El phishing cumplimiento regulatorio llegó disfrazado de comunicaciones internas de conducta corporativa. Los correos usaban nombres como “Internal Regulatory COC” y “Workforce Communications”, con asuntos como “Internal case log issued under conduct policy”. Para reforzar credibilidad, los mensajes incluían avisos de que el contenido había sido “revisado y aprobado por un canal interno autorizado” y usaban el logo de Paubox —un servicio legítimo de comunicaciones conformes con HIPAA— creando la apariencia de un proceso oficial de cumplimiento de salud.

Cómo opera el ataque AiTM

La cadena de ataque tenía cinco etapas diseñadas para filtrar defensas automatizadas y presionar al usuario. El correo incluía un PDF con el “expediente del caso de conducta” y un enlace de “Revisar materiales del caso”. Ese enlace llevaba a una página con un CAPTCHA de Cloudflare, seguido de una página intermedia que solicitaba autenticación, un segundo CAPTCHA de imágenes, y finalmente la pantalla de inicio de sesión real de Microsoft.

Esa pantalla era legítima —y ese es el punto crítico. Los atacantes no montaron una página falsa de login: instalaron un proxy entre el usuario y Microsoft. Cuando la víctima completaba su autenticación con MFA incluido, el atacante capturaba el token de sesión resultante en tiempo real, obteniendo acceso directo a la cuenta sin necesitar la contraseña ni el segundo factor. El MFA por SMS, TOTP o notificación push no protege contra esta clase de ataque.

Phishing cumplimiento regulatorio en Chile

Los sectores más afectados por la campaña son de alta relevancia en Chile: salud y ciencias de la vida (19% de los objetivos), servicios financieros (18%), servicios profesionales (11%) y tecnología y software (11%). Las clínicas, isapres, bancos y consultoras chilenas con infraestructura Microsoft 365 son exactamente el perfil que esta campaña apuntó.

La dimensión local tiene un agravante específico. La implementación de la Ley Marco de Ciberseguridad (Ley 21.663) y la Ley 21.719 de Datos Personales está generando un volumen inusual de comunicaciones de cumplimiento hacia ejecutivos, equipos legales y responsables de seguridad. Ese contexto crea condiciones ideales para que un correo que simule una “revisión interna de conducta regulatoria” no active alarmas inmediatas, incluso en personas entrenadas.

El dato técnico más importante de esta campaña es que el MFA estándar no es suficiente frente a ataques AiTM. La única defensa efectiva es el MFA resistente a phishing: llaves de seguridad FIDO2, Windows Hello o passkeys, que vinculan criptográficamente la autenticación al dominio legítimo y no pueden ser interceptadas por un proxy. Las organizaciones que aún usan SMS u OTP deben asumir que ese control no las protege de esta clase de ataque.

La segunda medida urgente es incluir el escenario de “revisión de conducta corporativa” en los programas de simulación de phishing internos. Si los colaboradores no han visto un correo que llegue de “Workforce Communications” con un PDF adjunto y múltiples etapas de verificación, no están calibrados para detectarlo. Esta campaña —multicapa, con infraestructura legítima y urgencia emocional— no es una excepción: es el nuevo estándar de sofisticación.

Fuente: Microsoft Security Blog — https://www.microsoft.com/en-us/security/blog/2026/05/04/breaking-the-code-multi-stage-code-of-conduct-phishing-campaign-leads-to-aitm-token-compromise/

La entrada Microsoft alerta de phishing de “cumplimiento regulatorio” se publicó primero en ZonaCISO.

Los smartphones se han convertido en herramientas centrales para la vida diaria: desde operaciones bancarias y compras online hasta el acceso a redes sociales o servicios de entretenimiento. Esta gran cantidad de información y actividades convierte a los dispositivos móviles en un objetivo atractivo para los ciberdelincuentes, que distribuyen aplicaciones falsas o maliciosas para robar datos sensibles o dinero de los usuarios.

En este contexto, los especialistas de ESET advierten que muchas de estas amenazas se distribuyen a través de tiendas de aplicaciones no oficiales o mediante apps que imitan a servicios populares, aprovechando la popularidad de determinadas plataformas para engañar a los usuarios.

“Las aplicaciones falsas suelen aprovechar la confianza que los usuarios tienen en servicios conocidos para engañarlos y lograr que descarguen software malicioso. Por eso es importante prestar atención a ciertos detalles antes de instalar una app, como quién es el desarrollador, la cantidad de descargas o los permisos que solicita”, explica Mario Micucci, Especialista de Seguridad Informática de ESET Latinoamérica.

Para ayudar a identificar este tipo de engaños, ESET comparte siete recomendaciones para detectar aplicaciones móviles falsas antes de instalarlas.

Siete señales para identificar aplicaciones móviles falsas:

1. Revisar la cantidad de descargas: Si se trata de una aplicación muy conocida que debería tener miles o millones de descargas, pero aparece con pocos usuarios o no figura entre las más populares, podría tratarse de una aplicación impostora.
2. Leer las reseñas de otros usuarios: Las valoraciones pueden ofrecer pistas importantes. Una gran cantidad de comentarios negativos o reseñas demasiado similares entre sí pueden indicar la presencia de valoraciones falsas o generadas por bots.
3. Analizar el diseño y el logo: Las apps maliciosas suelen imitar el diseño de aplicaciones legítimas, aunque a menudo presentan pequeñas diferencias en el logo, el color o los elementos visuales. Ante la duda, es recomendable comparar el diseño con el sitio oficial del proveedor.
4. Verificar que realmente exista una app oficial: No todos los servicios ofrecen aplicaciones móviles. Antes de descargar una app asociada a un servicio popular, conviene revisar el sitio oficial de la empresa para comprobar si realmente existe una aplicación y acceder desde allí a los enlaces oficiales de descarga.
5. Revisar el nombre y la descripción: Las aplicaciones legítimas suelen cuidar la calidad de su presentación. Errores de ortografía, descripciones poco claras o inconsistencias en la información pueden ser señales de alerta.
6. Investigar al desarrollador: Es recomendable verificar quién está detrás de la aplicación. Los desarrolladores legítimos suelen tener un historial de otras apps publicadas y una reputación reconocible. En cambio, un desarrollador desconocido o sin historial puede generar sospechas.
7. Revisar los permisos solicitados: Si una aplicación solicita permisos que no parecen necesarios para su funcionamiento —por ejemplo, acceso a funciones del sistema que no tienen relación con su objetivo— podría tratarse de una aplicación maliciosa.

