¿Por qué el correo electrónico sigue siendo un objetivo clave para los ciberdelincuentes?
La empresa ESET advierte que la bandeja de entrada de correo es un sistema de identidad en sí misma por lo que quien acceda puede ir mucho más allá, y comparte consejos para mantenerla segura. | Créditos: ESET

¿Por qué el correo electrónico sigue siendo un objetivo clave para los ciberdelincuentes?

El correo electrónico no es solo un medio de comunicación, ni otra cuenta online más, es la llave a múltiples contenidos, el lugar a donde llegan los enlaces de restablecimiento de contraseñas, se almacenan alertas de cuentas, se confirman reservas, se archivan facturas y comienzan las verificaciones de identidad. 

ESET Latinoamérica anuncia a Giuliana Ravenna como su nueva channel manager para Chile
La ejecutiva será la nueva responsable del desarrollo de negocio y la gestión de partners, fortaleciendo la trayectoria de la compañía a nivel local.

Por eso, ESET, compañía especializada en detección proactiva de amenazas, advierte que es un objetivo codiciado para los ciberdelincuentes, y si se quiere proteger una cuenta y los datos personales o de negocio, la seguridad debe empezar por la bandeja de entrada.

Mario Micucci, Investigador de Seguridad Informática de ESET Latinoamérica, explica que:

“Una bandeja de correo puede contener años de información sensible, desde planes de viaje y recibos de compras hasta turnos médicos, contratos, documentos fiscales e identificaciones escaneadas. También puede mostrar adónde vas, qué posees, qué servicios usas, en quién confías y cómo se puede acceder a otras cuentas".
ESET lanza en Chile su programa de concientización y educación sobre ciberseguridad para empresas
El Cybersecurity Awareness Training, que ayuda a las empresas a evitar brechas de seguridad y pérdidas de reputación, fortaleciendo la postura de seguridad desde el factor humano.
"Una bandeja de entrada puede darle a un cibercriminal una ventaja sobre el resto de la vida digital de una persona. Con acceso a una cuenta de correo electrónico pueden restablecer contraseñas en múltiples otras cuentas, e incluso interceptar códigos de un solo uso enviados por el banco, redes sociales, almacenamiento en la nube u otros proveedores online”.

La telemetría de ESET mostró un aumento del 36% en los correos maliciosos en la segunda mitad de 2025 en comparación con los seis meses anteriores.

Figura 1. Tendencia en la detección de correos electrónicos maliciosos en 2025 (fuente: ESET Threat Report H2 2025)
¿Por qué las Pymes aun son un blanco fácil para los ciberataques?
Optimizar y mejorar la ciberseguridad se ha convertido en una prioridad crucial para las empresas que integran este sector empresarial, pero aún tienen un largo camino por recorrer para mitigar los riesgos porque solo tratar de prevenir los ataques ya no es suficiente.
Principales tipos de archivos adjuntos de correos electrónicos maliciosos (fuente: ESET Threat Report H2 2025)

Las repercusiones en un entorno laboral pueden ser aún más delicados, ya que, con acceso a un correo corporativo, los atacantes podrían abrir aplicaciones en la nube, acceder a unidades compartidas, revisar sistemas de CRM, finanzas y RR. HH., espiar las comunicaciones con colegas y clientes, y acceder a datos de clientes.

Un ataque de phishing a una cuenta de correo corporativa suele ser la primera etapa de una brecha de datos más amplia, un ataque de extorsión/ransomware o espionaje. Según estadísticas recientes del gobierno del Reino Unido, el phishing (38%) fue la forma de ciberataque más común el último año, seguido por la “suplantación de organizaciones en correos electrónicos” (12%).

Correo electrónico de phishing que distribuye el troyano Win/PSW.Delf, haciéndose pasar por Fujifilm (fuente: ESET Threat Report H2 2024)

El investigador explica que el correo electrónico sigue siendo atractivo para los atacantes porque está en la intersección entre tecnología, identidad y confianza humana. Todos usan el correo a diario y bajo presión de tiempo: para recibir facturas, actualizaciones de envíos, avisos de RR. HH., solicitudes de clientes, restablecimientos de contraseñas, invitaciones a reuniones y alertas de seguridad.

"Muchos de estos mensajes piden hacer clic, aprobar, descargar, responder o pagar. Incluso usuarios cuidadosos pueden cometer errores cuando un mensaje parece provenir de un remitente conocido, llega en un momento de apuro o transmite urgencia. Con técnicas de suplantación e ingeniería social, los atacantes tienen mayores probabilidades de éxito”.

El factor humano estuvo presente en el 62% de las brechas el año pasado, con la ingeniería social como el tercer patrón más común, representando el 16% del total, según Verizon. Los atacantes siempre buscan nuevas formas de engaño, el informe señala que la tasa media de clics “exitosos” en simulaciones de phishing en dispositivos móviles es un 40% mayor que en dispositivos de escritorio. También están usando herramientas cada vez más sofisticadas para mejorar el éxito de las campañas de phishing, la IA generativa (GenAI) ayuda a los actores maliciosos a redactar y escalar mensajes con gramática y ortografía impecables.

Ciberataques corporativos simulan identidad de CEO con diversos métodos para cometer fraudes
Hoy crecen los ataques personalizados que apuntan a áreas financieras y ejecutivos para acceder a decisiones de transferencias e información crítica de las organizaciones .

Desde ESET recomiendan usar una contraseña o frase de paso fuerte y única para cada cuenta, y guardarla en un gestor de contraseñas confiable. Alternativamente, usar un método sin contraseña como una passkey (o clave de acceso). En cualquier caso, activar la autenticación multifactor. Además, mantener actualizadas las opciones de recuperación y asegurarse de que un atacante no pueda usar un número de teléfono antiguo o un correo de respaldo olvidado para recuperar el acceso.

También aconsejan revisar las configuraciones cada cierto tiempo. Buscar reglas de reenvío desconocidas, filtros extraños, apps conectadas que no se reconozcan o dispositivos no identificados. Si la bandeja de entrada fue comprometida, cambiar la contraseña, revocar sesiones sospechosas, revisar los datos de recuperación y verificar si los mensajes se están reenviando sin saber.

De la duda al liderazgo: Mujeres que forjaron su camino en el mundo de la ciberseguridad
En el Día Internacional de la Mujer, ESET comparte historias reales de mujeres que encontraron su lugar en la industria, incluso cuando alguna vez pensaron que no era para ellas.

Francisco Carrasco M.

Francisco Carrasco, editor general y periodista azul especializado en TI con más de 24 años en el mercado local e internacional, quien trabajo por 15 años con la destacada editorial IDG International.