Volver al Blog
Phishing en temporada de impuestos 2026: facturas falsas de Microsoft 365 y trampas de BEC

Phishing en temporada de impuestos 2026: facturas falsas de Microsoft 365 y trampas de BEC

Escuchar este artículo

Loading...
0:00
0:00
Fix My PC Store1/19/2026

El phishing en temporada de impuestos 2026 está haciendo lo de siempre: aparecer cuando la gente está ocupada, estresada y haciendo clic demasiado rápido. Veo este mismo problema tres veces por semana. A alguien le llega una “factura” alarmante de Microsoft 365, o un correo de “cambio de banco del proveedor”, y de repente el dinero desaparece, las cuentas quedan secuestradas y todos se señalan como si fuera un drama de tribunal.

Mire, no voy a endulzarlo. Los delincuentes no están hackeando su computadora como en las películas. Están hackeando sus hábitos. Envían correos creíbles, usan nombres de marcas reales y cuentan con que usted haga lo único que no debería hacer: apurarse.

Esta publicación cubre el manual que estoy viendo en 2026: la estafa de factura falsa de Microsoft 365, los señuelos de facturas con código QR y el clásico business email compromise (BEC) para redirigir pagos. Luego volveremos a las soluciones aburridas-pero-efectivas: MFA, Acceso Condicional, bloqueo del reenvío automático, auditoría de reglas del buzón y endurecimiento de SPF/DKIM/DMARC.

Phishing en temporada de impuestos 2026: por qué las estafas de “facturas” se disparan cuando usted está ocupado

En mis tiempos, la temporada de impuestos significaba una caja de zapatos con recibos, una calculadora chirriante y quizá una impresión de matriz de puntos si uno se ponía elegante. Ahora son bandejas de entrada llenas de “avisos de renovación”, alertas de “pago fallido” y amenazas de “último recordatorio”.

A los atacantes les encanta la temporada de impuestos porque:

  • Las facturas son normales en este momento. Así que las falsas se camuflan.
  • La gente aprueba pagos más rápido para “limpiar la cola”.
  • Los equipos de finanzas y operaciones están saturados, que es exactamente cuando ocurren los errores.

Y no, comprar una laptop más cara no va a arreglar esto. Es como poner llantas de carrera a un carro porque usted sigue pasándose los semáforos en rojo.

Estafa de factura falsa de Microsoft 365: cómo se ve y qué está haciendo en realidad

El cebo más común que estoy viendo es la estafa de factura falsa de Microsoft 365. El correo afirma que su suscripción se está renovando, que cambió la cantidad de licencias o que su tarjeta falló. A veces incluye un PDF. A veces es un botón de “Ver factura”. A veces es un código QR porque, al parecer, todos decidimos que los códigos QR son mágicos e inofensivos (no lo son).

Señales de alerta que sigo viendo (y que usted sigue ignorando)

  • El dominio del remitente es “casi igual”: letras extra, guiones raros o un dominio aleatorio .info/.top.
  • Lenguaje de urgencia: “aviso final”, “interrupción del servicio”, “cobranza”, “legal”.
  • Conceptos extraños: cantidades enormes de licencias, complementos desconocidos o una “tarifa de soporte”.
  • Número de teléfono para llamar: el objetivo es que usted hable con un estafador que lo guíe hacia un pago o hacia acceso remoto.

Qué no hacer

  • No llame al número del correo. Eso es como llamar al número de un volante de “limpieza gratis de VCR” pegado en una bomba de gasolina.
  • No abra adjuntos aleatorios en una máquina de trabajo “solo para revisar”.
  • No inicie sesión desde el enlace del correo. Vaya al sitio real escribiéndolo usted mismo o usando un marcador conocido.

Qué hacer en su lugar (aburrido, confiable, efectivo)

  • Verifique la facturación dentro del portal de administración real (Microsoft 365 admin center para tenants de Microsoft, Google Admin para Workspace).
  • Confirme con sus registros internos de compras o con quien realmente sea dueño de la suscripción.
  • Reporte y ponga en cuarentena el mensaje en su sistema de correo para que otros no caigan.

Si quiere la guía oficial de seguridad de Microsoft, empiece aquí: Guía de seguridad de Microsoft Support.

Business email compromise y fraude de facturas BEC: la trampa del “cambio de banco del proveedor”

Ahora viene la que de verdad duele: business email compromise. Aquí los atacantes suplantan a un proveedor o se meten en un buzón real y luego envían un correo perfectamente oportuno: “Hola, cambiamos de cuenta bancaria; por favor envíe los pagos futuros a este nuevo número de ruta”.

