu perfil si es que se ha enviado alguna notificación. Y, es que, si la notificación del correo electrónico o SMS es de verdad, esta aparecerá en la bandeja de notificaciones de Hacienda y podrás consultarla, además de resolver en el caso de que no sea algo favorable.

Otros artículos interesantes:

• Cómo pedir el borrador de la declaración Renta 2021

De hecho, todas las personas que tengan que presentar la declaración de la Renta han de mantenerse precavidos porque los delincuentes aprovechan la campaña de Hacienda para lanzar este tipo elementos y robar información. Pero no son las únicas personas que han de estar al tanto de todo lo que hacen.

Y, es que, en las últimas horas se ha visto un intento de phishing bastante curioso y muy difícil de evitar a simple vista. Pero por suerte Marcos Besteiro, usuario de Twitter, ha contado cómo han intentado robarle datos haciéndose pasar por un enlace de WeTransfer, Vamos a relatar lo sucedido para nadie sea víctima de este engaño.

Lo primero a tener en cuenta es que esta forma de robar los datos está muy conseguida y, de hecho, las personas afectadas como Marcos Besteiro reciben un correo electrónico en el que aparece el logo de WeTransfer y para dotar de mayor veracidad todos los campos del correo están completados de manera correcta.

Eso sí, Marcos Besterio relata que no ha caído en el intento de robo debido a que sus compañeras de trabajo le han avisado de que no tenían pendiente nada por recibir. Al ver que esto era un intento de robo de datos ha investigado para ver cómo es su funcionamiento y lo que destaca es que si el usuario hace clic este le lleva a una simulación de su dominio.

Vamos, al pulsar lo que ocurre en el caso de Marcos Besteiro es que lo llevó a una simulación de su web. En esta ventana simulada aparece un aviso el cual indica que la sesión ha expirado y que, por lo tanto, hay que introducir de nuevo el usuario y las credenciales para así seguir conectado y realizar lo que haya que hacer.

Pero lo que ocurre es que esto no es real, es una simulación que hace un script que está escondido dentro del enlace y, por supuesto, los atacantes se aprovechan del descuido o despiste de las personas para obtener los datos de sus dominios. La problemática varía dependiendo del dominio o de los datos que puedan robar.

Si este dominio cuenta con datos de facturación, números de tarjetas y contraseñas, los atacantes pueden utilizarlos para robar directamente dinero. La recomendación es bastante simple: no hacer clic en enlaces que no esperemos, revisar si donde se va a introducir la contraseña es un dominio seguro y, sobre todo, no fiarse de absolutamente nada.

Otros artículos interesantes:

• Cómo compartir archivos grandes con WeTransfer y Dropbox
• ¿Qué es Spoofing? La técnica de engaño que va de la mano del phishing
• Este es el último phishing del que nos alerta la Policía Nacional

El mensaje que están recibiendo algunas personas hace referencia a un sorteo que celebra El Corte Inglés: "¡Felicidades! El Corte Inglés ¡Celebración del 80 aniversario! A través del cuestionario, tendrá la oportunidad de obtener una tarjeta regalo por valor de 500 euros”. Pero no es cierto.

Como suele pasar con esta clase de estafas, se ha expandido tanto que la misma empresa tuvo aclarar la situación por redes sociales hace ya unos meses, pero sigue distribuyéndose:

Es totalmente falso, empezando porque El Corte Inglés no está celebrando su 80 aniversario, que en todo caso fue en 2020, lo que ya de por sí da una idea sobre el tiempo que lleva en circulación este mensaje de WhatsApp.

Tal como avisan en Maldito Bulo, esto es phishing y se busca obtener los datos personales y bancarios de todas las personas que sean engañadas y sigan las instrucciones que se piden.

Al entrar en el enlace que aparece en el mensaje, lleva a un cuestionario en el que hay que introducir los datos personales, luego anima a participar en un juego de cajas y pide reenviar el mensaje a otros 20 contactos de WhatsApp.

Como siempre, es esencial no introducir los datos bancarios ni información personal a no ser que se esté completamente seguro de que no es un intento de phishing. La suplantación de identidad es muy habitual y normalmente se redirige a las víctimas a páginas que simulan ser las de las empresas, pero que son falsas.

