Etiqueta: phishing

Ciberataques en San Valentín: así funcionan los principales fraudes románticos para conquistar a sus víctimas

Los ciberdelincuentes han convertido el Día de San Valentín en una oportunidad para ejecutar ataques informáticos mediante correos electrónicos fraudulentos, mensajes en aplicaciones de citas, redes sociales y suplantaciones de marcas comerciales, con el objetivo de robar datos personales y dinero a las víctimas.

Diversas compañías de ciberseguridad alertaron sobre el incremento de estos ataques con temática romántica en fechas cercanas al 14 de febrero. Los delincuentes buscan acceder a dispositivos, obtener información sensible y estafar a usuarios que intentan comprar regalos o establecer relaciones sentimentales.

Bitdefender señaló que casi cuatro de cada diez correos promocionales relacionados con San Valentín son fraudulentos. Entre los principales señuelos figuran citas falsas, regalos inexistentes y encuestas engañosas. Según la empresa, Estados Unidos concentra alrededor del 55 % del spam temático detectado, lo que lo convierte en el país más atacado bajo esta modalidad.

La inteligencia artificial también juega un papel clave en estas estafas. Los atacantes utilizan herramientas capaces de crear perfiles y conversaciones sentimentales para manipular emocionalmente a sus víctimas. Además, emplean tecnología de ‘deepfakes’ para suplantar voces e imágenes. “El love bombing digital puede llevar a la víctima a una situación de ansiedad y crear un fuerte enganche con el atacante. Haciendo que crea que está en una relación real cuando, en realidad, el objetivo es obtener dinero, datos personales o algún tipo de beneficio”, advirtió el Global Consumer Operation Manager de Panda Security, Hervé Lambert.

Los delincuentes incluso generan ‘deepfakes’ de contenido sexual sin necesidad de obtener material íntimo real, una práctica vinculada a la “sextorsión”, mediante la cual amenazan con difundir supuestas imágenes privadas si no reciben un pago.

Otro método frecuente es la suplantación de marcas comerciales. Los ‘hackers’ crean sitios web casi idénticos a los originales para que los usuarios ingresen datos de tarjetas de crédito al intentar comprar obsequios. Kaspersky identificó también plataformas fraudulentas que ofrecen verificar el saldo o validez de tarjetas regalo digitales. “Estas páginas se dirigen especialmente a quienes han recibido recientemente una tarjeta: al introducir los datos identificativos, los ciberdelincuentes pueden activar el certificado antes que el propio usuario y apropiarse de su valor”, explicó la compañía.

Operaciones preparadas desde enero

Los fraudes no comienzan el 14 de febrero. De acuerdo con NordVPN, enero es el mes con mayor actividad vinculada a estafas románticas. Durante ese periodo, los delincuentes intercambian tácticas, adquieren cuentas y promocionan servicios que facilitan los engaños, con el fin de que en febrero las operaciones funcionen a pleno rendimiento.

Además de aplicaciones de citas como Tinder o Match, los ciberdelincuentes utilizan redes sociales como Instagram, Snapchat e incluso OnlyFans, aprovechando su contenido de pago para adultos. “Los estafadores están aprovechando las mismas plataformas que la gente usa para encontrar el amor y conectar con alguien”, advirtió el director de tecnología (CTO) de NordVPN, Marijus Briedis.

14 de febrero de 2026
El fraude del ‘hijo en apuros’, las suplantaciones y el secuestro silencioso de cuentas lideran las estafas en WhatsApp

El fraude del ‘hijo en apuros’, las suplantaciones de organismos oficiales y de grandes marcas y el secuestro silencioso de cuentas son algunas de las estafas más extendidas en 2025 a través de la aplicación de mensajería WhatsApp.

Con sus mas de 3,000 millones de usuarios en todo el mundo, WhatsApp es una de las aplicaciones de mensajería más populares, algo que buscan explotar los cibercriminales, ya sea usando este servicio como canal principal para distribuir sus engaños o como canal final para cometer un fraude.

WhatsApp se ha convertido en uno de los principales vectores de fraude digital durante 2025, como informan desde Check Point Software, ya que concentra algunas de las estafas más extendidas y efectivas, que explotan la confianza, la urgencia y la inmediatez propias de la mensajería instantánea.

