- Registrado
- 11 Jun 2026
- Mensajes
- 5
- Tema Autor
- #1
Me hackearon la cuenta de un exchange hace cuatro meses. Tenía 2FA activado, contraseña segura, todo lo que se supone que hay que hacer. Aún así. El problema no fue mi contraseña. Fue que caí en un link de phishing tan bien hecho que durante tres segundos genuinamente creí que era el sitio real.
Desde ese momento empecé a obsesionarme un poco con entender cómo funcionan estos ataques. No soy experto en seguridad, pero aprendí bastante leyendo e investigando. Lo que cuento acá viene de eso.
Smishing. La mayoría de los ataques en LATAM ahora llegan por SMS. Te avisan que hay un movimiento sospechoso en tu cuenta bancaria, que tu paquete no pudo ser entregado, que hay un cobro pendiente en un servicio que efectivamente usás. El mensaje incluye un link. El link lleva a una página que es visualmente idéntica al sitio real. Ingresás tus datos y ya está.
Según datos de ESET Latinoamérica, el smishing aumentó un 43% en la región durante 2025, con picos en Argentina, México y Colombia. El problema es que en el celular se ve menos de la URL y mucha gente no revisa el dominio completo.
Phishing vía WhatsApp. Esto ya lo habrán visto. Alguien con el número de un familiar o amigo (cuya cuenta fue hackeada) te manda un mensaje pidiéndote un favor, o te manda un link a "ver esto." El número es real, la foto de perfil es la correcta. La cuenta fue tomada. Entonces bajás la guardia.
Spear phishing dirigido. Esta es la versión más preocupante. Ya no es un ataque masivo a millones de personas. Es un ataque dirigido específicamente a vos, usando información que viene de tus redes sociales o de filtraciones previas. Te llega un correo que menciona tu nombre, tu empleador, un proyecto en el que estás trabajando. Parece de un colega. El adjunto tiene un macro o un link embebido.
Have I Been Pwned es una herramienta básica para saber si tu correo o contraseña aparecieron en alguna filtración conocida. Si nunca lo chequeaste, probablemente te sorprendás.
Cuando te llega un mensaje de "soporte técnico" por cualquier canal, la interfaz puede imitar perfectamente a la empresa real. El dominio puede ser casi idéntico. Pero la pregunta que no podés responder con certeza es: ¿hay un humano real detrás? ¿Y ese humano es quien dice ser?
Eso es lo que más me interesó cuando empecé a investigar soluciones más estructurales al problema. Hace poco me topé con World ID, que básicamente es un sistema de credenciales digitales para demostrar que una cuenta pertenece a un humano real y único. No revela tu nombre ni tus datos personales. Solo certifica que sos una persona que existe físicamente y que no estás operando varias cuentas en paralelo.
La tecnología usa un dispositivo llamado el Orb que toma imágenes de tu cara y ojos para registrar que sos un humano único, sin guardar fotos ni datos identificatorios. En LATAM ya hay puntos de verificación disponibles en varias ciudades de México, Argentina, Brasil y Colombia.
La idea que me parece relevante acá es que si una plataforma exige que sus usuarios tengan una credencial como esa para interactuar, hace mucho más difícil que alguien cree cientos de cuentas falsas para lanzar campañas de phishing. No lo elimina, pero lo encarece muchísimo. El costo de crear una cuenta falsa verificada como humano real sería demasiado alto para operar a escala industrial.
No sé si World ID es la solución definitiva ni si las plataformas van a adoptarlo masivamente. Pero el concepto de tener una capa de prueba de humanidad antes de poder interactuar con alguien me parece que va en la dirección correcta.
2FA con app, no con SMS. El SMS es interceptable. Authy o Google Authenticator son opciones que no dependen de tu número de teléfono.
Nunca hago clic en links de mensajes no solicitados. Si me avisan de un movimiento en mi cuenta bancaria, cierro el mensaje, abro el navegador, busco el banco directamente y verifico ahí. El link puede parecer legítimo y no serlo.
Reviso el dominio completo antes de ingresar credenciales. No el favicon, no el certificado verde. El dominio completo. Un solo carácter diferente al que conocés es suficiente para que sea un sitio de phishing.
Tengo una dirección de correo separada para servicios financieros. No la uso para newsletters, no la registro en ningún lado que no sea crítico. Así si hay filtraciones en servicios menos importantes, el correo que está asociado a mi banco no queda expuesto.
Buró de Crédito en México ofrece alertas de consultas de crédito. En Argentina, Veraz hace lo mismo. No previene el phishing pero te avisa si alguien usó tu información para intentar sacar crédito.
La Unidad de Investigación Cibernética de Interpol documentó un aumento sostenido de ataques dirigidos a usuarios de plataformas financieras en la región. El objetivo no siempre es robar dinero directamente. A veces es tomar control de la cuenta para usarla como puente en otras operaciones fraudulentas.
Ninguna solución técnica es perfecta. Pero la combinación de buenos hábitos más herramientas que dificulten operar cuentas falsas a escala me parece que es donde hay que apostar. Si alguien tiene otras herramientas o experiencias con esto, el hilo está abierto.
Desde ese momento empecé a obsesionarme un poco con entender cómo funcionan estos ataques. No soy experto en seguridad, pero aprendí bastante leyendo e investigando. Lo que cuento acá viene de eso.