Por eso, ten cuidado con esta clase de sorteos y mensajes que se reciben por WhatsApp, SMS o correo electrónico, la gran mayoría de ellos son de delincuentes que buscan información privada para acceder a tus datos bancarios.

Otros artículos interesantes:

• ¿Qué es Spoofing? La técnica de engaño que va de la mano del phishing
• El nuevo ataque informático 3 en 1: phishing, ransomware y troyano
• Este es el último phishing del que nos alerta la Policía Nacional

Como es lógico, la operación ha generado multitud de dudas entre los clientes, y los ciberdelincuentes están aprovechando esta situación con fines maliciosos. 

En los últimos meses han lanzado todo tipo de campañas para robar datos personales y financieros de los usuarios, así que tienes que extremar la precaución si no quieres convertirte en una víctima.

Los criminales utilizan multitud de vías para impactar en los usuarios, tanto el correo electrónico como los SMS y las llamadas telefónicas. Y los ganchos para perpetrar las estafas son variados, entre entre ellos activar el nuevo sistema de seguridad de CaixaBank o el nuevo acceso a la app CaixaBankNow para los clientes de Bankia.

CaixaBank advierte en su página web que se están produciendo estos ataques y nos ayuda a identificar y evitar las estafas. 

La entidad explica que las campañas se están articulando a través de diferentes canales. Pueden llegar a través de correos de phishing que llevan a una página falsa para robar las credenciales, mensajes de smishing cuyo objetivo también es robar las claves de acceso a la banca digital, y llamadas de vishing en las que los delincuentes se hacen pasar por gestores del banco.

Algunas campañas están más elaboradas y mejor conseguidas que otras y, mientras que algunas son muy fáciles de identificar, otras consiguen engañar a muchas víctimas. 

Para identificar los timos, desde CaixaBank recomiendan buscar coherencia en el mensaje, analizar si está escrito con un lenguaje correcto y pensar si tiene sentido que la entidad se ponga en contacto contigo.

También hay que prestar atención al remitente. Asegúrate de que es una dirección de correo oficial y comprueba si el enlace al que te dirige se corresponde con la URL legítima. 

Lo mejor que puedes hacer es desconfiar de todas las comunicaciones que te lleguen del banco con enlaces para que introduzcas tus claves de acceso. En su lugar, escribe la dirección manualmente en tu navegador, utiliza la app oficial o llama por teléfono al banco.

Otros artículos interesantes:

• ¿Qué es Phishing y en qué consiste?
• 'El pagomocho' es la última estafa con Bizum en la que es muy fácil caer
• La Policía alerta de una peligrosa estafa que te roba la contraseña del banco y la tarjeta

Se trata de una estrategia recurrente que vuelve cada cierto tiempo porque muchas víctimas caen en la trampa, y quizá la recuerdes de ocasiones anteriores. 

Todo empieza con la llegada de un mensaje de uno de tus amigos en la red social. Como puedes ver un poco más abajo en la captura de pantalla, en el texto el contacto te pregunta si eres tú el que aparece en el vídeo que te enlaza. 

El mensaje está rematado con un emoji que denota sorpresa y horror, por lo que muchos pulsan en el link para ver de qué se trata. En caso de seguir el enlace, el mensaje se enviará automáticamente a todos tus contactos de Facebook. 

Además, no verás ningún vídeo. Si accedes desde el navegador sin estar logado en Facebook llegarás a una página suspendida, mientras que si pulsas desde el móvil verás una página con logo de TikTok y un botón de instalación.

Si entras desde Facebook Messenger, aparecerá una página que suplanta a la aplicación y te pedirá que confirmes tu correo electrónico y tu contraseña. En caso de hacerlo, los criminales obtendrán tus credenciales de Facebook.

En los últimos días, nosotros hemos recibido varios mensajes de estas características. En todos ellos, el texto es el siguiente: "Eres tú que apareces en este Video?..". No obstante, también se han detectado otras variantes similares, por ejemplo "Creo que apareces en este video, ¿Eres tu?".

En todos los casos hay faltas de ortografía, pero las víctimas no se fijan en ello, ya que se alarman al pensar que pueden aparecer en un vídeo comprometido en la red social. Este es el motivo de que la campaña se propague tan rápido, ya que con solo pulsar el enlace se difunde.

