El equipo de Microsoft Threat Intelligence ha dado a conocer cifras alarmantes sobre la seguridad digital a nivel global. Durante el primer trimestre de 2026, se registraron miles de millones de intentos de phishing. La compañía tecnológica identificó un total de 8.300 millones de ataques dirigidos a usuarios mediante correo electrónico. Esta cifra consolida al engaño digital como la principal puerta de entrada para los ciberdelincuentes.
Auge de los códigos QR maliciosos
Dentro de las tácticas más recurrentes, el uso de códigos QR fraudulentos se ha convertido en el vector de mayor crecimiento. Esta técnica permite a los atacantes esconder URL maliciosas dentro de imágenes aparentemente inofensivas. Según los datos analizados, esta modalidad específica se duplicó en apenas tres meses de actividad constante. El aumento registrado fue del 146 por ciento, pasando de 7,6 millones a 18,7 millones de incidentes.
Los expertos señalan que los delincuentes insertan estos códigos en el cuerpo del correo o en archivos. El objetivo principal es redirigir a las víctimas hacia sitios de phishing diseñados para dispositivos móviles personales. “El phishing mediante el uso de códigos QR se ha consolidado como el vector de ataque de mayor crecimiento detectado”.
Para evadir los sistemas de seguridad actuales, los atacantes ahora utilizan archivos en formato PDF. Esta práctica pasó de representar el 65 por ciento de los ataques al 70 por ciento recientemente. El uso de archivos adjuntos dificulta que las herramientas de escaneo automático detecten el enlace fraudulento. Al estar oculto en un documento, el código malicioso suele pasar inadvertido para muchos filtros convencionales.
Engaños mediante sistemas captcha
Otra tendencia detectada por los especialistas es la manipulación de procesos de verificación tipo captcha. Estos sistemas, diseñados para diferenciar humanos de bots, ahora son utilizados como una trampa visual efectiva. Los actores maliciosos simulan una comprobación de seguridad legítima para ganarse la confianza de sus víctimas. De esta manera, ocultan el acceso a contenido dañino mediante un señuelo visual altamente convincente.
Microsoft reportó un repunte del 125 por ciento en el uso de esta técnica durante el mes de marzo. En total, se hallaron 11,9 millones de ataques que empleaban estos sistemas de verificación falsos. “Al obligar a los usuarios a completar el captcha, reducen la probabilidad de que las herramientas identifiquen la amenaza”.
Al introducir pasos de verificación que parecen reales, los criminales logran esquivar los protocolos de defensa. Esta capa de interacción humana permite que el malware se distribuya con un éxito mucho mayor. La tecnológica detalló que la manipulación psicológica es clave para el éxito de estas campañas fraudulentas. Los usuarios, acostumbrados a estos procesos, suelen entregar sus credenciales sin sospechar de la autenticidad del sitio.
El robo de identidad como objetivo central
El informe subraya que el 78 por ciento de las amenazas detectadas se basaron en enlaces maliciosos externos. Por otro lado, las cargas útiles representaron una porción menor pero peligrosa de la actividad criminal. El objetivo prioritario de estas campañas sigue siendo, de manera consistente, el robo de credenciales de acceso. Esto marca una evolución del malware tradicional hacia el compromiso directo de la identidad digital.
Esta tendencia representó entre el 89 y el 95 por ciento del objetivo de los ataques analizados. Los criminales prefieren ahora el robo de datos alojados en la nube sobre otros métodos menos efectivos. “Existe una preferencia hacia los ataques de phishing de credenciales alojados en la nube en lugar de cargas locales”.
La infraestructura en la nube permite a los atacantes escalar sus operaciones de forma rápida y económica. Esto facilita la creación de sitios espejo que imitan perfectamente a las aplicaciones empresariales más utilizadas hoy. El compromiso de la identidad permite a los atacantes acceder a redes corporativas completas sin levantar sospechas. Una vez obtenida la contraseña, los filtros de seguridad internos suelen ser más fáciles de vulnerar.
Desarticulación de la plataforma Tycoon2FA
En un esfuerzo por frenar esta tendencia, la unidad de crímenes digitales de Microsoft lideró una operación. Esta acción coordinada junto a Europol buscó desmantelar la plataforma de phishing como servicio llamada Tycoon2FA. Dicha plataforma permitía a criminales con menos conocimientos técnicos alquilar una infraestructura maliciosa. Gracias a esta intervención, la actividad de ataques asociada se redujo en un 15 por ciento inicialmente.
Tycoon2FA utilizaba técnicas avanzadas para intentar burlar la autenticación multifactor de los usuarios. Esta plataforma se había convertido rápidamente en una de las más extendidas y peligrosas del ecosistema criminal. El grupo responsable, identificado bajo el nombre de Storm-1747, vendía kits que imitaban páginas de inicio legítimas. Estos paquetes incluían tácticas de evasión sofisticadas, como las ya mencionadas páginas de captcha falsas.
A pesar del golpe recibido, los expertos advierten que la plataforma ha intentado adaptarse para seguir operando. Han cambiado sus patrones de registro de dominios y sus proveedores de alojamiento para evitar rastreos. Microsoft concluye que, aunque se logró una recuperación parcial del servicio malicioso, su capacidad operativa disminuyó. La vigilancia constante y la educación del usuario siguen siendo las mejores armas contra el phishing.
