Security

Panorama de amenazas por email Q1 2026: claves

3 min de lectura

Resumen

Microsoft informa que detectó 8,3 mil millones de correos de phishing en el Q1 2026, con más del doble de phishing mediante códigos QR y campañas con CAPTCHA en rápida evolución. Los hallazgos importan a los equipos de seguridad porque los atacantes están cambiando hacia el robo de credenciales basado en enlaces, mientras que las acciones contra Tycoon2FA demuestran que la respuesta coordinada puede reducir el impacto del phishing.

¿Necesita ayuda con Security?Hablar con un experto

Introducción

El análisis de Microsoft sobre amenazas por email en el Q1 2026 destaca la rapidez con la que están cambiando las tácticas de phishing. Para administradores de IT y seguridad, el informe ofrece una visión útil de dónde están concentrando sus esfuerzos los atacantes y qué defensas deberían priorizarse en entornos de Microsoft 365 y Defender.

Novedades en el Q1 2026

Microsoft Threat Intelligence detectó aproximadamente 8,3 mil millones de amenazas de phishing por email entre enero y marzo de 2026. Aunque el volumen mensual general descendió ligeramente, varias técnicas de ataque se volvieron más sofisticadas y más efectivas.

Tendencias principales

  • El phishing con códigos QR aumentó de 7,6 millones de ataques en enero a 18,7 millones en marzo, un 146% de incremento.
  • El phishing basado en enlaces dominó, representando el 78% de las amenazas por email durante el trimestre.
  • Las cargas maliciosas representaron el 19% de los ataques en enero antes de bajar al 13% en febrero y marzo, lo que sugiere que los atacantes favorecieron cada vez más las páginas de phishing alojadas frente a la entrega basada en archivos.
  • El business email compromise (BEC) siguió siendo un problema importante, con 10,7 millones de ataques observados en el Q1.
  • El phishing con CAPTCHA siguió evolucionando, ya que los atacantes utilizaron pasos de verificación falsos para ralentizar el análisis automatizado y aumentar la confianza del usuario.

Impacto de la interrupción de Tycoon2FA

Microsoft también destacó el efecto de la interrupción en marzo de 2026 de la plataforma Tycoon2FA phishing-as-a-service. Tras una acción coordinada con Europol y otros socios, el volumen de emails vinculado a Tycoon2FA cayó un 15% durante el resto de marzo, y el acceso a páginas de phishing activas se redujo de forma significativa.

Aunque la plataforma se adaptó cambiando de proveedores de hosting y patrones de registro de dominios, Microsoft afirma que la recuperación parece parcial en lugar de un retorno completo a sus capacidades anteriores.

Por qué importa para los administradores

Estas tendencias refuerzan que el phishing sigue centrado en el robo de credenciales, incluso cuando cambian los métodos de entrega. El phishing con códigos QR es especialmente preocupante porque puede llevar a los usuarios a dispositivos móviles no administrados, eludiendo algunas protecciones tradicionales centradas en equipos de escritorio.

Para los administradores de Microsoft 365 y Defender, el informe también recuerda que las operaciones de interrupción son importantes, pero no eliminan la amenaza. Los atacantes son resilientes y a menudo cambian su infraestructura rápidamente tras los desmantelamientos.

Próximos pasos recomendados

  • Revisar las protecciones frente al phishing con códigos QR en emails, archivos adjuntos e imágenes incrustadas.
  • Reforzar las defensas contra el phishing AiTM con MFA resistente al phishing siempre que sea posible.
  • Supervisar patrones de BEC, especialmente la suplantación de bajo esfuerzo y los mensajes genéricos de contacto.
  • Utilizar las detecciones y herramientas de hunting de Microsoft Defender para investigar phishing basado en enlaces y actividad sospechosa de cargas maliciosas.
  • Formar a los usuarios para que actúen con cautela ante códigos QR, pantallas CAPTCHA y solicitudes de autenticación inesperadas.

Conclusión

Los datos de Microsoft del Q1 2026 muestran que los atacantes siguen girando hacia un phishing de credenciales escalable y basado en enlaces, mientras experimentan con códigos QR, evasión mediante CAPTCHA y métodos más recientes como el phishing con código de dispositivo. Los equipos de seguridad deberían tomar estos hallazgos como una señal para reforzar la detección, fortalecer las protecciones de identidad y actualizar los programas de concienciación de usuarios.

¿Necesita ayuda con Security?

Nuestros expertos pueden ayudarle a implementar y optimizar sus soluciones Microsoft.

Hablar con un experto

Manténgase actualizado sobre tecnologías Microsoft

Leer el artículo original de Microsoft Threat Intelligence and Microsoft Defender Security Research Team
SecurityphishingMicrosoft DefenderQR code phishingBEC

Artículos relacionados

Security

Actualizaciones de Microsoft Security para Agent 365

Microsoft ha anunciado nuevas capacidades de seguridad en Agent 365, Defender for Cloud, GitHub Advanced Security y Microsoft Purview. Las actualizaciones se centran en mejorar la visibilidad de la actividad de los agentes de AI, reforzar la protección desde el código hasta el runtime y acelerar las investigaciones de seguridad de datos para los equipos de seguridad y TI.

Security

Revisiones de riesgo CISO: 8 prácticas de Microsoft

Microsoft ha publicado un marco práctico para que los CISO y los líderes de seguridad realicen revisiones de riesgo más eficaces en un contexto de ciberamenazas impulsadas por AI cada vez mayores. La guía se centra en ocho áreas de revisión, desde activos y aplicaciones hasta autenticación, autorización y aislamiento de red, para ayudar a las organizaciones a pasar de una respuesta reactiva a una reducción proactiva del riesgo.

Security

{{Microsoft Sentinel UEBA amplía detección en AWS}}

{{Microsoft Sentinel UEBA ahora agrega análisis de comportamiento más completos para datos de AWS CloudTrail, lo que ofrece a los equipos de seguridad contexto integrado como primera geografía observada, ISP poco común, acciones inusuales y volumen anómalo de operaciones. La actualización ayuda a los defensores a detectar actividad sospechosa en AWS más rápido y reduce la necesidad de líneas base KQL complejas y enriquecimiento manual.}}

Security

Defensa con IA de Microsoft ante amenazas emergentes

Microsoft afirma que la IA está acelerando la forma en que se detectan y explotan las vulnerabilidades, reduciendo el tiempo de respuesta de los defensores. En respuesta, la compañía está ampliando el descubrimiento de vulnerabilidades impulsado por IA, la gestión de exposición y las protecciones basadas en Defender, además de adelantar una nueva solución de escaneo multimodelo para clientes en junio de 2026.

Security

Detección de IT workers infiltrados con Defender

Microsoft ha detallado estrategias de detección para identificar actores de amenazas alineados con Corea del Norte que se hacen pasar por contrataciones remotas de IT para infiltrarse en las organizaciones. La guía se centra en correlacionar señales de HR SaaS, identidad, correo electrónico, conferencias y Microsoft 365 para que los equipos de seguridad y RR. HH. detecten candidatos sospechosos antes y después de la incorporación.

Security

Prevenir cyberattacks oportunistas: guía de Microsoft

Microsoft insta a las organizaciones a dificultar los cyberattacks oportunistas eliminando credenciales, reduciendo las superficies de ataque públicas y estandarizando patrones seguros de plataforma. La guía es especialmente relevante para equipos que ejecutan cargas de trabajo de Azure, Dynamics 365 y Power Platform a escala, donde las arquitecturas inconsistentes y los secretos expuestos pueden facilitar el movimiento lateral de los atacantes.