Si has recibido este mensaje y has seguido el enlace, avisa a todos tus contactos de Facebook de que es una campaña de phishing y que no deben entrar en el link. Si ya lo han hecho y han introducido sus credenciales, que cambien su contraseña cuanto antes para evitar que les roben la cuenta.

Recuerda que se trata de una campaña recurrente, así que si vuelves a recibir un mensaje de estas características, ignóralo y avisa al contacto que te lo ha enviado.

Otros artículos interesantes:

• ¿Adiós a Facebook? La compañía valora cambiar de nombre este mismo mes
• Cómo entrar y recuperar tu cuenta de Facebook cuando no puedes acceder a ella
• Todas las posibles soluciones si tienes problemas para entrar en Facebook

Los criminales utilizan diferentes métodos para estafar a los usuarios por distintas vías, como WhatsApp o el correo electrónico, y el SMS también se encuentra entre las más utilizadas. 

Una de las estrategias más habituales consiste en enviar un mensaje de texto a la víctima para comunicarle que ha ganado algún premio en Amazon, y así robar sus datos o conseguir que descargue malware en su equipo.

Pero ahora se está empezando a propagar otro tipo de SMS falso de Amazon que resulta más creíble y peligroso. 

En este caso, se trata de un mensaje de texto que pide al usuario que confirme su entrega antes de proceder al envío del paquete, y las víctimas pueden caer con mayor facilidad. 

La Policía Nacional detectó este nuevo timo que suplanta a Amazon el pasado mes de mayo, y ahora los delincuentes lo están volviendo a poner en práctica, tal como advierten desde Maldita.

El mensaje incluye un enlace que dirige a una página falsa cuyo objetivo consiste en robar los datos de la víctima. Por lo tanto, si has recibido este SMS, será mejor que no pulses en el link y que lo borres cuanto antes.

En su página de atención al cliente, Amazon recuerda que nunca solicita información personal fuera de la aplicación, ni tampoco pide que efectúes ningún pago ni realices ninguna acción adicional. 

Por lo tanto, cualquier comunicación en la que tengas que hacer cualquier cosa fuera de la app, por inofensiva que pueda parecer, es fraudulenta, así que elimínala para no convertirte en una víctima de una estafa. 

Además, desde Amazon advierten que los timos por SMS son cada vez más avanzados, e incluso se pueden insertar en un hilo de mensajes legítimo que hayas podido recibir de la compañía, por lo que tienes que extremar la precaución ante estas comunicaciones.

Otros artículos interesantes:

• Cuidado con este email de Correos para rastrear tu pedido: es una peligrosa estafa
• El nuevo timo para hackear tu WhatsApp usa como gancho la tercera dosis de la vacuna
• Los timos por Bizum aumentan: estas son las estafas más populares

Si bien Dyson es la marca de referencia en el sector de las aspiradoras escoba, Cecotec es uno de los fabricantes más populares y sus modelos se encuentran entre los más vendidos del mercado por su buena relación calidad-precio.

Ahora, la compañía española acaba de anunciar su nueva familia de aspiradoras verticales. Se trata de Conga RockStar 1500, una nueva serie que se sitúa en la parte alta del catálogo con los modelos más potentes de su categoría. 

La gama Conga RockStar 1500 se compone de tres modelos: Conga RockStar 1500 X-Treme ErgoFlex, Conga RockStar 1500 Ultimate ErgoWet y Conga RockStar 1500 Ultimate ErgoFlex.

Los tres modelos de la familia comparten buena parte de sus características. Todos ellos están equipados con un motor digital sin escobillas de última generación que proporciona una gran velocidad con poco ruido. 

En los tres casos nos encontramos con una potencia máxima de 680 W, una presión de succión de 26 kPa y un poder de succión de hasta 230 aW. La potencia se adapta automáticamente en función del cepillo, la superficie y la cantidad de suciedad. 

Gracias a estas cualidades, son capaces de aspirar todo tipo de suciedad, hasta las partículas más pequeñas.

La autonomía también es la misma para todos los hermanos de la gama. Montan una batería de iones de litio de 3.000 mAh que ofrece hasta 90 minutos de limpieza ininterrumpida. Es bastante más de lo que ofrecen otras aspiradoras escoba y es tiempo suficiente para limpiar toda la casa. 