Una de ellas es el conocido como fraude del ‘hijo en apuros’, en la que las víctimas reciben un mensaje desde un número de teléfono desconocido en los que el ciberdelincuente se hace pasar por un hijo o hija.

El mensaje pide ayuda urgente, normalmente económica, y se aprovecha de la presión emocional para conseguir que muchas víctimas actúen sin verificar la identidad real del remitente.

Más novedosa es la técnica del «Ghost Pairing» o secuestro silencioso de cuentas de WhatsApp. Con ella, como explican los expertos de Check Point, los ciberdelincuentes consiguen vincular la cuenta de WhatsApp de la víctima a otro dispositivo sin necesidad de robar la SIM ni la contraseña.

A través de engaños previos, logran que la persona facilite códigos de verificación, lo que les permite tomar el control de la cuenta y utilizarla posteriormente para engañar a sus contactos.

Las suplantaciones de organismos oficiales y de grandes marcas y plataformas digitales también han conseguido engañar a los usuarios de WhatsApp este año. Estas campañas envían mensajes que simulan proceder de organismos como la DGT, alertando de multas pendientes o incidencias administrativas, o de empresas conocidas como Amazon, informando de supuestos problemas con pedidos, cuentas bloqueadas o cargos sospechosos.

El objetivo final suele ser el robo de credenciales o el control de la cuenta de WhatsApp para extender el fraude a otros contactos.

A veces, la estafa no llega en un mensaje recibido en WhatsApp, sino que comienza en una plataforma legítima, como Facebook o TikTok, con una publicación que sirve de gancho para llevar el fraude a la aplicación de mensajería.

Se trata de un patrón que se ha observado en campañas más sofisticadas. Check Point Research ha identificado recientemente una campaña masiva de ‘phishing’ que utilizaba Google Classroom como gancho inicial.

Los ciberdelincuentes enviaban invitaciones falsas desde esta plataforma legítima y, una vez establecida la confianza, redirigían a las víctimas a contactar por WhatsApp, donde se desarrollaba el fraude.

«Este año hemos visto cómo estafas muy distintas comparten un mismo patrón: llevar la conversación a WhatsApp para sacar al usuario de entornos más controlados y aumentar las probabilidades de éxito», ha comentado el director técnico de Check Point Software para España y Portugal, a Eusebio Nieva.

Consejos para evitar caer en una estafa

Desde Check Point recuerdan que ninguna entidad legítima solicita datos personales, códigos de verificación o pagos urgentes a través de WhatsApp. Para reducir el riesgo de caer en este tipo de fraudes, aconsejan desconfiar siempre de mensajes inesperados, incluso cuando parecen proceder de contactos conocidos o de marcas y organismos oficiales.

Instan a verificar la identidad del remitente por un canal alternativo -como llamar desde otro teléfono o realizar una búsqueda en internet- antes de realizar cualquier acción, y a evitar pulsar enlaces recibidos por WhatsApp sin haber comprobado previamente su legitimidad.

También hay que mantener las aplicaciones actualizadas y activar las opciones de seguridad adicionales disponibles en la plataforma.

29 de diciembre de 2025
Deepfakes en tiempo real y cibercrimen automatizado amenazan 2026

La evolución de los deepfakes en tiempo real y el auge del cibercrimen automatizado con inteligencia artificial (IA) se posicionan como las principales amenazas para 2026, de acuerdo con las previsiones del informe Kaspersky Security Bulletin 2025 Statistics, divulgado este viernes.

El informe destaca que la IA generativa y los agentes inteligentes protagonizarán tanto los sistemas de defensa como los métodos de ataque en el nuevo escenario digital. Herramientas cada vez más accesibles permitirán a ciberdelincuentes desarrollar campañas más sofisticadas y con un alto grado de realismo, sin necesidad de conocimientos técnicos avanzados.

Los deepfakes, una tecnología que manipula imágenes, video y audio mediante IA, seguirán perfeccionándose, especialmente en la calidad del sonido, permitiendo la modificación de rostros o voces durante videollamadas en tiempo real. Esta capacidad abre la puerta a ciberataques más efectivos y personalizados.

