Volver al Blog
Fishing hook pulling a login form from a laptop screen; tablet and phone show hooked chat and email icons in dark server room.

Nuevas estafas de phishing que circulan en 2026

Fix My PC Store6/20/2026

Resumen rápido: Los ataques de phishing en 2026 son más convincentes que nunca: usan texto generado por inteligencia artificial, correos empresariales suplantados y solicitudes falsas de autenticación de dos factores para robar credenciales y dinero. Aprende las señales de alerta específicas, los pasos exactos para protegerte y qué hacer si ya hiciste clic en algo que no debías.


Llevo arreglando computadoras más tiempo del que la mayoría de quienes leen esto llevan vivos. Y te lo digo sin rodeos: los correos de phishing que están llegando a las bandejas de entrada ahora mismo son los más convincentes que he visto en mi vida.

Quedaron atrás los tiempos en que podías detectar una estafa porque la fuente estaba rara o alguien te llamaba "Estimado amigo querido." Hoy estos mensajes son impecables. Profesionales. Saben tu nombre, tu banco y a veces hasta quién es tu jefe. Algunos dan miedo de lo buenos que están.

Este artículo no es para asustarte. Es para prepararte. Vamos a revisar exactamente qué está circulando, qué debes buscar y cómo detenerlo antes de que te cueste caro.


Lo que necesitas

Antes de entrar en los pasos, esto es lo que debes tener en orden. La mayoría es gratis o de bajo costo. Sin excusas.

  • Un administrador de contraseñas (Bitwarden es gratis y confiable)
  • Autenticación multifactor en cada cuenta importante
  • Una sana desconfianza hacia cualquier mensaje inesperado que te pida hacer clic, llamar o pagar
  • La cabeza fría. Los estafadores se apoyan en la urgencia y el pánico. De eso hablaremos.
  • Si tienes un negocio, un plan de ciberseguridad real, no solo una oración y una suscripción a un antivirus

1. Conoce los nuevos tipos de ataque

No puedes defenderte de algo que no puedes reconocer. Aquí están las variantes de phishing específicas que han estado circulando agresivamente este año.

Correos de phishing escritos con inteligencia artificial

Los correos de phishing de antes eran descuidados. Errores tipográficos, redacción extraña, logos que no coincidían. Ahora los estafadores pasan sus borradores por herramientas de inteligencia artificial. El resultado se lee como un correo perfectamente normal de tu banco, tu departamento de TI o tu proveedor.

El contenido suena profesional. La gramática es impecable. El logo se ve correcto. La única pista es que a veces el contexto está ligeramente fuera de lugar, o la urgencia es un poco elevada. Presta atención a eso.

Compromiso de correo empresarial (BEC)

Este es brutal. Los estafadores comprometen o suplantan una cuenta de correo dentro de una empresa y luego le escriben a empleados o proveedores haciéndose pasar por el jefe o un colega. Los movimientos más comunes incluyen solicitudes falsas de transferencias bancarias, cambios falsos en las cuentas de pago de proveedores y mensajes falsos de recursos humanos sobre actualizaciones de depósito directo.

Un proveedor en West Palm Beach podría recibir un correo que parece venir del director general de tu empresa pidiéndole que actualice tu cuenta de pago. El correo se ve perfecto. El nombre que aparece coincide. A veces el dominio real difiere en un solo carácter. Tienes que mirar con atención.

Si tu negocio maneja facturas, nómina o transferencias bancarias y no tienes controles de seguridad en el correo, vale la pena llamarnos. Ayudamos a las empresas a configurar Microsoft 365 con autenticación y filtrado de correo adecuados, lo que detiene mucho de esto antes de que llegue a la bandeja de entrada de alguien.

Solicitudes falsas de autenticación de dos factores

Este es inteligente y se está propagando rápido. Recibes un correo o mensaje de texto que dice que hay actividad sospechosa en tu cuenta. Te pide que verifiques con tu código de dos factores. Lo ingresas. El problema es que acabas de entregarle ese código a una persona real al otro lado que simultáneamente está iniciando sesión como tú y solo necesitaba esa pieza final.