Señales de que una app instalada puede ser maliciosa

Incluso después de instalar una aplicación, existen algunos indicadores que pueden alertar sobre un posible riesgo. Entre ellos, que la app no funcione como debería, que presente comportamientos extraños como abrirse o cerrarse sola, o que aparezcan cargos inesperados en la tarjeta de crédito o en la factura del teléfono.

Otros síntomas pueden incluir el envío de mensajes o llamadas desconocidas desde el dispositivo, un consumo inusual de batería o de datos móviles, o la aparición de publicidad invasiva y aplicaciones instaladas sin autorización del usuario.

Qué hacer ante una aplicación sospechosa

Si un usuario sospecha que ha descargado una aplicación maliciosa, lo recomendable es eliminarla inmediatamente y utilizar una solución de seguridad que permita analizar el dispositivo y detectar posibles amenazas.

Para reducir los riesgos, ESET recomienda descargar aplicaciones únicamente desde tiendas oficiales, evitar instalar apps desde enlaces recibidos por correo electrónico o redes sociales, mantener el sistema operativo actualizado y utilizar autenticación de doble factor en las cuentas que lo permitan.

La entrada Aplicaciones móviles falsas: 7 señales que a reconocer se publicó primero en ZonaCISO.

Los cibercriminales buscan obtener información privada y sensible y nadie está exento hoy del hackeo de alguna de sus cuentas: desde WhastApp, Instagram, Facebook y LinkedIn, hasta plataformas bancarias o de servicios como YouTube y Spotify. En caso de que suceda, es primordial no perder la calma y cómo actuar de manera inmediata, ya que el tiempo en estos casos vale oro. Desde ESET advierten que tomar las decisiones correctas pronto ayuda a proteger tus datos y mitigar las posibles consecuencias de esta situación indeseada.

“Un hackeo de una cuenta funciona como un proceso: tiene etapas. Entonces, accionar rápido es clave, ya que el ataque podría quedar en la nada, o tener un impacto mínimo. Es decir, marca la diferencia entre que todo quede en una anécdota, o la pérdida de datos sensibles y dinero.”, comenta Mario Micucci, Investigador de Seguridad Informática de ESET Latinoamérica.

A continuación, ESET comparte qué hacer, y qué no, en el caso de sufrir el hackeo de las cuentas, y cuáles son las posibles consecuencias en caso de no actuar de manera rápida y correcta. En la mayoría de los casos, el acceso inicial se produce por credenciales robadas, correos de phishing o infección con malware, muchas veces sin que la víctima lo note. Los pasos detallados aplican tanto si una cuenta fue comprometida, como cuando el acceso se originó desde un dispositivo infectado:

Minuto 0–2 | Frenar el daño: El primer paso es desconectar el dispositivo de Internet (tanto el Wi-Fi como los datos). Si la cuenta vulnerada es online (sea mail, red social o banco), se debe cerrar sesión en todos los dispositivos siempre que la plataforma lo permita. En este paso aún no es aconsejable borrar nada todavía, ya que puede servir como evidencia para entender la naturaleza del ataque.

Minuto 3–6 | Asegurar el acceso: Cambiar la contraseña de la cuenta comprometida desde un dispositivo seguro, es fundamental que sea una clave única y robusta. Además, como buena práctica, activar el doble factor de autenticacióN (2FA) siempre que sea posible. Si la plataforma hackeada lo permite, cerrar todas las sesiones activas y revocar los accesos de aplicaciones conectadas.

Minuto 7–10 | Revisar otras cuentas no afectadas: En el caso de reutilizar la misma contraseña en diversas cuentas, se deben actualizar las claves en todos los servicios y plataformas, para evitar que sean hackeadas también. También, verificar si no hubo cambios en los datos de contacto, mensajes enviados que no se reconozcan, y compras o movimientos extraños. Además, siempre que sea posible, revisar el historial de inicios de sesión y la actividad reciente para detectar accesos no reconocidos.

Un área para destacar es el correo electrónico, debido a que suele ser la puerta de recuperación del resto de las cuentas. Entonces, si un ciberatacante controla el mail, podrá volver a entrar al resto de los servicios. Es por lo que asegurar el correo es clave para evitar que el hackeo se repita.

Minuto 11–13 | Escanear y limpiar: Realizar un análisis de seguridad completo en el dispositivo vulnerado, y eliminar todo tipo de software, extensiones o aplicaciones que no se hayan instalado. A su vez, actualizar tanto el sistema operativo como las apps que se utilizan.

Minuto 14–15 | Avisar y prevenir: Parte de actuar rápido y de manera correcta ante un hackeo es avisar a los contactos. Básicamente porque el ciberatacante pudo escribirles para solicitar dinero o cometer cualquier tipo de estafa. También se debe reportar el incidente a la plataforma cuestión (mail, red social, banco), sobre todo si hay datos sensibles o dinero involucrados. Si hackearon los servicios financieros, contactar de inmediato a la entidad para bloquear operaciones y monitorear todos los movimientos.