Cómo operan los ataques de phishing en 2026
El phishing no es lo mismo que hace cinco años. Los mensajes ya no tienen faltas de ortografía, logos pixelados ni promesas de herencias nigerianas. Ahora son campañas muy trabajadas, con dominios casi idénticos al original (una letra cambiada, un guion agregado), certificados SSL válidos, y correos que pasan los filtros de spam porque vienen de servidores legítimos comprometidos.Smishing. La mayoría de los ataques en LATAM ahora llegan por SMS. Te avisan que hay un movimiento sospechoso en tu cuenta bancaria, que tu paquete no pudo ser entregado, que hay un cobro pendiente en un servicio que efectivamente usás. El mensaje incluye un link. El link lleva a una página que es visualmente idéntica al sitio real. Ingresás tus datos y ya está.
Según datos de ESET Latinoamérica, el smishing aumentó un 43% en la región durante 2025, con picos en Argentina, México y Colombia. El problema es que en el celular se ve menos de la URL y mucha gente no revisa el dominio completo.
Phishing vía WhatsApp. Esto ya lo habrán visto. Alguien con el número de un familiar o amigo (cuya cuenta fue hackeada) te manda un mensaje pidiéndote un favor, o te manda un link a "ver esto." El número es real, la foto de perfil es la correcta. La cuenta fue tomada. Entonces bajás la guardia.
Spear phishing dirigido. Esta es la versión más preocupante. Ya no es un ataque masivo a millones de personas. Es un ataque dirigido específicamente a vos, usando información que viene de tus redes sociales o de filtraciones previas. Te llega un correo que menciona tu nombre, tu empleador, un proyecto en el que estás trabajando. Parece de un colega. El adjunto tiene un macro o un link embebido.
Have I Been Pwned es una herramienta básica para saber si tu correo o contraseña aparecieron en alguna filtración conocida. Si nunca lo chequeaste, probablemente te sorprendás.
El problema que pocas veces se menciona
Todos hablan de contraseñas, 2FA, antivirus. Pero hay un tema de fondo que rara vez se discute abiertamente: no sabés quién es la persona del otro lado de la pantalla.Cuando te llega un mensaje de "soporte técnico" por cualquier canal, la interfaz puede imitar perfectamente a la empresa real. El dominio puede ser casi idéntico. Pero la pregunta que no podés responder con certeza es: ¿hay un humano real detrás? ¿Y ese humano es quien dice ser?
Eso es lo que más me interesó cuando empecé a investigar soluciones más estructurales al problema. Hace poco me topé con World ID, que básicamente es un sistema de credenciales digitales para demostrar que una cuenta pertenece a un humano real y único. No revela tu nombre ni tus datos personales. Solo certifica que sos una persona que existe físicamente y que no estás operando varias cuentas en paralelo.
La tecnología usa un dispositivo llamado el Orb que toma imágenes de tu cara y ojos para registrar que sos un humano único, sin guardar fotos ni datos identificatorios. En LATAM ya hay puntos de verificación disponibles en varias ciudades de México, Argentina, Brasil y Colombia.
La idea que me parece relevante acá es que si una plataforma exige que sus usuarios tengan una credencial como esa para interactuar, hace mucho más difícil que alguien cree cientos de cuentas falsas para lanzar campañas de phishing. No lo elimina, pero lo encarece muchísimo. El costo de crear una cuenta falsa verificada como humano real sería demasiado alto para operar a escala industrial.
No sé si World ID es la solución definitiva ni si las plataformas van a adoptarlo masivamente. Pero el concepto de tener una capa de prueba de humanidad antes de poder interactuar con alguien me parece que va en la dirección correcta.
Lo que hago yo para reducir el riesgo
Uso un gestor de contraseñas. Bitwarden es gratuito y open source. El beneficio más importante no es la contraseña en sí, es que el gestor no va a autocompletar si el dominio no es el correcto. Es un chequeo automático de URL que pasa desapercibido pero salva muchos errores.2FA con app, no con SMS. El SMS es interceptable. Authy o Google Authenticator son opciones que no dependen de tu número de teléfono.
Nunca hago clic en links de mensajes no solicitados. Si me avisan de un movimiento en mi cuenta bancaria, cierro el mensaje, abro el navegador, busco el banco directamente y verifico ahí. El link puede parecer legítimo y no serlo.
Reviso el dominio completo antes de ingresar credenciales. No el favicon, no el certificado verde. El dominio completo. Un solo carácter diferente al que conocés es suficiente para que sea un sitio de phishing.
Tengo una dirección de correo separada para servicios financieros. No la uso para newsletters, no la registro en ningún lado que no sea crítico. Así si hay filtraciones en servicios menos importantes, el correo que está asociado a mi banco no queda expuesto.
El robo de cuentas en LATAM tiene características específicas
En Argentina, México, Brasil y Colombia el phishing se superpone con otro fenómeno: la ingeniería social por teléfono. Te llaman haciéndose pasar por el banco, por un organismo del estado, por el servicio de streaming. Tienen datos tuyos que consiguieron de filtraciones previas y los usan para ganarse tu confianza antes de pedirte algo.Buró de Crédito en México ofrece alertas de consultas de crédito. En Argentina, Veraz hace lo mismo. No previene el phishing pero te avisa si alguien usó tu información para intentar sacar crédito.
La Unidad de Investigación Cibernética de Interpol documentó un aumento sostenido de ataques dirigidos a usuarios de plataformas financieras en la región. El objetivo no siempre es robar dinero directamente. A veces es tomar control de la cuenta para usarla como puente en otras operaciones fraudulentas.
Para cerrar
El phishing funciona porque nos apuran. Porque generan urgencia. Porque imitan bien. Y porque confiamos en el número de alguien que conocemos sin saber que esa cuenta ya fue comprometida.Ninguna solución técnica es perfecta. Pero la combinación de buenos hábitos más herramientas que dificulten operar cuentas falsas a escala me parece que es donde hay que apostar. Si alguien tiene otras herramientas o experiencias con esto, el hilo está abierto.