Kaspersky advierte que, aunque muchas plataformas digitales ya implementan sistemas de detección y etiquetado de contenido generado por IA, estos aún carecen de criterios unificados y las etiquetas pueden ser fácilmente eliminadas. Ante este vacío, se prevé el surgimiento de nuevas normativas y soluciones técnicas durante 2026 para intentar cerrar esta brecha de seguridad.

Otro punto alarmante es la proliferación de modelos de IA de código abierto que igualan en rendimiento a los modelos cerrados, pero sin incorporar mecanismos de control. Esta democratización tecnológica facilita su uso tanto para fines legítimos como maliciosos, incrementando los riesgos para usuarios y empresas.

En la actualidad, los ciberdelincuentes ya logran crear correos electrónicos falsos altamente convincentes, suplantar identidades visuales de marcas y desarrollar sitios web de phishing con apariencia profesional. Esto ocurre mientras el contenido generado por IA es cada vez más normalizado en la publicidad corporativa, lo que dificulta distinguir entre lo real y lo manipulado.

Según Kaspersky, la inteligencia artificial será utilizada en cada etapa del ciberataque: desde la escritura de código y detección de vulnerabilidades hasta el despliegue de malware, ocultando sus huellas para evitar el análisis forense.

A la par, la IA también jugará un papel crucial en la defensa. Herramientas impulsadas por agentes inteligentes permitirán escaneos permanentes en las infraestructuras de las organizaciones, detectando puntos débiles y generando análisis automatizados para los equipos de ciberseguridad. Además, las futuras interfaces utilizarán lenguaje natural, facilitando el uso de sistemas complejos mediante instrucciones sencillas.

15 de diciembre de 2025
Los “deepfakes” que evolucionan en tiempo real y la automatización del cibercrimen, principales amenazas de 2026

La manipulación digital mediante deepfakes en tiempo real y la automatización completa de ataques informáticos se perfilan como las principales amenazas de ciberseguridad para 2026, según las proyecciones de la firma de seguridad Kaspersky en su informe Security Bulletin 2025 Statistics.

La compañía alertó que los avances en inteligencia artificial (IA) generativa permitirán a los ciberdelincuentes crear videos y audios falsos de alta calidad, modificables en tiempo real durante videollamadas, lo que representa un salto cualitativo en los métodos de suplantación y fraude. Esta evolución, advirtió Kaspersky, convierte a los deepfakes en herramientas “altamente eficaces” para ciberataques dirigidos.

Uno de los principales riesgos radica en la facilidad de uso de estas tecnologías. Las nuevas plataformas permiten generar contenido manipulado sin conocimientos técnicos, lo cual multiplica su potencial de uso malicioso. Aunque las redes sociales y algunos servicios digitales han implementado sistemas de detección y etiquetado de contenido creado por IA, el informe remarca que no existen criterios uniformes y que muchas de estas etiquetas pueden eliminarse con facilidad.

Ante este vacío, Kaspersky prevé que durante 2026 surgirán nuevas regulaciones y soluciones tecnológicas orientadas a frenar los abusos en la generación y distribución de contenidos manipulados.

Además, la proliferación de modelos de inteligencia artificial de código abierto —que alcanzan niveles similares a los sistemas cerrados pero carecen de los controles necesarios— facilitará el uso de estas herramientas tanto para fines legítimos como para actividades criminales.

En este contexto, los delincuentes ya son capaces de falsificar correos, replicar la identidad visual de marcas o crear páginas de phishing con apariencia profesional. Esto se agrava ante el uso cada vez más normalizado de contenido generado por IA en campañas publicitarias, lo que dificulta aún más distinguir lo auténtico de lo manipulado.

El informe también prevé que la IA será utilizada por los criminales a lo largo de toda la cadena de ataque, desde la redacción de código malicioso hasta la explotación de vulnerabilidades y el encubrimiento de huellas digitales para evitar análisis forenses.