Desde ESET advierten que hay diversas buenas prácticas que como usuarios se pueden adoptar para reducir sensiblemente el riesgo de sufrir un hackeo de las cuentas. Comparte las siguientes:

• Activar el doble factor de autenticación: Además de requerir un nombre de usuario y contraseña, solicita el ingreso de un segundo factor, que podría ser un código de seguridad o un dato biométrico. En muchos casos, bloquea por completo el acceso del cibercriminal, incluso si la contraseña fue comprometida.

• Utilizar contraseñas fuertes: Las contraseñas más utilizadas por los usuarios siguen siendo “123456”, nombres y fecha de nacimiento. El problema es que son claves muy fáciles de descifrar para los cibercriminales. La solución es crear contraseñas fuertes, únicas y que no sean reutilizadas. El mejor aliado para eso es un generador de contraseñas, que crea credenciales fuertes y únicas.

• Actualizar software y aplicaciones: Cuando llega una notificación de pedido de actualización, lo ideal es hacerlo de inmediato, ya que es necesario para corregir posibles fallos o vulnerabilidades del sistema.

• Prestar atención a los correos de phishing: El phishing es una de las prácticas más utilizadas por los cibercriminales para obtener los datos de acceso a las distintas cuentas. Prestar atención a ciertas señales puede ser clave para evitar ser víctima de este ataque. Una alarma, por ejemplo, puede ser que el correo electrónico no está dirigido, o presenta errores gramaticales y ortográficos.

• Instalar una solución de seguridad: En cualquier tipo de dispositivo que se utilice, contar con una solución de seguridad robusta es casi imperativo, ya que representa una barrera de defensa contra las ciberamenazas, incluyendo el mencionado phishing.

“Frente a un hackeo, los primeros enemigos suelen ser el pánico y la ansiedad. Por eso, contar con un plan de acción permite tomar mejores decisiones. Actuar rápido puede marcar la diferencia entre un incidente aislado y un problema con consecuencias más graves. La seguridad no se trata solo de reaccionar cuando algo falla, sino de incorporar buenos hábitos para reducir la superficie de ataque, como contraseñas únicas, autenticación en dos pasos y dispositivos protegidos. Estas acciones pueden significar ahorro de tiempo, dinero y preocupaciones.”, concluye Micucci de ESET.

La entrada Hackearon mi cuenta: ¿qué hacer en los primeros 15 minutos? se publicó primero en ZonaCISO.

La ciberseguridad en 2026 ha dejado de ser una métrica técnica para convertirse en el pilar de la estabilidad organizacional. Tras la publicación del informe Global Cybersecurity Outlook 2026 del Foro Económico Mundial (WEF), la comunidad técnica ha puesto la lupa sobre Latinoamérica, una región donde la fragilidad de las infraestructuras y la sofisticación de las amenazas están dictando una nueva realidad para los tomadores de decisiones.

Para Manuel Peláez, experto en ciberseguridad y CEO de Servinformación, el panorama actual exige una visión que vaya más allá del software. Peláez identifica tres retos estructurales que amenazan la permanencia misma de las organizaciones en el ecosistema digital.

1. El auge del fraude sistémico potenciado por IA

El paradigma del riesgo ha mutado drásticamente. El 77% de los líderes globales señala hoy al fraude cibernético y al phishing -potenciados por IA generativa- como su mayor amenaza, desplazando al ransomware. El 87% de los expertos advierte que la IA es el riesgo de más rápido crecimiento debido a su capacidad para automatizar el engaño a gran escala.

“Estamos ante una industria del fraude que ya no busca solo bloquear sistemas, sino suplantar identidades de forma silenciosa”, afirma Peláez. “La respuesta científica debe ser igual de avanzada: el uso de IA defensiva y analítica predictiva permite reducir hasta en un 40% los tiempos de detección. La velocidad de respuesta es hoy el factor que evita que un incidente técnico se convierta en una crisis reputacional y financiera irreversible”.

2. “Ciber-inequidad”: La vulnerabilidad del capital humano

El informe introduce el concepto de “ciber-inequidad”, señalando que el 85% de las organizaciones con baja resiliencia atribuyen su estado a la falta de talento especializado. En Latinoamérica, el 69% de las empresas admite que su mayor debilidad es la falta de habilidades técnicas, una brecha que se acentúa frente a la alta profesionalización de los equipos de respuesta en mercados líderes.

Desde la óptica de Peláez, esta carencia de expertos es un riesgo operativo que se traduce en fragilidad institucional. “En el contexto latinoamericano, la estabilidad de una empresa es hoy proporcional a la profundidad técnica de su equipo. La brecha de talento genera una ‘deuda técnica’ que termina por degradar la calidad del servicio. Sin especialistas que entiendan la arquitectura local, cualquier incidente técnico puede escalar rápidamente a una crisis de continuidad financiera”, señala.

3. El marco legal como estándar de seguridad y confianza

El hallazgo más alarmante del WEF para la región es la disparidad en la percepción de seguridad. Mientras que en mercados desarrollados como Estados Unidos y los países de la Unión Europea, la confianza en la respuesta ante ataques a infraestructura crítica promedia el 84%, en Latinoamérica este indicador se desploma al 13%.

Ante esta falta de garantías externas, Peláez sostiene que la clave no reside únicamente en la ubicación física de los datos, sino en la exigencia de normatividades locales robustas . “Más que una soberanía geográfica, lo que Latinoamérica requiere es una soberanía jurídica. El cumplimiento de leyes y normativas locales exigentes permite elevar el estándar de seguridad de las entidades, garantizando que, sin importar dónde resida la información, esta deba responder a un marco legal nacional que proteja la estabilidad de las organizaciones. Elevar el nivel de exigencia legal es, en última instancia, elevar el nivel de protección de la economía nacional”, concluye el directivo.