Esto se llama ataque de proxy de phishing en tiempo real. No es teórico, está ocurriendo. Tu código de dos factores no es protección mágica si alguien te engaña para que lo escribas en su sitio falso.

Usa llaves de acceso (passkeys) o llaves de seguridad de hardware donde sea posible. La autenticación basada en FIDO2 es resistente a este tipo de ataque de una manera que los códigos por SMS no lo son. La FIDO Alliance tiene más información al respecto si quieres profundizar.

Smishing: phishing por mensaje de texto

El phishing por mensaje de texto, llamado smishing, se ha disparado. Avisos falsos de entrega de USPS. Cobros falsos de peajes. Alertas falsas de fraude bancario. Mensajes falsos de "tu cuenta será suspendida" de servicios de streaming.

Son cortos, urgentes e incluyen un enlace. El enlace generalmente lleva a una página falsa muy bien hecha diseñada para robar tus credenciales. La gente hace clic en los textos más rápido que en los correos. Los estafadores lo saben.

Regla general: si un texto tiene un enlace y no lo estabas esperando específicamente, no hagas clic. Ve directamente al sitio web de la empresa escribiéndolo tú mismo.

Phishing por devolución de llamada

Este es engañoso. Recibes un correo que parece la renovación de una suscripción o la confirmación de una compra que no realizaste. No hay ningún enlace en el correo, por eso evita la mayoría de los filtros. En cambio, hay un número de teléfono al que llamar si quieres disputar el cargo.

Llamas. Te atiende un convincente "representante de servicio al cliente" que luego te guía para que le des acceso remoto a tu computadora o tus credenciales bancarias. Una vez que tienen acceso remoto, todo se complica rápidamente. (He limpiado el desastre de este escenario más veces de las que quisiera contar.)

Nunca llames a un número de teléfono de un correo inesperado. Si te preocupa un cargo, búscate tú mismo el número oficial de la empresa.


Persona en un cuarto oscuro se cubre el rostro con angustia mientras mira una laptop que muestra un ícono de sobre rojo con signo de exclamación
Hacer una pausa antes de hacer clic es tu primera y más importante línea de defensa contra el phishing.

2. Verifica la dirección real del remitente

Los nombres que se muestran no significan nada. Cualquiera puede nombrar su cuenta de correo "Equipo de Seguridad de PayPal". Lo que importa es la dirección de correo real que lo envía.

En Gmail, haz clic en el nombre del remitente para ver la dirección completa. En Outlook, pasa el cursor sobre el nombre. Mira el dominio después del símbolo @. ¿Es realmente paypal.com o es paypa1.com o paypal-support.net? Un carácter de diferencia. Ese es todo el juego.

También ten cuidado con dominios que parecen legítimos pero simplemente están mal. Tu banco no te va a escribir desde una dirección de Gmail o Outlook. Nunca.


3. No confíes en la urgencia

Este es el motor psicológico detrás de casi todo ataque de phishing. "Tu cuenta se cerrará en 24 horas." "Se detectó acceso no autorizado, actúa ahora." "Debes verificar de inmediato."

La urgencia apaga el pensamiento crítico. Ese es el objetivo. Los estafadores no quieren darte tiempo para pensar. Necesitan que reacciones antes de que tu cerebro se ponga al día.

Cuando sientes ese pico de pánico por un correo o mensaje de texto, esa es precisamente la señal para ir más despacio, no más rápido. Las empresas legítimas te dan tiempo. Si tu cuenta realmente está en riesgo, puedes navegar al sitio tú mismo y verificarlo.


¿Le preocupa que su negocio esté a un clic de una brecha de seguridad? Solicita una revisión de seguridad

4. Verifica por un canal diferente

Si recibes un correo de tu "jefe" pidiéndote que compres tarjetas de regalo, transfieras dinero o compartas tu contraseña, toma el teléfono. Llama a la persona real. No respondas el correo. No le escribas al número que aparece en el correo. Llama al número que ya tienes para esa persona.