No obstante, la inteligencia artificial también será un recurso clave para los equipos de defensa. Según Kaspersky, las herramientas basadas en agentes permitirán una vigilancia continua de la infraestructura de las empresas, con capacidad para detectar amenazas, proponer soluciones y entregar información precisa en lenguaje natural, reduciendo la necesidad de conocimientos técnicos avanzados,

15 de diciembre de 2025
La Unión Europea pacta nuevas medidas para combatir el fraude en los pagos en línea

Las instituciones de la Unión Europea pactaron este jueves nuevas disposiciones para combatir el fraude en pagos digitales, exigir mayor transparencia a las entidades bancarias y facilitar el acceso al efectivo, especialmente en áreas rurales donde escasean los cajeros automáticos.

El acuerdo —que aún debe ser ratificado formalmente por el Consejo de la UE y el Parlamento Europeo— establece que los bancos deberán verificar que el número IBAN coincida con el titular de la cuenta antes de autorizar una transacción, al igual que en los pagos instantáneos en euros.

Además, los ciudadanos podrán retirar hasta €150 (equivalentes a aproximadamente $165) en efectivo en establecimientos comerciales sin necesidad de realizar una compra, una medida destinada a mejorar el acceso al dinero en efectivo en comunidades con poca infraestructura bancaria.

Para enfrentar los casos de “phishing”, donde delincuentes se hacen pasar por bancos u otras entidades, los proveedores de servicios de pago deberán reembolsar el monto total si el cliente denuncia el fraude ante la policía y notifica al proveedor. También estarán obligados a congelar cualquier transacción sospechosa y permitir que los usuarios establezcan límites de gasto o bloqueos de seguridad.

Otra medida relevante es que los usuarios tendrán derecho a hablar con una persona real y no solo a través de chat automatizado cuando contacten al servicio de atención al cliente.

El reglamento también establece que plataformas digitales y motores de búsqueda solo podrán anunciar servicios financieros si las empresas están debidamente autorizadas en el país en cuestión. Además, las plataformas serán responsables de los reembolsos hechos por proveedores si no eliminan contenidos fraudulentos tras ser advertidas.

Por su parte, los fabricantes de dispositivos y servicios electrónicos deberán permitir el acceso a datos necesarios para procesar pagos por medio de aplicaciones, bajo condiciones “justas, razonables y no discriminatorias”.

Asimismo, los comerciantes estarán obligados a asegurarse de que su nombre comercial aparezca igual en los extractos bancarios de sus clientes para facilitar la identificación de los cobros. Las empresas que procesan pagos con tarjeta también deberán informar con claridad sobre las tarifas aplicadas.

Estas reformas se enmarcan en el nuevo Reglamento sobre Servicios de Pago y la tercera Directiva sobre Servicios de Pago (PSD3), que modernizan el marco legal para operaciones electrónicas en toda la Unión Europea.

27 de noviembre de 2025
Alertan sobre fraudes digitales en Black Friday y cómo identificarlos

En el marco del Black Friday y el Cyber Monday, la empresa de ciberseguridad ESET emitió una alerta para los usuarios de El Salvador y Centroamérica sobre el aumento de estafas digitales durante estas fechas, donde la urgencia por aprovechar descuentos puede convertirse en el anzuelo perfecto para los ciberdelincuentes.

“La ansiedad por no perder una promoción lleva a las personas a tomar decisiones impulsivas. En ese contexto, los atacantes simulan ser marcas reconocidas para robar datos personales o bancarios”, explicó Camilo Gutiérrez Amaya, jefe del Laboratorio de Investigación de ESET Latinoamérica.

Entre los métodos más utilizados destacan los correos promocionales falsos, sitios web clonados, anuncios engañosos en Google y mensajes de WhatsApp que aparentan ser de tiendas populares. Estas estrategias buscan llevar al usuario a páginas falsas para capturar información sensible.

Uno de los canales más frecuentes son los anuncios patrocinados en Gmail, que se camuflan como promociones legítimas. ESET detectó campañas que simulaban ser de tiendas como StockCenter o Mercado Libre. Para evitar caer en este tipo de engaños, recomiendan verificar siempre la dirección del remitente y no hacer clic en enlaces sospechosos.

