El Correo Vuelve a Ser Un Riesgo Crítico

Si trabajas en ciberseguridad, seguramente ya notaste algo: lo que antes parecía “normal” en el correo electrónico ya no lo es. Los atacantes están usando IA, automatización y nuevas técnicas de evasión a gran escala, y eso está empujando a los CISO y a sus equipos a replantear por completo sus estrategias.

El Informe de Ciberseguridad 2026 de Hornetsecurity analiza más de 70 mil millones de correos y confirma lo que desde TecnetOne también vemos cada día: el email sigue siendo el principal punto débil. Pero ahora, además, se ha convertido en un canal más sofisticado y peligroso.

A continuación te contamos, con detalle, cómo están evolucionando las amenazas y qué necesitas reforzar para evitar que este vector afecte la continuidad de tu negocio.

El correo electrónico vuelve a ser el eslabón más débil

Aunque han surgido canales de ataque más complejos, el correo electrónico sigue siendo el favorito de los delincuentes. Y no es casualidad: sigue siendo el medio más fácil para engañar usuarios, evadir defensas y activar cadenas de ataque completas.

El informe revela que:

1. El malware por email aumentó más del 130%.
   
   
2. Las estafas crecieron más del 30%.
   
   
3. El phishing subió más del 20%.

Esto no solo impacta en incidentes aislados, sino que está provocando compromisos de cuentas, interrupciones operativas y brechas con alto impacto reputacional.

Archivos “inofensivos” regresan como armas

Uno de los hallazgos más preocupantes es el regreso de tipos de archivo que muchos SOC ya no consideraban peligrosos:

1. Los TXT maliciosos crecieron 180%.
   
   
2. Los DOC tradicionales aumentaron 118%.
   
   
3. Mientras tanto, ZIP sigue siendo muy usado.
   
   
4. Y formatos como HTML y RAR disminuyen, porque ya están muy vigilados.

Los atacantes saben que los defensores han bajado la guardia con estos formatos básicos, así que los están usando para esconder payloads, enlaces maliciosos o scripts.

Técnicas de evasión más avanzadas

Los delincuentes ahora manipulan:

1. Encabezados falsos
   
   
2. Dominios ocultos
   
   
3. URLs acortadas
   
   
4. HTML camuflado

Su objetivo no es engañar al usuario, sino engañar a tus filtros. Lo que buscan es activar intrusiones multietapa pasando desapercibidos el mayor tiempo posible.

El ransomware vuelve a crecer (y más rápido que antes)

Después de un breve descenso, el ransomware regresó con fuerza:

1. El 24% de las organizaciones reportó un ataque, frente al 18% del año anterior.
   
   
2. Solo el 13% pagó rescate, pero el volumen total de ataques aumentó significativamente.

Y el correo ya no es la única vía. Los atacantes combinan:

1. Phishing con IA
   
   
2. Robo de credenciales
   
   
3. Vulneración de endpoints
   
   
4. Acceso a proveedores y cadenas de suministro

Más de una cuarta parte de las infecciones entra por endpoints, y cada vez más organizaciones reportan robo de credenciales como vector inicial.

Buenas noticias: más empresas adoptan copias inmutables

1. El 62% ya usa backups inmutables.
   
   
2. Más del 80% tiene plan de recuperación ante desastres.

Pero esto no significa que el riesgo disminuya. Los grupos criminales están usando IA para acelerar su reconocimiento, automatizar escaladas de privilegios y desarrollar campañas más coordinadas.

La IA es un arma de doble filo

En la práctica, la IA está ayudando a ambos lados. Pero en el lado ofensivo, el avance es más rápido.

Los CISO coinciden en que la IA ha incrementado el riesgo de ransomware y estafas. Por eso, más de dos tercios ya invierten en detección y análisis impulsados por inteligencia artificial.

Pero hay un problema: La gobernanza no está avanzando al mismo ritmo.

Los usuarios utilizan herramientas de IA públicas sin saber los riesgos. La alta dirección no siempre entiende el impacto. Y la formación sigue siendo inconsistente.

Las amenazas impulsadas por IA ya están aquí

Entre las nuevas tendencias destacan:

1. Deepfakes para suplantación de identidad
   
   
2. Envenenamiento de modelos
   
   
3. Identidades sintéticas
   
   
4. Uso de IA para automatizar robo de credenciales

Esto amplía la superficie de ataque y hace más difícil proteger datos sensibles.

Conoce más: Qué Hacer Si Recibes Un Correo Sospechoso: Guía para Trabajadores

La identidad: el talón de Aquiles del 2026

Los kits de intermediario (AiTM) ya pueden evadir muchos tipos de MFA robando tokens de sesión en tiempo real. Además:

1. Pueden gestionar MFA en vivo
   
   
2. Pueden reenviar credenciales al portal legítimo
   
   
3. Pueden capturar tokens antes de que el usuario lo note

MFA resistente al phishing: sí funciona, pero pocos lo adoptan

1. Llaves de hardware
   
   
2. Autenticación basada en certificados
   
   
3. Windows Hello para empresas
   
   
4. Passkeys

Son métodos muy sólidos, pero su adopción sigue siendo baja y la experiencia entre plataformas sigue fragmentada.

La recuperación de cuentas sigue siendo un desastre

Varios ataques recientes se dieron porque:

1. El personal de soporte fue engañado
   
   
2. Se restablecieron cuentas privilegiadas sin verificación estricta
   
   
3. Los procesos administrativos carecen de controles robustos

La identidad sigue siendo uno de los puntos más débiles en cualquier organización.

SaaS y navegadores: nuevas superficies críticas de ataque

Las plataformas SaaS se han convertido en un objetivo directo para obtener:

1. Acceso a datos críticos
   
   
2. Flujo de trabajo interno
   
   
3. Integraciones con terceros

El robo de tokens de OAuth es uno de los problemas más graves. Revocar accesos suele ser la única forma de frenar el abuso.

Igualmente, las extensiones de navegador maliciosas son otra vía para evadir controles o robar información confidencial.

Conclusión: el correo vuelve a ser el vector más explotado (y más descuidado)

A pesar de toda la tecnología de seguridad disponible, el correo sigue siendo el canal donde más bajamos la guardia. Y eso lo convierte en el punto ciego perfecto para los atacantes.

Los hallazgos del informe dejan claro que:

1. El volumen de amenazas crecerá aún más en 2026.
   
   
2. La IA potencia tanto ataques como defensas, pero el lado ofensivo avanza más rápido.
   
   
3. La identidad y el correo electrónico seguirán siendo los vectores más explotados.
   
   
4. SaaS, navegadores y proveedores externos amplían el riesgo.

En TecnetOne lo repetimos siempre: si no fortaleces lo básico: correo, identidad, MFA resistente al phishing, gestión de SaaS y procesos internos; cualquier inversión avanzada se queda corta.

El correo electrónico no está “pasado de moda”.

Está más vivo, más peligroso y más evasivo que nunca.