Un cambio de discurso hacia la resiliencia

El análisis de Peláez, respaldado por la data del WEF, concluye que en 2026 la ciberseguridad es el garante de la estabilidad operativa. Proteger la integridad del dato es el camino más directo para proteger la rentabilidad y la confianza del mercado. La resiliencia digital se consolida, así, como el activo más importante para cualquier institución que busque sostenibilidad en el tiempo.-

La entrada 3 ejes de ciberseguridad que definirán la estabilidad de las organizaciones en 2026 se publicó primero en ZonaCISO.

El uso e interacción creciente de la tecnología sigue a niveles exponenciales en la vida cotidiana. Existe una gran cantidad de servicios que hoy se pueden hacer y pagar mediante teléfonos inteligentes, lo que para muchas personas no implica mayor inconveniente, pero para los adultos mayores es complejísimo.

El envejecimiento de la población mundial es una tendencia. Según uninforme de la Organización Mundial de la Salud, para 2030 una de cada seis personas será mayor de 60 años. Y en Chile, de acuerdo al Instituto Nacional de Estadística (INE), el envejecimiento de la población mantiene su tendencia al alza, aumentando el porcentaje de personas de 65 años o más de 6,6% en 1992 a 14% en 2024.

“Para hacernos una idea y ejemplificar, existen más de 16 millones de ClavesÚnicas activadas, la cual auténtica digitalmente a los ciudadanos para acceder a distintas instituciones públicas y facilita el acceso a servicios y plataformas digitales de manera segura. Por lo tanto, el Estado también está apostando a la digitalización, presionando a los adultos mayores a ponerse al día, pero es difícil para ellos”, explica André Goujon, CEO de Lockbits.

En un entorno digital cada vez más presente, la interacción con la tecnología conlleva tanto beneficios como riesgos significativos. Dado que los adultos mayores utilizan cada vez más las herramientas digitales en su vida diaria, también se exponen a amenazas en línea. Esto incluye estafas diseñadas específicamente para ellos, aprovechando su confianza y su menor familiaridad con las complejidades de estos entornos. Por lo tanto, es crucial abordar estas temáticas de manera especializada.

“Falta empatía y una capacitación estratégica basada en la segmentación y personalización. Tenemos que avanzar, porque los cibercriminales no tienen compasión ni discriminan por edad. Son criminales, no lo podemos olvidar nunca”, menciona Goujon.

Según ESET, los adultos mayores se exponen a estafas por correo electrónico y servicios de mensajería (WhatsApp, Telegram, entre otros), llamadas telefónicas fraudulentas, estafas en la web y redes sociales, secuestro de cuentas y QRs. Por eso, la expresión “corazón de abuelita” no es antojadiza. Los adultos mayores sienten las emociones de una forma distinta a los más jóvenes, por lo que son más propensos a caer en manipulaciones (ingeniería social) y posteriores estafas.

“Hay que partir por casa, educar a los más cercanos, transmitiendo el concepto de ciber higiene digital, comentando algunos riesgos de usar el teléfono y pinchar cualquier link, o confiar en ofertas y/o premios. Además, es importante que se siga promoviendo por todos los medios posibles que tiene que existir una estrategia mucho más efectiva y agresiva en la educación sobre ciberseguridad”, recalca el especialista.

A continuación, desde Lockbits se comparten algunas recomendaciones clave para actualizar y empoderar digitalmente a los adultos mayores, con el objetivo no solo de prevenir estafas, fraudes o malas experiencias, sino también de asegurar que puedan acceder y disfrutar plenamente de los múltiples beneficios y oportunidades que ofrece el mundo digital de hoy.

• Evitar compartir información o datos personales y sensibles.
• Usar contraseñas seguras y distintas. Si es necesario, que sean gestionadas por un familiar o bien, anotadas en alguna libreta personal.
• Mantener dispositivos actualizados.
• Activar la doble autenticación (confiarle a algún familiar o persona de confianza).
• Precaución con hacer clic en enlaces.

“Es importante acompañarlos activamente, ayudando y orientando sus acciones. Hay que mostrar iniciativa y estimular la paciencia, ya que sienten inseguridad de consultar. Se trata de una necesidad latente en la era digital, por lo que hay que seguir avanzando en concientización y educación para quienes también nos protegen y son parte esencial de las familias chilenas”, sentencia Goujon

La entrada ¿Avanza la capacitación de los adultos mayores sobre ciberseguridad en Chile? se publicó primero en ZonaCISO.

Kaspersky presentó su Boletín de Seguridad 2025 centrado en la ciberseguridad del sector retail y de comercio electrónico, donde analiza incidentes reales y las principales tendencias de amenazas que impactaron a los usuarios y a las empresas durante el último año.

Más allá de ofrecer un balance de lo ocurrido en 2025, el informe también sirve como base para anticipar los riesgos que marcarán 2026, ayudando a organizaciones y consumidores a entender qué cambió, qué amenazas se consolidaron y qué nuevos desafíos deben prepararse para enfrentar.

La ciberseguridad en el sector retail y e-commerce en 2025, en cifras:

• El 14.41% de los usuarios del sector retail se enfrentó a amenazas web.
• El 22.20% de los usuarios del sector retail se enfrentó a amenazas en el dispositivo.
• El 8.25% de las empresas de retail y e-commerce sufrió ransomware este año.
• Un 152% más de usuarios B2B únicos del sector retail y e-commerce se encontró con detecciones de ransomware en 2025 en comparación con 2023.
• Kaspersky identificó 6.7 millones de ataques de phishing dirigidos a usuarios de tiendas online, empresas de reparto y sistemas de pago.
• El 50.58 % de estos ataques de phishing se dirigió a tiendas online.