Otro de los fraudes frecuentes se da en los resultados de búsqueda de Google, donde páginas falsas aparecen como patrocinadas. Aunque Google ha mejorado su sistema para diferenciar los anuncios, los estafadores siguen aprovechando los espacios publicitarios para engañar. ESET sugiere confirmar siempre que el sitio tenga un certificado SSL (candado en la barra) y desconfiar de precios exageradamente bajos.

También es común encontrar clones de sitios web con nombres que imitan a marcas oficiales, como “marca-hotsale.com” o “marca-descuentos.com”. Estas páginas copian el diseño original para parecer confiables y ofrecer productos con precios absurdamente bajos, con el objetivo de captar datos bancarios.

Otra modalidad muy utilizada es la de mensajes falsos enviados por WhatsApp que prometen sorteos, premios o descuentos increíbles a nombre de marcas como Amazon o Mercado Libre. Estos mensajes dirigen a formularios falsos o a descargas de aplicaciones maliciosas. ESET aconseja evitar hacer clic en estos enlaces y verificar siempre en el sitio oficial.

“Si una oferta suena demasiado buena para ser cierta, probablemente lo sea. Siempre hay que comprobar que el dominio sea el correcto y nunca ingresar datos financieros en sitios que generen dudas”, agregó Gutiérrez Amaya.

ESET también recomienda no buscar sitios oficiales directamente desde Google en estas fechas, ya que los resultados podrían estar manipulados. En lugar de eso, es más seguro escribir la URL completa en el navegador.

Finalmente, si se detecta un sitio fraudulento o se recibe un mensaje engañoso, es fundamental reportarlo. “Denunciar estos contenidos ayuda a cortar la cadena del engaño y proteger a otros usuarios”, concluyó ESET.

26 de noviembre de 2025
Advierten de falso sitio web de empresa de equipos de audio que roba datos bancarios con descuentos falsos

La compañía de ciberseguridad ESET advirtió este lunes sobre un sitio fraudulento que simula ser la página oficial de JBL, fabricante de equipos de audio, con el objetivo de robar información personal y financiera de usuarios en América Latina.

Según el análisis del laboratorio de ESET Latinoamérica, esta campaña de suplantación utiliza URLs que imitan promociones reales, como “hotsale” o “descuento”, para generar confianza y atraer clics. Aunque algunas de estas páginas ya han sido dadas de baja, los investigadores insisten en que este tipo de prácticas siguen activas.

La técnica conocida como phishing dinámico permite que un mismo enlace malicioso muestre distintos contenidos según la ubicación geográfica, tipo de navegador o proveedor de internet del usuario. En algunos casos se presenta como una tienda de ropa, mientras que en otros redirige a un sitio falso de JBL con supuestas ofertas especiales.

ESET explica que los ciberdelincuentes crean páginas casi idénticas a las originales y distribuyen los enlaces a través de correos electrónicos, redes sociales o publicidad engañosa. Una vez dentro, los usuarios pueden ver productos con descuentos superiores al 60 %, lo cual es una señal de alerta típica del phishing.

La página falsa incluye textos en inglés y precios en pesos argentinos, una combinación que demuestra la falta de cuidado en la traducción y que puede evidenciar su origen fraudulento. Las promociones “demasiado buenas para ser verdad” buscan apelar a la urgencia emocional del comprador para que actúe sin verificar.

Cuando el usuario hace clic en opciones como “Quick view” o “Buy now”, es redirigido a un formulario que solicita información sensible como número de tarjeta de crédito, débito o cuentas de servicios de pago como PayPal. Estos datos son enviados directamente a los ciberdelincuentes.

“Una vez que se envían esos datos, pueden ser utilizados para compras fraudulentas, reventa en la dark web o incluso para suplantar la identidad de la víctima”, advirtió Camilo Gutiérrez Amaya, jefe del Laboratorio de Investigación de ESET Latinoamérica.

Entre las recomendaciones clave para evitar ser víctima de estas estafas figuran: no hacer clic en enlaces sospechosos, escribir directamente las URLs en el navegador, revisar con cuidado el dominio de la web y contar con soluciones de ciberseguridad que bloqueen sitios maliciosos.