Este único hábito detiene en seco los ataques de compromiso de correo empresarial. Se siente un poco incómodo la primera vez que llamas a tu director general para confirmar que realmente te pidió transferir $14,000 a un proveedor nuevo. Se siente mucho mejor que explicarle por qué lo hiciste sin verificar.

Para empresas con varios empleados, esto debe ser una política escrita, no solo una sugerencia. Nuestros clientes de TI gestionada reciben este tipo de orientación integrada en sus prácticas de seguridad.


5. Protege tus cuentas correctamente

Usa una contraseña única para cada cuenta. Sí, para cada una. Un administrador de contraseñas hace que esto sea realista, no una locura.

Activa la autenticación multifactor en todos los lugares donde se ofrezca. Las aplicaciones de autenticación son mejores que los SMS. Las llaves de hardware son mejores que las aplicaciones. Usa la mejor opción disponible para ti.

Ten especial cuidado con tu cuenta de correo. Si un estafador entra a tu correo, puede restablecer todas las demás contraseñas que tienes. Tu correo es la llave maestra.


6. Si hiciste clic en algo, actúa rápido

Quizás hiciste clic antes de pensar. Le pasa a todo el mundo. Esto es lo que debes hacer.

  1. No ingreses ninguna credencial en la página que se abrió. Ciérrala.
  2. Si ingresaste una contraseña, cámbiala de inmediato en cada sitio donde uses esa misma contraseña.
  3. Revisa si hay actividad no autorizada en tus cuentas, especialmente en el correo y la banca.
  4. Si permitiste acceso remoto a tu computadora, cierra la conexión de inmediato. Luego haz revisar esa máquina antes de volver a usarla. Ofrecemos soporte remoto si quieres una revisión rápida, o puedes traerla a la tienda para una evaluación completa de reparación de computadoras.
  5. Si esto ocurrió en una computadora de trabajo, notifica a tu contacto de TI de inmediato. Cuanto más rápida sea la respuesta, menor será el daño.

Para las empresas, aquí es también donde importa tener copias de seguridad y recuperación ante desastres en orden. Un ataque de robo de credenciales puede escalar rápidamente si alguien accede a tus sistemas. Tener copias de seguridad limpias y recientes es la red de seguridad.


Errores comunes

Confiar en los nombres que se muestran. El nombre que aparece en tu cliente de correo no significa nada. Verifica la dirección real.

Asumir que tu filtro de spam capturó todo lo malo. Los filtros de spam se equivocan, especialmente con los ataques nuevos y dirigidos. No bajes la guardia solo porque algo llegó a tu bandeja de entrada.

Reutilizar contraseñas. Un éxito de phishing se convierte en veinte cuentas comprometidas si reutilizas credenciales. Este es el peor hábito de contraseñas que existe.

Hacer clic en enlaces de textos sin pensar. Las pantallas de los celulares ocultan la URL completa. A menudo no puedes ver adónde va realmente un enlace. Ante la duda, no toques.

No reportarlo en el trabajo. Si recibes un correo sospechoso en tu trabajo y piensas "probablemente no era nada", repórtalo de todas formas. Tu equipo de seguridad o proveedor de TI necesita saber sobre los intentos de ataque aunque no hayas hecho clic. Para empresas del sur de Florida sin TI dedicada, para eso exactamente sirve un socio de TI empresarial.

Pensar que esto solo le pasa a otros. El condado de Palm Beach y la Costa del Tesoro han visto un aumento significativo de ataques de compromiso de correo empresarial y robo de credenciales dirigidos a pequeñas empresas. Este no es un problema de las grandes ciudades. Está pasando aquí.


Conclusión

El phishing en 2026 es sofisticado, dirigido y efectivo porque explota la manera en que los seres humanos reaccionan ante la urgencia y la confianza. La tecnología mejoró. La psicología no cambió.