Esto es BEC invoice fraud y no es ingenioso. Solo es persistente, paciente y dirigido. Es el equivalente por correo electrónico a cambiar las etiquetas de dos cintas VHS y esperar que usted no lo note hasta que sea demasiado tarde.

Cómo sucede realmente detrás de escena

  • El atacante entra al buzón de alguien (contraseña débil, contraseña reutilizada, fatiga de MFA o un token de sesión robado).
  • Lee hilos antiguos y aprende sus proveedores, calendarios de pago y quién aprueba qué.
  • Responde dentro de una cadena de correos existente, o la suplanta de forma convincente.
  • Solicita redirigir un pago o envía una “factura corregida”.
  • El dinero va al lugar equivocado. Luego todos descubren que “el correo no es un sistema de pagos”.

La única regla que detiene la mayoría de las estafas por correo de cambio de pago a proveedores

Cualquier solicitud para cambiar datos bancarios debe verificarse fuera del correo. Eso significa una llamada a un número conocido de sus registros, no al número que viene en el email. O un paso de verificación en su portal de proveedores. Aburrido. Efectivo. Hágalo siempre.

Phishing de facturas con código QR: la ilusión de que “la cámara lo hace seguro”

Los códigos QR son solo enlaces con gabardina. Eso es todo. Un email típico de phishing de facturas con QR suele decir “Escanee para ver la factura” o “Escanee para pagar”. Usted lo escanea y lo lleva a una página falsa de inicio de sesión de Microsoft o a una página falsa de pago.

Qué hace peligrosos a los señuelos con QR

  • Evitan parte del escaneo de enlaces porque el enlace está incrustado en una imagen.
  • Mueven la acción a su teléfono, que quizá no tenga las mismas protecciones que su PC de trabajo.
  • Son rápidos: escanear, iniciar sesión, listo, comprometido.

Defensas simples que sí funcionan

  • Capacite al personal para tratar los códigos QR como enlaces desconocidos.
  • Exija MFA (y no el hábito de “aprobar el push pase lo que pase”).
  • Si su equipo necesita ayuda para recuperarse después de un clic, ahí es cuando importa la eliminación profesional de virus y limpieza de malware.

Secuestro de reglas del buzón: el truco de persistencia que la mayoría pasa por alto

Esto es lo que realmente pasa cuando usted ignora esto: cambia la contraseña, se siente orgulloso y el atacante sigue ganando de todos modos.

¿Por qué? Porque configuran reglas del buzón y/o reenvío automático para ocultar evidencia y mantener acceso. He visto reglas como:

  • Mover mensajes que contengan “invoice”, “wire”, “ACH” o “payment” a Archivo.
  • Eliminar automáticamente respuestas del proveedor real.
  • Reenviar todo el correo a una dirección externa.

Qué revisar en Microsoft 365 y Google Workspace

  • Reglas de bandeja de entrada del usuario comprometido (y de ejecutivos, finanzas y personal de cuentas por pagar).
  • Configuración de reenvío a nivel de buzón y a nivel de tenant.
  • Acceso delegado o permisos sospechosos de apps (concesiones OAuth que usted no aprobó).
  • Registros de inicio de sesión para “viajes imposibles” e IPs inusuales.

Si ya está metido hasta el cuello y necesita una mano firme, ahí es donde el soporte de TI remoto puede revisar el tenant rápidamente sin esperar a que alguien maneje al otro lado de la ciudad.

Seguridad del tenant de Microsoft 365: la lista aburrida que salva su presupuesto

No necesita una “plataforma cibernética de IA de próxima generación” (sí, puse los ojos en blanco mientras lo escribía). Necesita lo básico bien hecho. Como cambiar el aceite antes de que el motor se agarrote.

MFA, pero en serio

  • Exija MFA para todos los usuarios, especialmente administradores.
  • Use métodos fuertes cuando sea posible (app autenticadora o llaves de seguridad).
  • Reduzca la “fatiga de MFA” limitando avisos interminables y capacitando a los usuarios para rechazar aprobaciones inesperadas.

Acceso Condicional: detenga inicios de sesión riesgosos antes de que se conviertan en incidentes

Conditional Access (disponible en planes de Microsoft Entra ID que lo incluyen) le permite exigir MFA, bloquear autenticación heredada y restringir el acceso según señales de riesgo, cumplimiento del dispositivo o ubicación. Configúrelo con cuidado, pruebe, y no bloquee a toda su empresa a las 4:55 PM un viernes. Ya he visto esa película.