ESET también sugiere desconfiar de correos electrónicos o publicidades que ofrecen grandes descuentos o beneficios poco creíbles.

“Lo más probable es que si algo parece demasiado bueno para ser cierto, simplemente no lo sea”, añadió Gutiérrez Amaya.

La firma concluyó que, en caso de haber ingresado a un enlace sospechoso, se debe seguir una serie de pasos para minimizar el daño. Para ello, han elaborado una guía con “10 pasos a seguir tras hacer clic en un enlace de phishing”.

24 de noviembre de 2025
El Salvador ha recibido 7,000 ataques de phishing diarios en el último año

El Salvador ha recibido 2.5 millones de ataques de phishing en el último año, equivalente a 7,000 diarios, según el Panorama de Amenazas para América Latina de la empresa de ciberseguridad Kaspersky.

El estudio detalla que los ataques de phishing —uno de los ciberataques más comunes— buscan ganarse la confianza de las personas mediante la suplantación de identidad de instituciones, como bancos, para que bajen la guardia y entreguen sus datos sensibles.

Según el reporte, en América Latina se registraron 1,200 millones de ataques de phishing en el último año, con un promedio de 3.5 millones diarios.

De este total, Centroamérica acumuló 27.1 millones de ataques, donde Costa Rica fue el país más afectado con 7.9 millones, seguido de Guatemala con 6.4 millones y Panamá con 6.3 millones.

República Dominicana sumó cuatro millones y El Salvador reportó 2.5 millones.

El informe señala que el 39 % de los usuarios costarricenses afectados fueron víctimas de fraudes al comprar en línea, porcentaje que se ubica en 19 % en Guatemala y 12 % en Panamá.

Riesgo de aumento por Black Friday

Kaspersky advirtió que esta es una de las amenazas más rentables para el cibercrimen y que suele intensificarse durante el Black Friday, cuando los consumidores buscan ofertas y entregan con más facilidad su información confidencial.

La empresa reportó que el 29 % de los latinoamericanos afectados ha perdido entre $100 y $500 por fraudes en compras en línea.

La compañía recuerda que los estafadores crean campañas de ofertas y notificaciones falsas en redes sociales que imitan tiendas reconocidas y prometen “descuentos increíbles” que “activan la emoción de comprar antes de pensar”. También utilizan mensajes directos, correos electrónicos o llamadas que alertan sobre problemas con pedidos o fallas en pagos para provocar una reacción inmediata.

“Cada descuido puede traducirse en pérdidas económicas y una menor confianza hacia el comercio digital. La verdadera protección empieza antes de comprar, con precaución y verificación desde el primer clic”, afirmó Carolina Mojica, gerente de Productos para el Consumidor para las regiones Norte y Sur de América Latina en Kaspersky.

De acuerdo con la compañía, el 50 % de los latinoamericanos ha caído en estas trampas. En Guatemala, la cifra alcanza el 54 %, en Panamá el 53 % y en Costa Rica el 52 %.

Además, el informe indica que un 60 % de los latinoamericanos no sabe reconocer un sitio falso.

¿Cómo protegerse?

Revise los dominios: los ciberatacantes crean portales que imitan sitios web legales para engañar a usuarios y robar datos.

Certificados: los sitios con “https” dan un mayor grado de seguridad para compras, pero verifique que también tenga el candado de seguridad.

Negocios reales: si usa una tienda en línea, verifique que haya números y direcciones reales. Usualmente, los sitios falsificados tienen errores de ortografía en las direcciones y los textos.

Revise: tras hacer una transacción, verifique los saldos en sus tarjetas de crédito y débito para evitar sorpresas con los cobros.

Cuidado con sus datos: evite a toda costa ingresar datos financieros en aplicaciones o sitios sospechosos. Puede usar tarjetas digitales con códigos de seguridad dinámicos, que cambian en cada compra.

23 de noviembre de 2025
Una campaña de ‘phishing’ utiliza Meta Business Suite para atacar a pequeñas y medianas empresas en todo el mundo

Una campaña global de ‘phishing’ ha logrado burlar los filtros de seguridad tradicionales al aprovechar herramientas legítimas de Meta Business Suite y el dominio oficial facebookmail.com, con el objetivo de engañar a pequeñas y medianas empresas y robar sus credenciales.