Panorama de la ciberseguridad en retail y e-commerce en 2025

En 2025, el sector vivió un aumento claro de los riesgos digitales. Las compras online, las apps móviles y los servicios de entrega facilitaron la vida de los usuarios, pero también ampliaron las oportunidades para los ciberdelincuentes. Este contexto ayuda a entender por qué las amenazas fueron más frecuentes y más sofisticadas a lo largo del año.

Apps falsas, incluso en tiendas oficiales: Pedir comida por apps ya es algo normal en nuestra vida diaria. Pero en 2025 quedó claro que ni siquiera descargar una aplicación desde una tienda oficial garantiza que sea segura. Algunas apps aparentan ser legítimas, pero en realidad roban datos personales y financieros de los usuarios.

El ransomware creció con fuerza en el sector B2B: En 2025, el número de usuarios del sector retail y e-commerce que se encontró con ataques de ransomware aumentó un 152% frente a 2023. El mayor crecimiento se dio entre 2024 y 2025, y se debe principalmente a la rápida expansión de una familia de malware llamada Trojan-Ransom.Win32.Dcryptor. Este ransomware se hace pasar por una herramienta legítima (DiskCryptor) y la utiliza para cifrar los discos de las computadoras, dejando a las empresas sin acceso a su información.

El protagonismo del phishing en el comercio online. A pesar de ser una técnica de ataque consolidada, el phishing sigue siendo muy común en el contexto de las compras en línea. De noviembre de 2024 a octubre de 2025, los productos de Kaspersky bloquearon 6,651,955 intentos de acceso a enlaces de phishing dirigidos a usuarios de tiendas online, sistemas de pago y servicios de entrega. De estos intentos, el 50.58 % se dirigía a compradores online, el 27.3 % suplantaba a sistemas de pago y el 22.12 % apuntaba a usuarios de empresas de reparto.

Las temporadas de ventas siguen siendo terreno fértil para los atacantes: Los picos estacionales de compras online ofrecen oportunidades predecibles para escalar ataques centrados en el usuario. Los periodos de alta actividad promocional reducen la vigilancia de los usuarios y permiten que escenarios conocidos de phishing y spam se mezclen con el tráfico legítimo de marketing, aumentando su eficacia. De cara a 2026, la forma en que las personas compran por internet seguirá cambiando rápidamente, impulsada por la inteligencia artificial y nuevas experiencias digitales. Pero estos avances también traerán nuevos riesgos en privacidad y fraude, que tanto empresas como usuarios deberán tener en cuenta.

De cara a 2026, la forma en que las personas compran por internet seguirá cambiando rápidamente, impulsada por la inteligencia artificial y nuevas experiencias digitales. Pero estos avances también traerán nuevos riesgos en privacidad y fraude, que tanto empresas como usuarios deberán tener en cuenta.

Los chatbots ganarán protagonismo en las compras: Cada vez más personas usarán asistentes conversacionales para buscar productos. A diferencia de las búsquedas tradicionales, estos sistemas recogen información más detallada sobre gustos y necesidades, lo que hace que los datos de las conversaciones sean tan sensibles como los de una compra. Esto aumenta el riesgo de uso indebido o exposición de información personal.

Los cambios en impuestos y reglas comerciales también serán usados para estafar: Nuevas tarifas, aranceles y normas de comercio internacional podrían convertirse en excusas para campañas de phishing y tiendas falsas, con promesas de precios demasiado bajos o supuestas exenciones de pagos, afectando sobre todo a pequeños y medianos comercios.

Los asistentes de compra con IA saldrán de las tiendas online: Estos servicios empezarán a integrarse en navegadores, apps y plataformas externas. Aunque facilitan la comparación de precios, también recogen datos del comportamiento del usuario fuera del control directo de las tiendas, lo que crea nuevos riesgos de privacidad y uso poco transparente de la información.

La búsqueda de productos por imágenes abrirá nuevos retos: Subir fotos será cada vez más común para encontrar artículos similares, pero esas imágenes pueden incluir rostros, espacios del hogar o datos visibles como direcciones o números de teléfono. Por eso, la protección de esos contenidos será clave para evitar filtraciones de información personal.

“Estamos viendo un cambio profundo en la forma en que las personas descubren y eligen productos online. En 2025 ya se notó una transición desde las búsquedas simples por palabras clave hacia interacciones más naturales, visuales y conversacionales. Esto significa que los usuarios comparten más información sin darse cuenta, y que las empresas manejan volúmenes de datos cada vez más ricos y delicados. De cara a 2026, el gran desafío no será solo proteger esa información de ataques externos, sino también garantizar que se utilice de forma transparente, responsable y con límites claros. La confianza del consumidor dependerá cada vez más de cómo se gestionen estos datos”, asegura Lisandro Ubiedo, analista Senior de Seguridad del Equipo Global de Investigación y Análisis de Kaspersky.

La entrada Compras con IA y más fraudes: los riesgos digitales que marcarán al e-commerce 2026 se publicó primero en ZonaCISO.

El rápido avance de la inteligencia artificial (IA) ha facilitado la creación de imágenes con un alto nivel de realismo, incluidas imágenes falsas o manipuladas, reduciendo significativamente las barreras para el engaño en línea. 

Norton advierte que, si bien el contenido generado por IA no es intrínsecamente dañino, pueden surgir riesgos cuando los estafadores hacen un uso indebido de estas capacidades como parte de estafas y tácticas de ingeniería social, utilizando imágenes para crear urgencia, ejercer presión, explotar la confianza o engañar a las personas en entornos digitales.

