El correo electrónico sigue siendo el gran campo de batalla de la ciberseguridad. No por nostalgia de la era del “spam”, sino porque continúa siendo el canal más rentable para escalar estafas, robar credenciales y distribuir malware. El último balance anual de Kaspersky apunta en esa dirección con cifras contundentes: en 2025, el 44,99% del tráfico global de email fue spam, y los usuarios —particulares y corporativos— se toparon con más de 144 millones de archivos adjuntos maliciosos o potencialmente no deseados, un 15% más que el año anterior.

Más allá del volumen, el dato que preocupa a las empresas es el cambio de forma. El email ya no llega solo. Cada vez más campañas empiezan en bandeja de entrada, pero buscan terminar en otros canales: un mensaje que empuja a WhatsApp o Telegram, una llamada a un falso soporte técnico, un enlace que abre un formulario y activa después una conversación con un supuesto “asesor”. El correo se ha convertido en el detonante de una cadena multicanal donde la ingeniería social se adapta al entorno y a la víctima.

Europa, bajo presión; España, en el foco

En la radiografía regional, Kaspersky sitúa a Asia-Pacífico (APAC) como la zona con mayor cuota de detecciones del antivirus de correo, con un 30%, seguida de Europa (21%), Latinoamérica (16%), Oriente Medio (15%), Rusia y la CEI (12%) y África (6%). En cuanto a países, el informe señala a China (14%) como el más afectado por adjuntos maliciosos y potencialmente no deseados, por delante de Rusia (11%), México (8%), España (8%) y Turquía (5%).

Para el mercado español, ese 8% no es una anécdota estadística: confirma que el país se mantiene en el radar de las campañas a escala, y también de ataques que se aprovechan de dinámicas locales (idioma, marcas, entidades y procesos administrativos). Kaspersky, además, detecta picos moderados de actividad en junio, julio y noviembre, meses que suelen coincidir con periodos de alta rotación operativa (campañas, viajes, cierres y procesos internos) y donde los atacantes encuentran más margen para colar urgencias falsas.

El spam muta: de “correo basura” a fraude útil

Una de las claves del informe es la definición operativa de spam: no se limita al mensaje no solicitado, sino que engloba estafas, phishing y malware. Esto cambia el enfoque: no se trata de limpiar la bandeja, sino de evitar que el email se convierta en puerta de entrada al fraude.

Y el fraude ha aprendido a disfrazarse mejor. Entre las tendencias que Kaspersky da por persistentes hacia 2026 destacan varias tácticas que ya se están viendo con frecuencia:

• Salto a mensajería y llamadas: correos que parecen una oportunidad de inversión o un aviso administrativo y que, tras un clic, redirigen a un chat o activan una llamada. El objetivo es sacar al usuario del entorno corporativo (donde hay más controles) y llevarlo a canales donde el engaño es más íntimo y la verificación es menor.
• Evasión con QR y “protección de enlaces”: los actores maliciosos camuflan URLs mediante servicios de protección de enlaces o, cada vez más, insertan códigos QR dentro del propio correo o en PDF adjuntos. El truco es doble: ocultar el destino real y empujar a que el usuario escanee desde el móvil, donde el contexto de seguridad suele ser más débil que en un PC corporativo.
• Abuso de plataformas legítimas: el informe cita campañas que explotan funciones reales de servicios conocidos —por ejemplo, invitaciones y creación de equipos— para enviar spam desde direcciones que parecen auténticas, elevando la tasa de clic por pura confianza.
• BEC más convincente: en el fraude de suplantación corporativa (Business Email Compromise), los atacantes afinan la puesta en escena con correos que simulan ser “reenvíos” o cadenas previas, pero sin cabeceras técnicas que permitan validar la conversación. Es una forma de fabricar contexto y presionar decisiones (pagos, cambios de cuenta bancaria, urgencias de proveedor) con menos señales de alerta.

El factor que acelera todo: la industrialización de la Inteligencia Artificial

La otra gran lectura del informe es cultural y técnica: el phishing se ha profesionalizado y, según Kaspersky, la “comoditización” de la Inteligencia Artificial generativa está amplificando el problema. Roman Dedenok, experto anti-spam de la compañía, advierte de que parte de los ataques empresariales comienzan con phishing y que en 2025 se ha visto un aumento de la sofisticación, con campañas donde se cuida “hasta el último detalle”: desde direcciones de remitente plausibles hasta mensajes adaptados a eventos y procesos reales de la empresa. La clave es la escala: mensajes más creíbles, personalizados y producidos con menos esfuerzo.

En términos prácticos, esto obliga a replantear el enfoque defensivo. Si el atacante puede adaptar idioma, tono y contexto casi en tiempo real, los filtros clásicos y la intuición del usuario pierden eficacia. La defensa pasa a ser una combinación de tecnología, procedimientos y entrenamiento continuo.

Qué recomiendan los expertos para no caer en la trampa

Kaspersky insiste en una lista de medidas que, sin ser nuevas, se vuelven más urgentes con estas tácticas:

• Desconfiar de invitaciones no solicitadas, incluso si parecen venir de plataformas conocidas.
• Revisar las URLs antes de hacer clic, especialmente si hay redirecciones o acortadores.
• No llamar a teléfonos que aparecen en correos sospechosos; si se necesita soporte, buscar el número por canales oficiales.
• En organizaciones, reforzar la protección del correo con soluciones multicapa y, sobre todo, formación periódica enfocada a técnicas modernas (QR, redirecciones, BEC, falsos hilos).
• No olvidar el punto ciego: móviles y smartphones también deben estar protegidos, porque muchas campañas empujan precisamente a escanear o actuar desde el teléfono.

La conclusión de fondo es incómoda, pero clara: el email no ha perdido protagonismo; lo ha cambiado. Ya no es solo el buzón donde cae el malware, sino el primer paso de una operación que se desplaza a donde el usuario sea más fácil de persuadir. Y con España entre los países más atacados por adjuntos maliciosos, la conversación deja de ser global para convertirse en doméstica.

Preguntas frecuentes

¿Cómo detectar phishing con códigos QR en correos y PDFs?
La señal principal es el contexto: urgencia, premios, facturas inesperadas o “verificación” de cuenta. Si aparece un QR para “continuar”, conviene tratarlo como un enlace: verificar el remitente, confirmar la solicitud por un canal alternativo y evitar escanear desde móviles sin controles.

¿Por qué el fraude BEC es tan peligroso para empresas y departamentos financieros?
Porque no busca infectar, sino convencer. Su objetivo suele ser un pago, un cambio de cuenta bancaria o una transferencia urgente. La defensa eficaz combina verificación fuera del email (llamada a un número conocido, doble aprobación) y detección de anomalías en dominios y cabeceras.

¿Qué técnicas usan los atacantes para ocultar enlaces maliciosos en el correo?
Además de acortadores y redirecciones, se usan servicios de “protección de enlaces” para enmascarar el destino y códigos QR incrustados en el cuerpo del mensaje o dentro de adjuntos PDF para saltarse filtros y empujar al móvil.

¿Qué medidas son más efectivas en 2026 para reducir ataques por correo en una empresa?
Filtrado avanzado de email, autenticación del dominio (SPF, DKIM y DMARC bien configurados), formación recurrente orientada a tácticas actuales (QR/BEC), y controles de verificación para pagos y cambios de proveedor, además de proteger móviles corporativos.

vía: kaspersky