Facebook, con más de 5,400 millones de usuarios en todo el mundo, según datos de Statista, continúa siendo una de las redes sociales más utilizadas y una plataforma clave para pequeñas empresas que la emplean para promocionar sus productos, interactuar con clientes y gestionar su presencia digital. Esta confianza es precisamente lo que ha sido explotado por los ciberdelincuentes.

La firma de ciberseguridad Check Point Software identificó esta campaña fraudulenta dirigida contra más de 5,000 empresas en países como Estados Unidos, Canadá, Australia y varias naciones europeas. Se enviaron más de 40,000 correos electrónicos maliciosos, siendo que la mayoría de las víctimas recibió menos de 300 mensajes, aunque una sola compañía fue bombardeada con más de 4,200 correos.

Los atacantes crearon páginas falsas en Facebook Business que simulaban ser perfiles oficiales de Meta, copiando logotipos, nombres y elementos visuales para fortalecer la credibilidad del engaño. Usaron la función de invitaciones empresariales para enviar notificaciones que aparentaban provenir de la misma plataforma.

Además, al utilizar el dominio facebookmail.com, completamente legítimo, los correos fraudulentos lograron evadir los filtros automáticos de seguridad. Los mensajes incluían frases como “Acción requerida: estás invitado a unirte al programa de créditos publicitarios gratuitos”, “Invitación de socio de agencia de Meta” o “Verificación de cuenta requerida”, acompañados de enlaces que redirigían a sitios diseñados para robar información confidencial.

“Esta campaña demuestra hasta qué punto los ciberdelincuentes están sabiendo aprovechar los servicios y marcas más confiables para ejecutar sus ataques”, advirtió Eusebio Nieva, director técnico de Check Point Software para España y Portugal. Añadió que las organizaciones deben adoptar medidas preventivas y análisis de comportamiento para adelantarse a estas amenazas.

11 de noviembre de 2025
WhatsApp prepara nuevo modo de seguridad para prevenir estafas

WhatsApp, la aplicación de mensajería instantánea propiedad de Meta, trabaja en una nueva función de seguridad denominada Configuraciones de seguridad estrictas, que permitirá a los usuarios reforzar su protección contra estafas, intentos de phishing y archivos maliciosos de forma más rápida y sencilla.

Según reveló el portal especializado WaBetaInfo, la herramienta está en fase de desarrollo dentro de la versión beta 2.25.33.4 para Android, y su objetivo principal es facilitar la activación de varias funciones de protección al mismo tiempo, sin necesidad de configurarlas de forma individual.

Esta nueva opción permitirá activar por defecto funciones ya disponibles en la plataforma, como el bloqueo de archivos multimedia —imágenes, videos, documentos y audios— provenientes de contactos desconocidos, así como silenciar llamadas de números no guardados, evitar que terceros añadan al usuario a grupos sin su consentimiento, y desactivar la vista previa de enlaces.

El paquete de seguridad también incluirá la activación automática de herramientas adicionales como las notificaciones de seguridad, que alertan cuando cambia el código de cifrado de un contacto, y la verificación en dos pasos, que añade una capa extra de autenticación a la cuenta.

Entre las nuevas medidas, WhatsApp también implementará protección de la dirección IP durante las llamadas, para dificultar la localización del usuario, y ocultará la información del perfil, como la foto y el estado, a personas que no estén en la lista de contactos.

Con este nuevo apartado, WhatsApp busca consolidar todas estas herramientas bajo una sola opción, permitiendo que los usuarios activen de una sola vez todas las capas de seguridad necesarias, sin necesidad de navegar por múltiples menús.

Aunque la funcionalidad aún se encuentra en fase de desarrollo, la compañía espera que esta opción reduzca significativamente la exposición de los usuarios a ataques cibernéticos, enlaces maliciosos y fraudes comunes en la red.

7 de noviembre de 2025

Etiqueta: phishing

Operaciones preparadas desde enero

Consejos para evitar caer en una estafa

Riesgo de aumento por Black Friday

¿Cómo protegerse?