Lo combates yendo más despacio, verificando por canales alternativos, usando contraseñas fuertes y únicas, y manteniendo la autenticación multifactor en cada cuenta que importa. Para las empresas, agregar filtrado de correo adecuado, concientización de los empleados y un plan de seguridad real cierra la mayor parte de la brecha.

Si hiciste clic en algo y no estás seguro de lo que le pasó a tu máquina, o si quieres que tu negocio esté configurado correctamente, aquí estamos. Sin juicios. Los estafadores son profesionales. Caer una vez no es estupidez. El problema es no aprender de ello.

Sigue siendo escéptico.


¿Le preocupa que su negocio esté a un clic de una brecha de seguridad?

Recibe una revisión de seguridad directa y sin rodeos de un equipo local que ha limpiado las consecuencias más veces de las que nos gustaría.

Solicita una revisión de seguridad

Preguntas frecuentes

¿Cómo puedo saber si un correo es un intento de phishing?

Verifica la dirección de correo real del remitente, no solo el nombre que se muestra. Los correos de phishing suelen usar dominios que difieren en un carácter del real. También presta atención a la urgencia inesperada, las solicitudes de hacer clic en un enlace o llamar a un número, y cualquier cosa que pida credenciales o un pago. Ante la duda, ve directamente al sitio web de la empresa tú mismo en lugar de hacer clic en nada del correo.

¿Es suficiente la autenticación de dos factores para detener los ataques de phishing?

La autenticación de dos factores estándar, especialmente los códigos por SMS, es mejor que nada, pero no es una defensa completa contra el phishing moderno. Los ataques de proxy en tiempo real pueden capturar tu código de un solo uso mientras lo escribes y usarlo al instante. Las llaves de hardware FIDO2 y las llaves de acceso (passkeys) son significativamente más resistentes a este tipo de ataque.

¿Qué debo hacer si accidentalmente hice clic en un enlace de phishing?

Cierra la página de inmediato sin ingresar ninguna información. Si ya ingresaste una contraseña, cámbiala de inmediato en cada sitio donde uses esa misma contraseña. Revisa tus cuentas en busca de actividad no autorizada. Si se concedió acceso remoto o el clic ocurrió en una computadora de trabajo, haz revisar el dispositivo por un profesional antes de seguir usándolo.

¿Las pequeñas empresas en el sur de Florida realmente son blanco del phishing?

Sí. Las pequeñas y medianas empresas son atacadas con frecuencia precisamente porque a menudo no tienen personal dedicado a la seguridad de TI. Los ataques de compromiso de correo empresarial dirigidos a empresas en el condado de Palm Beach y la Costa del Tesoro son un problema real y creciente. Un proveedor de TI gestionada con experiencia en seguridad puede implementar los filtros y las políticas que hacen de tu negocio un objetivo mucho más difícil.

¿Qué es el smishing y en qué se diferencia del phishing regular?

El smishing es el phishing que se realiza por mensaje de texto en lugar de correo electrónico. Ejemplos comunes incluyen avisos falsos de entrega de paquetes, cobros de peaje falsos y alertas falsas de fraude bancario. Las personas tienden a hacer clic en los enlaces de texto más rápido y con menos escrutinio que en los enlaces de correo, por eso el smishing ha crecido tanto. La regla es la misma: si no estabas esperando el mensaje, no toques el enlace.

¿Cómo funciona el compromiso de correo empresarial y cómo puedo prevenirlo?

El compromiso de correo empresarial ocurre cuando los estafadores suplantan o realmente comprometen una cuenta de correo de una empresa para enviar solicitudes convincentes de transferencias bancarias, cambios de pago o información confidencial. La mejor prevención es una política estricta de verificar cualquier solicitud financiera llamando directamente al solicitante usando un número que ya tengas, no uno que aparezca en el correo. Los controles de autenticación de correo como SPF, DKIM y DMARC también bloquean muchos mensajes suplantados antes de que lleguen.

También Te Puede Interesar