El uso de herramientas de IA para generar o alterar imágenes y crear deepfakes ha atraído cada vez más la atención en todo el panorama digital. Si bien abre interesantes oportunidades para el arte y la expresión creativa, el contenido generado por IA también puede crearse con fines de uso indebido y estafas en plataformas y redes sociales. La capacidad de crear imágenes falsas muy realistas introduce nuevos riesgos, ya que este tipo de contenido podría aprovecharse en planes de engaño, fraude o extorsión diseñados para manipular emocionalmente o presionar a las personas.

“Con las herramientas de inteligencia artificial actuales, es posible hacer que casi cualquier persona parezca estar haciendo casi cualquier cosa en cuestión de segundos, sin necesidad de conocimientos técnicos. Esto cambia radicalmente lo fácil que es engañar y manipular a las personas en Internet”, afirma Iskander Sanchez-Rola, director de IA e Innovación en Norton. 

“La IA puede hacer que las personas parezcan estar en lugares en los que nunca han estado, haciendo cosas que nunca han hecho, o mostrándolas de forma comprometedora o engañosa. Este tipo de manipulación es extremadamente peligrosa y puede tener graves consecuencias en el mundo real”, agrega.

Cuando las imágenes generadas por IA se vuelven peligrosas

La inteligencia artificial en sí misma no es intrínsecamente peligrosa. En lo que respecta a la creación de imágenes, existen muchos casos de uso legítimos y positivos, desde el diseño y el arte hasta la educación y la accesibilidad.

Sin embargo, el riesgo surge cuando la IA se cruza con el engaño. Entre los ejemplos de usos peligrosos de imágenes generadas o manipuladas por IA se encuentran:

Perfiles románticos o sociales falsos

Fotos de perfil generadas por IA que se utilizan en aplicaciones de citas o plataformas sociales para crear identidades falsas creíbles, a menudo como parte de estafas románticas o planes de manipulación emocional a largo plazo.

Imágenes de prueba falsas usadas en estafas

Imágenes que muestran recibos falsos, compras de lujo, accidentes, emergencias médicas o capturas de pantalla manipuladas, creando situaciones que parecen reales pero no lo son, y que se utilizan para presionar a las víctimas para que envíen dinero rápidamente.

Imágenes alteradas utilizadas para chantaje o extorsión

Imágenes manipuladas diseñadas para poner falsamente a personas, o a personas cercanas a ellas, en situaciones comprometedoras o embarazosas, y que luego se utilizan para amenazar con revelarlas a menos que se realice un pago.

Suplantación de identidad de personas reales o figuras de autoridad

Imágenes generadas por IA que imitan a personas reales, como ejecutivos, figuras públicas o familiares, con el objetivo de obtener información confidencial, dinero o difundir información falsa como parte de ataques de ingeniería social.

Imágenes falsas de productos en estafas de comercio electrónico

Imágenes muy realistas generadas por IA de productos que no existen o no se corresponden con la realidad, utilizadas para atraer a los consumidores a sitios web de comercio electrónico fraudulentos o anuncios engañosos en redes sociales.

Imágenes manipuladas diseñadas para provocar miedo o urgencia

Imágenes que representan desastres, detenciones, lesiones o situaciones urgentes inventadas, creadas para provocar reacciones emocionales y empujar a las personas a actuar sin verificar.

Qué pueden hacer las personas para reducir el riesgo

Dado que el uso indebido de imágenes generadas o manipuladas por IA sigue aumentando, Norton recomienda tomar medidas prácticas para reducir la exposición en línea:

• Comparte menos contenido visual públicamente, especialmente fotos o vídeos personales, ya que este material puede ser reutilizado, manipulado o sacado de contexto por terceros sin tu consentimiento.
• Ten cuidado al compartir imágenes de alta resolución, que pueden ser reutilizadas o alteradas más fácilmente.
• Controla tu presencia digital buscando periódicamente imágenes o información personal para identificar posibles usos indebidos.
• Desconfía de los mensajes inesperados que incluyan imágenes acompañadas de solicitudes de pago, amenazas o presiones urgentes, incluso cuando el contenido parezca real.
• Verifica el origen del contenido antes de reaccionar preguntando quién creó o compartió la imagen, el contexto en el que apareció y si una fuente fiable confirma su autenticidad.
• Evita compartir o volver a compartir imágenes o vídeos de otras personas a menos que estés seguro de que proceden de una fuente fiable y representan contenido auténtico.
• Evita interactuar directamente con personas que ejerzan presión y busca orientación de una fuente fiable o de las autoridades competentes, de conformidad con la normativa local.
• Recurre a herramientas tecnológicas, incluida la inteligencia artificial, para ayudar a identificar posibles signos de manipulación, complementando siempre estas herramientas con la verificación de la fuente, el contexto y la intención detrás del contenido.
• Comparte estas recomendaciones con tus allegados, especialmente con los niños y los familiares mayores, que pueden ser más vulnerables a este tipo de engaños.

En un entorno digital en el que la línea entre lo real y lo manipulado puede volverse cada vez más difusa, es esencial desarrollar una mentalidad crítica y adoptar hábitos de seguridad digital. La prevención, la verificación y la educación siguen siendo las herramientas más eficaces para hacer frente a los riesgos emergentes asociados al uso indebido de la inteligencia artificial.

La entrada Norton advierte riesgos de uso indebido de IA para manipular imágenes en línea se publicó primero en ZonaCISO.

El fraude dejó de ser un incidente aislado para transformarse en un modelo de negocio estructurado y escalable. Impulsado por inteligencia artificial, identidades sintéticas y deepfakes, el engaño digital evoluciona más rápido que los sistemas tradicionales de control, obligando a empresas y usuarios a replantear su estrategia preventiva.

Durante años hablamos del fraude digital como algo puntual: un ataque aislado, un intento burdo, un problema “de otros”. Hoy esa mirada quedó obsoleta. El fraude dejó de ser un evento ocasional para convertirse en una industria global, organizada, escalable y potenciada por la inteligencia artificial.

