Aumentan las falsas notificaciones de brechas de datos que buscan robar credenciales y distribuir malware
- Seguridad
ESET advierte de un aumento de estafas que imitan comunicaciones legítimas de empresas conocidas para inducir al usuario a hacer clic, descargar malware o entregar datos sensibles. La compañía identifica nuevas tácticas, señales de alerta y recomendaciones para evitar caer en estas campañas.
Recibir un aviso sobre una filtración de datos ya no sorprende a nadie. El aumento de incidentes y la exposición constante de información personal han generado un entorno en el que estos mensajes son habituales. ESET advierte que esta normalización está siendo explotada por los ciberdelincuentes, que envían falsas notificaciones de brechas para engañar a las víctimas y dirigirlas a enlaces maliciosos, archivos infectados o formularios fraudulentos.
Como explica Josep Albors, director de investigación y concienciación de ESET España, “las brechas de datos reales ocurren a diario y no deben ignorarse. El problema es que los ciberdelincuentes están explotando esa preocupación legítima para crear mensajes falsos cada vez más convincentes.”
Aprovechar una brecha real o inventarla
Según datos del sector, en Europa los incidentes diarios crecieron un 22% interanual en 2025, alcanzando una media de 443 al día, un escenario que multiplica las oportunidades para los estafadores.
ESET identifica dos estrategias predominantes. La primera consiste en aprovechar una brecha real. Tras hacerse pública una filtración, los atacantes envían correos falsos haciéndose pasar por la empresa afectada. El usuario, que espera recibir un aviso, es más propenso a confiar en el mensaje.
La segunda estrategia es inventar una brecha inexistente. Los delincuentes crean notificaciones falsas en nombre de marcas conocidas o incluso de departamentos internos de TI, con el objetivo es generar urgencia y credibilidad para que la víctima actúe sin verificar la información.
El uso de kits de phishing y IA generativa permite crear mensajes en lenguaje perfecto, con logotipos y elementos visuales idénticos a los reales, lo que dificulta su detección.
ESET recomienda prestar atención a una serie de indicios frecuentes, tales como mensajes que exigen actuar “ahora” para evitar bloqueos o riesgos; dominios extraños, errores tipográficos o variaciones mínimas del nombre de la empresa; textos poco naturales o con detalles que no encajan con la comunicación habitual; enlaces a páginas falsas para robar contraseñas o archivos que instalan malware; y mensajes genéricos sin datos concretos de la cuenta afectada.
ESET aconseja no responder al correo ni utilizar los enlaces o teléfonos incluidos. Lo más seguro es acceder directamente a la web oficial del servicio o contactar con la empresa por sus canales oficiales. Además, para minimizar riesgos insta a usar contraseñas fuertes y únicas, almacenarlas en un gestor de contraseñas, activar autenticación multifactor y analizar el dispositivo con una solución de seguridad fiable.
