Recibir una notificación sobre una filtración de datos dejó de ser un evento aislado y pasó a integrar la rutina digital de personas y organizaciones. En ese contexto, ESET Latinoamérica advirtió que el aumento de brechas reportadas amplió las oportunidades para estafas que simulan avisos legítimos y buscan inducir acciones rápidas, como hacer clic en enlaces maliciosos o abrir adjuntos.
El volumen de incidentes aporta marco a esa dinámica. Solo en Estados Unidos se informaron el año pasado 3.322 filtraciones, que derivaron en casi 280 millones de notificaciones enviadas por email a las víctimas. En Europa, los incidentes diarios crecieron 22% interanual en 2025, hasta alcanzar un promedio de 443 por día. Con esa mayor exposición, el riesgo no se limita a caer en un correo apócrifo: también existe el peligro de ignorar alertas reales.
“Es importante aclarar algo: las filtraciones reales ocurren todos los días”, dijo Mario Micucci, investigador de Seguridad Informática de ESET Latinoamérica. El directivo sostuvo que la respuesta recomendada es evitar reacciones automáticas y distinguir entre comunicaciones auténticas y fraudulentas.
La compañía describió dos tácticas principales detrás de estas campañas. En una, los estafadores esperan a que ocurra una filtración real y aprovechan la noticia para enviar notificaciones falsas: en ese escenario, aumenta la probabilidad de que las víctimas crean el engaño porque esperan recibir un aviso legítimo. En la otra, se inventa un incidente inexistente y se envía un correo con supuestos detalles, por lo general haciéndose pasar por una marca conocida y popular para ganar relevancia y confianza. También puede haber suplantación del área de sistemas o IT del lugar de trabajo de la víctima.
ESET señaló que estas maniobras incorporan cada vez más kits de phishing y herramientas de inteligencia artificial para automatizar y mejorar la creación de notificaciones falsas. La IA permite replicar mensajes “muy similares a los reales”, en el idioma local y con el mismo tono y estilo, además de sumar logotipos y elementos visuales oficiales para reforzar la apariencia de legitimidad. “El objetivo final puede ser engañarte para que hagas clic en un enlace malicioso”, dijo Micucci, investigador de Seguridad Informática de ESET Latinoamérica.
Entre las señales de advertencia, la firma enumeró la solicitud de acción inmediata con mensajes alarmistas; remitentes inusuales con posibles errores tipográficos en el dominio; fallas de ortografía y gramática; enlaces o adjuntos sospechosos; y poca información específica sobre la cuenta, a diferencia de lo que suelen incluir las notificaciones reales.
Ante la recepción de un aviso, la recomendación es frenar y verificar con la fuente real sin responder el correo ni usar los datos de contacto incluidos en el mensaje. La verificación puede hacerse ingresando directamente a la cuenta desde el sitio oficial o contactando a la organización por canales verificados. Como apoyo adicional, se mencionaron funciones de protección de identidad incluidas en productos de seguridad y servicios como HaveIBeenPwned.com. También se recomendó utilizar contraseñas seguras y únicas almacenadas en un gestor, activar la autenticación multifactor (MFA) y contar con una solución de seguridad de correo con detección basada en IA.
Si existen sospechas de haber caído en una estafa, ESET planteó una respuesta rápida: cambiar contraseñas compartidas en todos los servicios donde se usen; activar MFA en cuentas sensibles; ejecutar un análisis de malware con software de seguridad; contactar al banco si se compartió información financiera y solicitar el bloqueo de tarjetas si corresponde; controlar regularmente las cuentas para detectar movimientos sospechosos; y reportar el incidente a autoridades o entidades de protección al consumidor del país.