Bloquee el reenvío automático a direcciones externas

Esto es enorme para BEC. Muchas organizaciones permiten el reenvío automático por defecto o se olvidan de deshabilitarlo. No se lo ponga fácil a los atacantes para sacar correo silenciosamente.

Audite cuentas de administrador y reduzca privilegios permanentes

  • Limite la cantidad de administradores globales.
  • Use cuentas de administrador separadas (nada de cuentas admin para el correo diario).
  • Revise quién tiene acceso a cambios de facturación y métodos de pago.

Estafa de facturas en Google Workspace: sí, también afecta a Gmail

Si usted usa Google Workspace, no se confíe. He limpiado bastantes desastres de Google Workspace invoice scam donde el correo parecía un aviso de renovación, un “exceso de almacenamiento de la cuenta” o un ticket falso de soporte.

Aplican las mismas reglas:

  • Verifique la facturación dentro de la consola de administración real.
  • No confíe en direcciones “reply-to” solo porque el nombre visible se ve correcto.
  • Endurezca el reenvío, el acceso de apps y las opciones de recuperación.

SPF, DKIM, DMARC: no es glamoroso, pero reduce la suplantación

SPF, DKIM y DMARC no detendrán todos los ataques BEC (porque algunos ataques vienen de cuentas reales comprometidas). Pero sí reducen la suplantación de dominio y dificultan que los delincuentes se hagan pasar por su empresa y sus proveedores.

Qué hace cada uno (en español claro)

  • SPF: indica qué servidores de correo están autorizados para enviar correo por su dominio.
  • DKIM: firma criptográficamente el correo saliente para que los destinatarios verifiquen que no fue alterado.
  • DMARC: le dice a los destinatarios qué hacer si fallan las validaciones SPF/DKIM y proporciona reportes.

Qué no hacer

  • No publique DMARC con una política estricta sin probar, a menos que disfrute el correo roto y las llamadas molestas.
  • No ignore los reportes DMARC para siempre. Le están diciendo quién intenta suplantarlo.

Capacitación en seguridad de correo: enseñe las dos preguntas que importan

No le estoy pidiendo que convierta a su personal en detectives digitales. Le pido dos hábitos simples:

  1. ¿Esta solicitud de pago tiene sentido? (Momento, monto, proveedor, tono.)
  2. ¿Cómo lo verifico fuera del correo? (Número conocido, portal del proveedor, segundo aprobador.)

En mis tiempos, rebobinábamos casetes con un lápiz porque era más barato que comprar nuevos. La misma idea aquí: hábitos simples ahorran dinero.

Si una máquina se comporta raro después de que alguien “solo abrió un PDF”, empiece con reparación de computadoras y diagnóstico y escale a limpieza de malware según sea necesario. Y si ocurre lo peor y los archivos se cifran o se borran, ya está en terreno de recuperación de datos.

Qué hacer si ya hizo clic o pagó

Aquí es donde la gente pierde más tiempo haciendo primero lo incorrecto. Así que aquí va, en orden.

Si se ingresaron credenciales

  • Restablezca la contraseña de inmediato.
  • Revoque sesiones activas y revise la actividad de inicio de sesión.
  • Revise los métodos de MFA y elimine cualquier cosa desconocida.
  • Audite reglas del buzón y reenvío.

Si se envió dinero

  • Llame a su banco de inmediato y solicite un recall o el proceso por fraude.
  • Notifique al proveedor real usando información de contacto conocida.
  • Conserve el correo y los encabezados para la investigación.

Si necesita una verificación de cordura de gente que hace esto todo el día

Podemos ayudarle a limpiar buzones comprometidos, asegurar tenants de Microsoft 365 y configurar las protecciones que debieron estar desde el principio. A nivel local, cubrimos West Palm Beach y el resto de Palm Beach County (sí, incluyendo las emergencias de “mi oficina está a cinco minutos”). Si no está en la zona, también ofrecemos soporte de TI remoto a nivel nacional para que vuelva a lo aburrido y funcional.

Para tendencias generales de estafas y cómo evolucionan, también recomiendo: Investigación de amenazas y análisis de estafas de Malwarebytes. Es buena lectura si le gusta aprender cómo piensan los criminales (a mí no, pero es útil).

¿Necesita soporte experto para su computadora?

Obtenga ayuda profesional de los especialistas en reparación de computadoras de confianza de Palm Beach County.

Obtenga ayuda hoy

También Te Puede Interesar