Bandeja de entrada de Gmail — objetivo de ciberdelincuentes

El correo electrónico no es solo un medio de comunicación, ni otra cuenta online más: es la llave a múltiples contenidos, el lugar a donde llegan los enlaces de restablecimiento de contraseñas, se almacenan alertas de cuentas, se confirman reservas, se archivan facturas y comienzan las verificaciones de identidad.

Por eso, ESET advierte que es un objetivo codiciado para los ciberdelincuentes, y si se quiere proteger una cuenta y los datos personales o de negocio, la seguridad debe empezar por la bandeja de entrada.

Una bandeja de correo puede contener años de información sensible, desde planes de viaje y recibos de compras hasta turnos médicos, contratos, documentos fiscales e identificaciones escaneadas. También puede mostrar adónde vas, qué posees, qué servicios usas, en quién confías y cómo se puede acceder a otras cuentas. Con acceso a una cuenta de correo electrónico pueden restablecer contraseñas en múltiples otras cuentas, e incluso interceptar códigos de un solo uso enviados por el banco, redes sociales, almacenamiento en la nube u otros proveedores online, alerta Mario Micucci, Investigador de Seguridad Informática de ESET Latinoamérica.

La telemetría de ESET mostró un aumento del 36% en los correos maliciosos en la segunda mitad de 2025 en comparación con los seis meses anteriores.

El correo corporativo, primer eslabón de una brecha

Las repercusiones en un entorno laboral pueden ser aún más delicadas: con acceso a un correo corporativo, los atacantes podrían abrir aplicaciones en la nube, acceder a unidades compartidas, revisar sistemas de CRM, finanzas y RR. HH., espiar las comunicaciones con colegas y clientes, y acceder a datos de clientes.

Un ataque de phishing a una cuenta de correo corporativa suele ser la primera etapa de una brecha de datos más amplia, un ataque de extorsión/ransomware o espionaje. Según estadísticas recientes del gobierno del Reino Unido, el phishing (38%) fue la forma de ciberataque más común el último año, seguido por la suplantación de organizaciones en correos electrónicos (12%). Una táctica relacionada que ha cobrado fuerza en canales de mensajería es el WhatsApp spoofing, donde los atacantes toman el control de cuentas mediante engaños similares a los del phishing por correo.

El correo electrónico sigue siendo atractivo para los atacantes porque está en la intersección entre tecnología, identidad y confianza humana. Todos usamos el correo a diario y bajo presión de tiempo: para recibir facturas, actualizaciones de envíos, avisos de RR. HH., solicitudes de clientes, restablecimientos de contraseñas, invitaciones a reuniones y alertas de seguridad. Incluso usuarios cuidadosos pueden cometer errores cuando un mensaje parece provenir de un remitente conocido, llega en un momento de apuro o transmite urgencia, detalla Micucci.

El factor humano estuvo presente en el 62% de las brechas el año pasado, con la ingeniería social como el tercer patrón más común, representando el 16% del total, según Verizon. La tasa media de clics exitosos en simulaciones de phishing en dispositivos móviles es un 40% mayor que en dispositivos de escritorio. Además, la IA generativa ayuda a los actores maliciosos a redactar y escalar mensajes con gramática y ortografía impecables.

Cómo proteger tu cuenta de correo

Los investigadores de ESET recomiendan las siguientes medidas para mantener segura la bandeja de entrada. Si además quieres extender esa protección al resto de tu vida digital, en DeboSaber reunimos una guía de emergencia de ciberseguridad con pasos concretos para prepararte ante cualquier incidente.

Contraseña fuerte y única

Usar una contraseña o frase de paso para cada cuenta y guardarla en un gestor de contraseñas confiable. Alternativamente, usar un método sin contraseña como una passkey. En cualquier caso, activar la autenticación multifactor.

Mantener actualizadas las opciones de recuperación

Asegurarse de que un atacante no pueda usar un número de teléfono antiguo o un correo de respaldo olvidado para recuperar el acceso.

Revisar las configuraciones periódicamente

Buscar reglas de reenvío desconocidas, filtros extraños, apps conectadas que no se reconozcan o dispositivos no identificados. Si la bandeja de entrada fue comprometida, cambiar la contraseña, revocar sesiones sospechosas y verificar si los mensajes se están reenviando sin saber.

Cuidado con el phishing

Tratar cualquier mensaje no solicitado con precaución. Verificar la ortografía del dominio del remitente. No hacer clic en enlaces ni abrir adjuntos sin confirmar por otro canal.

No aprobar códigos MFA no solicitados

Una alerta de autenticación que no se ha iniciado puede ser un atacante probando suerte.

En entornos corporativos

Tratar con precaución cualquier solicitud urgente de transferencia bancaria, aunque parezca proceder de un CEO o del área de IT. Verificar a través de un canal independiente.

Tomar en serio las capacitaciones de seguridad

Prestar atención a las últimas tácticas y técnicas de phishing y no bajar la guardia ante mensajes que transmitan urgencia.

Más información: WeLiveSecurity — Por qué los ciberdelincuentes quieren acceder a tu cuenta de correo electrónico

Autor Carlos Uhart M.

Director de Contenidos en Zythos Media™. Ingeniero en Telecomunicaciones y máster en Marketing Digital. Creador de contenidos con foco en tecnología, finanzas y seguridad. Autor verificado en Amazon KDP Publishing.

Escribe un Comentario