Las tres versiones también comparten el mismo sistema de filtrado. Disponen de un filtro doble de alta eficiencia de hasta el 99,9%. El de entrada atrapa toda la suciedad y el de salida evita que los alérgenos salgan al exterior, purificando el aire de tu hogar. 

El sistema ErgoFlex es otra de las características que comparten. Se trata de un mecanismo de tubo flexible que se puede doblar para adaptarse a todos los rincones, por ejemplo para aspirar debajo del sofá o de la cama con solo hacer un gesto.

Conga RockStar 1500: diferencias y precios

Las diferencias de la familia radican en los accesorios que incluye cada modelo. Vamos a repasarlos a continuación.

Conga RockStar 1500 X-Treme ErgoFlex es una aspiradora inalámbrica 3 en 1 con funciones de aspirador vertical, escoba y de mano. Incluye el cepillo para suelos duros, así como dos boquillas (una ancha y otra estrecha) para muebles y esquinas.

La Conga RockStar 1500 X-Treme ErgoFlex ya está a la venta en la tienda de Cecotec a un precio de 389 euros.

El segundo modelo es la Conga RockStar 1500 Ultimate ErgoWet. Su principal diferencia es que incluye el accesorio WaterTank, un tanque de agua con el que puedes pasar la mopa y fregar. 

Además, aparte de los cepillos y boquillas que incluye su hermano menor, también trae un cepillo bimaterial, un cepillo motorizado para tapicerías, un cepillo especial textiles, un tubo extensible, un cepillo alargado y un codo de unión.

El precio de la Conga RockStar 1500 Ultimate ErgoWet es de 409 euros.

Conga RockStar Ultimate ErgoFlex, por su parte, viene con un doble cepillo motorizado, de esponja para suelos duros y bimaterial de cerdas y silicona para todo tipo de superficies. También incluye el cepillo de textiles y el alargado, el tubo extensible y el codo de unión, así como las boquillas ancha y estrecha para muebles y esquinas.

La Conga RockStar 1500 Ultimate ErgoFlex cuesta 419 euros en la web oficial de Cecotec.

Otros artículos interesantes:

• Este malware ha infectado más de 10 millones de móviles Android y te puede salir muy caro
• Tu envío esta en camino: todo lo que debes saber de los SMS estafa de Correos y cómo evitarlos

El motivo de el phishing siga estando a la orden del día no es otro que su efectividad: infinidad de usuarios continúan cayendo en la trampa de los delincuentes, por lo que la estrategia no llega a caer en desuso.

La clave para que una campaña de phishing tenga éxito radica en utilizar un gancho que la víctima considere fiable y emplear una comunicación que parezca real. De esta forma, el usuario no desconfiará y caerá en la trampa, proporcionando a los criminales los datos personales que solicitan. 

La nueva estafa de la que nos alerta la Policía reúne todos los ingredientes para conseguir sus propósitos y engañar a los usuarios. 

Su mecánica es la siguiente: la víctima recibe un SMS supuestamente remitido por su banco. El texto explica que, para continuar utilizando la tarjeta, es necesario activar un nuevo sistema de seguridad, y adjunta un enlace en el que habilitarlo.

Al hacer clic en el link, el usuario es dirigido a una página falsa que suplanta a la web oficial de la entidad bancaria. El sistema le pide a la víctima que introduzca sus datos personales y bancarios y, en caso de facilitarlos, quedan en manos de los criminales. 

En el ejemplo que la Policía nos muestra a través de su cuenta de Twitter el banco suplantado es Bankia, pero no se descarta que los delincuentes se hagan pasar también por otras entidades bancarias. 

Recuerda que este tipo de estafa es muy frecuente, tanto por SMS como por correo electrónico, por lo que es importante estar alerta y eliminar todos los mensajes de estas características. 

Evita seguir los enlaces que te lleguen a través de estas vías y accede a tu banco a través de la aplicación para el móvil o de la página web oficial.

Y, ante la duda, llama por teléfono para saber si se trata de una comunicación real o de una campaña de phishing.

Otros artículos interesantes:

• Los timos por Bizum aumentan: estas son las estafas más populares
• Aumentan los casos de estafa en WhatsApp del número correlativo o cambiado en Bizum
• Este es el último phishing del que nos alerta la Policía Nacional

La Oficina de Seguridad del Internauta (OSI) del Instituto Nacional de Ciberseguridad (INCIBE) acaba de detectar una nueva estafa que usa WhatsApp para engañar a las víctimas. Presta atención a la estrategia que están empleando los criminales para no caer en la trampa.