No es una exageración. En 2024 vimos cómo una empresa perdió US$25 millones luego de que un colaborador siguiera instrucciones entregadas a través de un video falso generado con IA, que simulaba a un alto ejecutivo. No hubo hackeo de sistemas ni vulneraciones técnicas complejas. Hubo algo mucho más simple -y más peligroso-: confianza mal dirigida.

Desde mi rol como director de Desarrollo de Productos en Sovos, lo que observo a diario es un cambio profundo en la naturaleza del fraude asociado a la identidad digital. Pasamos de ataques “artesanales” a una economía del fraude plenamente estructurada. Hoy existen sitios que venden identidades falsas bajo modelos de suscripción: desde US$99 por 10 identidades hasta US$249 por 50. Es, literalmente, un negocio.

Las cifras lo confirman. Solo en la primera mitad de 2025 se registraron más de 118 mil casos de fraude de identidad a nivel global, muchos impulsados por identidades sintéticas diseñadas para evadir controles tradicionales. A esto se suma la irrupción de la IA generativa y los deepfakes, que han democratizado la sofisticación del fraude. Ya no se necesitan conocimientos técnicos avanzados para crear documentos falsos, perfiles creíbles o incluso videos convincentes. Hoy, cualquiera con acceso a estas herramientas puede intentar un ataque.

El punto de inflexión fue claro: en 2024, las falsificaciones digitales superaron por primera vez a las físicas, con un crecimiento explosivo año contra año. Y en Latinoamérica, este fenómeno adquiere matices particulares. Es frecuente ver a una misma persona operando con múltiples identidades falsas para abrir cuentas o solicitar créditos, aprovechando brechas regulatorias y diferencias en los estándares de verificación entre países.

El factor humano

Pero sería un error pensar que la tecnología es el único problema. El factor humano sigue siendo el principal punto de entrada. Ninguna solución es efectiva si las personas bajan la guardia. El llamado “optimismo digital” -esa sensación de que “a mí no me va a pasar”- sigue alimentando prácticas de riesgo: compartir demasiada información en redes sociales, reutilizar contraseñas o confiar en mensajes que parecen legítimos.

Los atacantes lo saben. Por eso perfeccionan la ingeniería social. No necesitan vulnerar sistemas complejos si pueden convencer a las personas de entregar sus datos voluntariamente, ya sea mediante correos que imitan al banco, mensajes de WhatsApp bien diseñados o llamadas que se hacen pasar por soporte técnico.

Frente a este escenario, elevar el estándar de seguridad ya no es opcional. Desde el lado del usuario, deberíamos exigir medidas mínimas como autenticación de dos factores obligatoria, notificaciones en tiempo real, control de canales y transparencia en el uso de los datos personales.

Desde las empresas, tecnologías como liveness detection con certificación ISO 30107-3, validaciones contra fuentes confiables, análisis de comportamiento y monitoreo continuo dejan de ser “nice to have” y pasan a ser esenciales.

Mirando hacia adelante, hay tendencias que ya empiezan a consolidarse. Una de ellas es la verificación del rastro digital (digital footprint) de una identidad. Las identidades reales dejan huellas: correos con historial, teléfonos con uso consistente, comportamientos coherentes en el tiempo. Las identidades falsas no. Y ahí hay una gran oportunidad.

También estamos entrando en una carrera inevitable: IA contra IA. La inteligencia artificial se usa tanto para cometer fraude como para detectarlo. Y en esa carrera, ganarán quienes tengan mejores modelos, más datos y una visión preventiva.

Porque ese es, en el fondo, el cambio más urgente: dejar atrás una mirada reactiva. El fraude es un problema de ecosistema. Bancos, fintechs, comercios y gobiernos deben colaborar, compartir patrones y señales de riesgo. Si una institución detecta un fraude, esa información debería ayudar a proteger a otras.

Aún veo a muchas organizaciones tratando la prevención del fraude como un costo y no como una inversión, reaccionando solo cuando el daño ya está hecho. Pero el impacto económico y reputacional de un incidente grave puede ser devastador.

El fraude ya se industrializó. La pregunta no es si nos va a tocar enfrentarlo, sino qué tan preparados estamos para anticiparnos.

La entrada La industrialización del fraude digital: cuando el engaño se convierte en negocio se publicó primero en ZonaCISO.

Según el informe M-Trends 2025 de Mandiant, el robo de credenciales (18%) superó al phishing (16%) como vector de ataque en América, quedando solo por detrás de la explotación de vulnerabilidades (28%). El estudio señala que el tiempo promedio de detección en la región es de 10 días, reduciéndose a tan solo 6 días en casos de ransomware, y destaca que el 62% de las víctimas de ransomware en la región solo se dan cuenta de la intrusión cuando son notificadas por el propio delincuente, lo que demuestra la urgencia de las defensas proactivas.

Los mensajes de phishing suelen solicitar información personal o financiera y exigir acciones urgentes, como hacer clic en enlaces o descargar software, con el objetivo de engañar a la víctima. Se aprovechan de la falsa confianza, ya que parecen provenir de organizaciones de confianza (como bancos, redes sociales o el lugar de trabajo) o de personas conocidas (como familiares, amigos o compañeros de trabajo).

A continuación, los pasos recomendados para identificar solicitudes engañosas y proteger las cuentas de Gmail:

1. Realizar una validación rigurosa del remitente

Antes de cualquier interacción, hay que verificar que la dirección de correo electrónico y el nombre para mostrar coincidan. Cuidado con los dominios que imitan marcas conocidas con sutiles alteraciones de caracteres. En caso de recibir un correo electrónico sospechoso solicitando información personal, se recomienda reportarlo como phishing y que los correos de esa persona se dirigirán a la carpeta de correo no deseado.

