El correo electrónico sigue siendo el canal más utilizado para operar un negocio… y el punto de entrada más confiable para los atacantes. No necesariamente por fallas técnicas, sino por algo mucho más difícil de controlar: el comportamiento humano.
Este análisis se basa en el informe “2026 Threat Outlook: 5 Email Attacks You Need to Know” publicado por Abnormal AI. El documento completo está disponible en inglés y puedes descargarlo al final de este artículo.
El problema: cuando el correo “parece normal”
Durante años, la seguridad de email se centró en detener spam, malware, enlaces maliciosos y adjuntos peligrosos. Ese modelo sigue siendo necesario, pero hoy se queda corto. Los ataques más efectivos ya no se apoyan en cargas maliciosas evidentes: se apoyan en contexto, confianza e intención.
En otras palabras: los correos que más daño generan suelen verse completamente legítimos. Pueden pasar controles como SPF, DKIM y DMARC, y aun así formar parte de un ataque diseñado para manipular un flujo de negocio (finanzas, compras, nómina, soporte, recursos humanos) con un pretexto creíble.
Los 5 ataques de email que dominarán 2026
El panorama descrito en el 2026 Threat Outlook muestra un desplazamiento claro hacia amenazas de alto esfuerzo, enfocadas en identidad, persistencia y abuso de flujos cotidianos. A continuación, los cinco ataques que debes conocer y por qué representan un riesgo real para organizaciones en México y LATAM.
1) Phishing con códigos QR de múltiples etapas
El phishing con códigos QR evolucionó. Lo que antes era un señuelo simple ahora se construye como un flujo de ataque en varias fases diseñado para condicionar a la víctima antes de llegar al robo de credenciales.
- El primer correo puede parecer un seguimiento de negocio (por ejemplo, una solicitud de cotización).
- El QR evita inspección de URLs y reduce señales técnicas visibles.
- Al escanear, la interacción se mueve a un móvil fuera del perímetro corporativo.
- La etapa final suele incluir personalización, branding y páginas de login falsas altamente creíbles.
Riesgo clave: se fragmenta la visibilidad del ataque y los controles tradicionales pierden el hilo completo del flujo.
2) Suplantación de proveedores con hilos falsificados
Este ataque no solo suplanta a un proveedor: suplanta la conversación completa. Los atacantes fabrican cadenas de correos (threads) que parecen validación interna y autorización de un flujo financiero.
- Uso de dominios similares (look-alike) o incluso dominios comprometidos.
- Mensajes orientados a pagos, urgencia y continuidad del servicio.
- Documentos aparentemente legítimos (facturas, formularios fiscales, anexos).
Riesgo clave: el ataque se apalanca de procesos reales (cuentas por pagar, compras, tesorería) y se vuelve difícil de cuestionar sin verificación fuera de banda.
3) Phishing por consentimiento OAuth
En lugar de robar contraseñas, el atacante busca que el usuario autorice una aplicación maliciosa mediante un flujo OAuth legítimo. Con ello obtiene acceso persistente que puede sobrevivir cambios de contraseña y el uso de MFA.
- El señuelo suele parecer un mensaje rutinario (por ejemplo, una invitación a reunión).
- El enlace puede pasar por infraestructura cloud legítima antes de redirigir.
- El usuario concede permisos (“This app would like to…”) sin notar el riesgo.
Riesgo clave: el compromiso ocurre sin credenciales robadas; la persistencia depende de tokens que deben revocarse explícitamente.
4) Phishing lateral desde cuentas internas comprometidas
Cuando el atacante ya comprometió una cuenta interna, el siguiente paso es moverse lateralmente usando identidades reales dentro de la organización. Estos correos tienen credibilidad automática ante el receptor.
- Mensajes que imitan comunicaciones de IT, RRHH o seguridad.
- Bajo volumen, dirigido a pocos usuarios, sin señales masivas.
- Lenguaje y branding que parecen correctos.
Riesgo clave: el remitente es “válido”, pero su comportamiento no lo es. Detectar esto requiere modelar normalidad y anomalías por identidad.
5) Fraude de nómina generado con IA
La ingeniería social se vuelve más escalable y convincente con IA generativa. El fraude de nómina es un ejemplo: mensajes cortos, impecables, sin enlaces ni adjuntos, solicitando cambios rutinarios de depósito.
- El atacante puede suplantar display names con cargos de autoridad.
- El flujo se mantiene dentro de procedimientos normales (formularios, autorizaciones).
- El lenguaje es natural, correcto, sin errores evidentes.
Riesgo clave: casi no hay indicadores técnicos; el ataque vive en intención, contexto y proceso.
Por qué los controles tradicionales fallan
Estos ataques comparten una característica: están diseñados para parecer actividad autorizada. Por eso, soluciones que dependen principalmente de firmas, reputación y reglas estáticas suelen quedarse sin señales suficientes para actuar con precisión.
En el mundo actual, el reto no es solo “bloquear correos maliciosos”. El reto es distinguir intención maliciosa dentro de comunicaciones que se ven legítimas y encajan en flujos cotidianos del negocio.
El cambio necesario: seguridad de email basada en comportamiento
Para enfrentar este panorama, se requiere un enfoque moderno que entienda identidad, contexto y comportamiento. En la práctica, esto implica:
- Modelar relaciones normales entre usuarios, proveedores y áreas.
- Detectar anomalías en patrones de comunicación, lenguaje y flujo operativo.
- Evaluar el riesgo del evento de correo como parte de una secuencia (no como un mensaje aislado).
- Reducir la carga operativa mediante automatización y remediación.
Este enfoque no sustituye lo anterior: lo complementa y cierra brechas que los controles tradicionales no fueron diseñados para cubrir.
Email como pilar de Zero Trust
Desde una perspectiva Zero Trust, el correo electrónico debe tratarse como una capa crítica de identidad y confianza. En términos simples: ningún mensaje debe asumirse confiable por defecto, incluso si parece legítimo y pasa autenticaciones básicas.
Proteger el correo hoy exige el mismo rigor que aplicamos a identidad, acceso, SaaS y procesos de negocio sensibles.
Conclusión
El Threat Outlook 2026 deja un mensaje claro: los ataques de email más peligrosos ya no dependen de malware, sino de contexto y comportamiento. Las organizaciones que sigan confiando únicamente en controles tradicionales se mantendrán expuestas a fraudes silenciosos, costosos y difíciles de detectar.
Descarga el informe completo (en inglés)
Si quieres revisar el análisis original con ejemplos y detalle técnico, puedes descargar el reporte completo aquí:
Descargar “2026 Threat Outlook: 5 Email Attacks You Need to Know” (PDF)
Siguiente paso con QMA
Nota: Este artículo resume y comenta hallazgos del informe de Abnormal AI. El reporte completo está en inglés y es propiedad de sus autores.