Esta vez se trata de un caso de phishing en el que los delincuentes suplantan la identidad de WhatsApp. Lo hacen a través del envío de un correo electrónico que supuestamente contiene una copia de seguridad de los mensajes de WhatsApp. 

Para captar el interés de las víctimas, el asunto del mensaje es "Copia de seguridad de mensajes de WhatsApp *913071605 Nº (xxxxx)" aunque la OSI no descarta que haya otros alternativos. 

Tal com puedes observar en la captura sobre estas líneas, el remitente tiene como nombre de usuario "Reporte" y la dirección de correo, aunque a priori puede parecer legítima, no corresponde al dominio oficial de WhatsApp.

El cuerpo del mensaje también busca generar curiosidad en el usuario para que haga clic en el enlace. El texto señala que se ha encontrado una copia de seguridad de los chats y el historial de llamadas con más de 36.500 mensajes restaurados que se puede descargar haciendo clic en  un botón.

Pero todo es un engaño y, en caso de pulsar en el enlace, se descarga en el dispositivo un archivo comprimido que contiene un troyano. Al abrir y ejecutar el fichero, el dispositivo quedará infectado por malware.

Si has recibido este correo electrónico u otro de características similares, no descargues archivos adjuntos, no hagas clic en ningún enlace y bórralo de tu bandeja de entrada cuanto antes. 

WhatsApp no te envía un correo electrónico con estas características cuando haces una copia de seguridad de los chats, así que desconfía de todos los emails parecidos que recibas. 

Si necesitas ayuda para hacer un backup de tus conversaciones en la app de mensajería, aquí te contamos todo lo que necesitas saber de las copias de seguridad de WhatsApp.

Otros artículos interesantes:

• WhatsApp te permitirá buscar peluquerías, bares, restaurantes y mucho más cerca de ti
• WhatsApp está trabajando en la característica que todos esperamos
• Así puedes dejar de aparecer 'en línea' en WhatsApp, aunque hayas cerrado la app

La mecánica de estas campañas es siempre la misma, pero continúa siendo muy efectiva. La víctima recibe un correo electrónico o un SMS que suplanta a la empresa postal. El texto advierte que la compañía no ha podido entregar un paquete a nombre de la víctima y, para proceder a su entrega, solicita el abono de una pequeña tasa, que no suele superar los 2 euros.

Para llevar a cabo el pago de esta tasa, el cuerpo del correo electrónico o el SMS incluye un botón o un enlace que dirige a una página que suplanta a la web oficial de Correos. 

En esta página se indica la supuesta fecha de envío del paquete y se invita a pagar los gastos del nuevo intento de entrega. El importe puede variar y se han visto ejemplos en los que se pide 1,69 euros, 1,79 euros, 1,99 euros y 2,99 euros.

Como puedes ver en la captura sobre estas líneas, el formulario para pagar la tasa no levanta sospechas. Incluye el supuesto código del envío y solicita los datos de la tarjeta bancaria. Al facilitar esta información, los datos quedan en manos de los criminales, que los pueden utilizar a su antojo para vaciarte la cuenta del banco.

Esta estafa suele tener mucho éxito principalmente por dos factores. Por un lado, infinidad de personas reciben paquetes a diario, ya sea de Amazon o de cualquier otra tienda online, por lo que no resulta extraño recibir una comunicación de Correos. En segundo lugar, solicitar una tasa asequible favorece que la víctima se confíe y que no piense que está siendo engañada. 

Desde Maldita.es advierten de que esta estafa está volviendo a circular, así que extrema la precaución para no caer en la trampa. 

Correos asegura que nunca solicita importes por SMS ni correo electrónico, así que cualquier mensaje que recibas con estas características bórralo y no sigas los enlaces que incluya.

Otros artículos interesantes:

• Las nuevas y peligrosas estafas por correo electrónico que combinan el phishing y la voz
• Correos vuelve a ser el cebo de una campaña de phishing muy realista: cuidado con estos emails
• Microsoft avisa de esta nueva campaña phishing enviada a tu correo electrónico