Por qué tu cuenta de correo electrónico es un objetivo clave para los ciberdelincuentes

ESET advierte que la bandeja de entrada es un sistema de identidad en sí mismo; quien accede a ella puede controlar el resto de tu vida digital.
El correo electrónico ha dejado de ser un simple canal de comunicación o una cuenta digital secundaria. Hoy en día, representa la llave maestra de nuestra identidad en línea. Es el destino universal para los enlaces de restablecimiento de contraseñas, las alertas bancarias, las confirmaciones de viajes, las facturas y los procesos de verificación de identidad.
Por esta razón, ESET, compañía líder en detección proactiva de amenazas, advierte que la bandeja de entrada se ha convertido en el objetivo más codiciado por los ciberdelincuentes. Si se desea proteger la privacidad y los activos de un negocio, la estrategia de ciberseguridad debe comenzar blindando el correo electrónico.
La bandeja de entrada como mina de oro digital
Un atacante que logra ingresar a un correo electrónico no solo lee mensajes; obtiene un registro histórico y detallado de la vida de la víctima.
“Una bandeja de correo puede contener años de información sensible, desde planes de viaje y recibos de compras hasta turnos médicos, contratos, documentos fiscales e identificaciones escaneadas. También puede mostrar adónde vas, qué posees, qué servicios usas, en quién confías y cómo se puede acceder a otras cuentas. Una bandeja de entrada puede darle a un cibercriminal una ventaja sobre el resto de la vida digital de una persona."
— Mario Micucci, Investigador de Seguridad Informática de ESET Latinoamérica.
Con este acceso, los criminales pueden restablecer las credenciales en múltiples plataformas externas e incluso interceptar los códigos de un solo uso (OTP) enviados por bancos, redes sociales y proveedores de almacenamiento en la nube.
El impacto en el entorno corporativo
En el ámbito laboral, las repercusiones son todavía más graves. El acceso ilícito a un correo corporativo permite a los atacantes:
-
Desplegar aplicaciones en la nube y extraer información de unidades compartidas.
-
Comprometer sistemas críticos de CRM, finanzas y Recursos Humanos.
-
Espiar comunicaciones confidenciales con colegas y clientes.
-
Iniciar brechas de datos a gran escala, ataques de extorsión (ransomware) o espionaje industrial.
De acuerdo con estadísticas del gobierno del Reino Unido, el phishing (38%) se posicionó como el ciberataque más común del último año, seguido por la suplantación de identidad de organizaciones en correos electrónicos (12%).
La intersección entre la tecnología y el error humano
El correo electrónico es altamente eficaz para los vectores de ataque porque está ligado a la rutina diaria y a la confianza humana. Los usuarios interactúan constantemente bajo presión de tiempo con mensajes que exigen una acción inmediata: pagar una factura, descargar un archivo de RR. HH., aceptar una reunión o verificar una alerta de seguridad.
A través de la ingeniería social y la suplantación de identidad (spoofing), los criminales aumentan sus probabilidades de éxito. Según datos de Verizon, el factor humano estuvo presente en el 62% de las brechas el año pasado, consolidando a la ingeniería social como el tercer patrón de ataque más común (16% del total).
Adicionalmente, el entorno móvil ha agravado el problema: la tasa de clics exitosos en simulaciones de phishing en dispositivos móviles es un 40% mayor que en computadoras de escritorio. A esto se suma el uso de Inteligencia Artificial Generativa (GenAI) por parte de los actores maliciosos, empleada para redactar mensajes fraudulentos masivos con ortografía y gramática impecables, eliminando las sospechas tradicionales de los usuarios.
Guía de ESET para mantener tu bandeja de entrada segura
Para mitigar estos riesgos y repeler las tácticas de los ciberdelincuentes, los expertos de ESET recomiendan implementar las siguientes medidas de protección:
1. Robustecer los accesos
-
Contraseñas fuertes y únicas: Utilizar frases de paso complejas para cada cuenta y administrarlas mediante un gestor de contraseñas confiable.
-
Passkeys: Adoptar métodos alternativos sin contraseña (claves de acceso) cuando la plataforma lo permita.
-
Autenticación Multifactor (MFA): Activar obligatoriamente el segundo factor de verificación. Jamás apruebe códigos de dispositivos o alertas de MFA en el móvil que no hayan sido solicitados por usted.
2. Auditorías periódicas de la cuenta
-
Revisión de configuraciones: Inspeccionar de forma regular que no existan reglas de reenvío desconocidas, filtros extraños, aplicaciones conectadas sospechosas o inicios de sesión en dispositivos no identificados.
-
Actualización de recuperación: Mantener al día los correos de respaldo y números telefónicos vinculados, evitando que cuentas antiguas o en desuso queden expuestas como vectores de recuperación para un tercero.
3. Buenas prácticas operativas y corporativas
-
Cultura de sospecha ante el phishing: Tratar cualquier correo no solicitado con cautela. Pasar el cursor sobre el remitente para verificar la estructura exacta del dominio. No hacer clic en enlaces ni abrir archivos adjuntos sin validación previa.
-
Validación de transferencias de fondos: En entornos empresariales, cualquier solicitud económica urgente —incluso si simula provenir del CEO o del departamento de TI— debe ser verificada minuciosamente a través de un canal de comunicación independiente (como una llamada telefónica o presencial).
-
Capacitación y herramientas avanzadas: Tomar con seriedad los programas de concientización en seguridad digital de las empresas y respaldar los equipos con soluciones de seguridad integrales de proveedores de confianza para bloquear proactivamente el malware.