2. Escanear los enlaces

Usar la función de vista previa al pasar el cursor sobre los hipervínculos. Si la URL de destino no coincide con el contexto del mensaje o usa acortadores de URL sospechosos, evitar hacer clic. Google ha implementado protecciones para enlaces en todos los clientes oficiales de Gmail (Web, Android, iPhone y iPad) para evitar que los enlaces a sitios web dañinos perjudiquen a los usuarios.

3. Analizar cuidadosamente las solicitudes de datos confidenciales

Las instituciones financieras y los servicios gubernamentales nunca solicitan información confidencial por correo electrónico, como contraseñas, números de tarjetas de crédito o información personal identificable. Para una transmisión segura de esta información, se recomienda utilizar el Modo Confidencial, que permite que los mensajes enviados tengan fecha de caducidad e impide que el destinatario copie, reenvíe o imprima el contenido, y el Cifrado de Extremo a Extremo, un estándar de seguridad que garantiza que los datos permanezcan cifrados tanto durante el almacenamiento (en reposo) como durante la transmisión entre centros de datos (en tránsito).

4. Habilitar la autenticación multifactor (MFA)

Activar la Autenticación Multifactor (MFA), un mecanismo que actúa como una capa de protección final y robusta, diseñada específicamente para evitar el acceso no autorizado a la cuenta de un usuario, incluso en las situaciones más críticas donde las credenciales de inicio de sesión (nombre de usuario y contraseña) se han visto completamente comprometidas. Esto significa que, incluso si un ataque de phishing ha tenido éxito y el ciberdelincuente ha logrado obtener las credenciales válidas del usuario, se le denegará el acceso a la cuenta.

5. Prestar atención a las alertas

Gmail utiliza modelos de aprendizaje automático para mostrar alertas en mensajes sospechosos. Los usuarios deben considerar estas alertas y reportar el contenido de inmediato. Además, si un correo electrónico se identifica como phishing o parece sospechoso, puede marcarse con una advertencia o transferirse automáticamente a la carpeta de spam. Al transferir manualmente un correo electrónico a la carpeta de spam, se envía una copia del mensaje y todos los archivos adjuntos a Google para su análisis y para proteger a los usuarios del spam y el abuso.

Protección avanzada contra amenazas en línea

Bajo un modelo de Confianza Cero (Zero Trust) que verifica cada acceso continuamente, las tecnologías de defensa de Gmail logran bloquear más del 99,9% del spam, phishing y malware. Gracias a la implementación de nuevos modelos de IA, que ahora detectan un 20% más de spam y procesan un volumen masivo de reportes diarios, la plataforma identifica amenazas en tiempo real para proteger dispositivos contra enlaces y archivos maliciosos. Para maximizar esta seguridad, se recomienda a los usuarios adoptar alternativas como las Passkeys y mantener una postura activa en la denuncia de ataques.

La entrada Día de Internet Seguro: 5 consejos para combatir amenazas en Gmail se publicó primero en ZonaCISO.

En el marco del Día del Internet Seguro, la Subsecretaría de Telecomunicaciones dio a conocer los resultados de la última Encuesta sobre Acceso, Usos y Usuarios de Internet (2025), donde destaca que el 96,6% de las personas en Chile tiene acceso a Internet fijo o móvil desde el hogar. Sin embargo, entre los datos revelados por la institución, también sobresale que más del 50% de las personas se siente protegido ante amenazas que pueden llegar por Internet, como virus o estafas digitales.

Por otro lado, dentro de las principales actividades que realizan las personas en términos de privacidad y seguridad de la información, el 55% declara no descargar, abrir archivos o acceder a links sospechosos en correos electrónicos; mientras que el 41% de las personas encuestadas señala que realiza el cambio de contraseñas en cuentas y servicios en línea; y el 35% dice que utiliza algún tipo de herramienta de protección o software para proteger su computador.

“Cuando nos vamos al mundo digital, los peligros del mundo físico se trasladan al mundo digital y ahí, aparecen otros peligros no visualizamos. Por lo tanto, tenemos que aprender a resguardarnos y comprender que nuestros datos personales son el activo más importante que tenemos y el más buscado por quienes cometen este tipo de delitos. Entrar a links sin chequear que éste responda a un sitio web oficial o ingresar nuestros datos personales y/o bancarios a una plataforma ilegal o de la que desconocemos su domicilio, es muy riesgoso para nuestra seguridad, por lo que tenemos que tomar todas las precauciones necesarias”, señala el subsecretario de Telecomunicaciones, Claudio Araya.

Dentro de algunos consejos de seguridad digital que comparten desde Subtel, destacan:

• Verificar que los links enviados por mensaje de texto o vía email correspondan a la institución o comercio señalado.
• Si recibes links por correo o mensajes de texto, en lugar de darle click escribe en el navegador la dirección del sitio web oficial.
• Cuida tu información personal, no hay que entregar claves, códigos o información que pueda poner en peligro los datos en sitios que no son oficiales. De la misma manera, no dejes tus datos personales guardados en la web.
• En caso de robo de información personal, lo primero es revisar las cuentas bancarias y diferentes servicios que contengan datos personales. Además de dar aviso de inmediato a la entidad bancaria correspondiente y cambiar las contraseñas.
• Si fuiste víctima de una estafa digital, es fundamental hacer la denuncia en Carabineros o la Policía de Investigaciones (PDI), esto no solo permitirá ayudarte en el proceso de investigación, sino también permitirá alertar sobre este tipo de delitos.

La entrada Más del 50% de las personas se siente protegido ante amenazas de estafas digitales se publicó primero en ZonaCISO.