Recibir una notificación sobre una filtración de datos solía ser algo poco común. Sin embargo, con las brechas de datos alcanzando cifras récord, estos avisos ya no resultan tan sorprendentes como antes. Solo en Estados Unidos se informaron el año pasado 3.322 filtraciones, que derivaron en casi 280 millones de notificaciones enviadas por email a las víctimas. En Europa, los incidentes diarios crecieron un 22 % interanual en 2025, hasta alcanzar un promedio de 443 por día. ESET, compañía líder en detección proactiva de amenazas, advierte que este escenario representa una oportunidad cada vez mayor para los estafadores, ya que saben que muchas personas están atentas a este tipo de notificaciones y que, al recibir una, pueden estar más predispuestas a seguir las instrucciones que contiene.
“Es importante aclarar algo: las filtraciones reales ocurren todos los días, e ignorar una notificación legítima puede ser tan peligroso como hacer clic en una falsa. El objetivo es dejar de reaccionar de forma automática y aprender a distinguir una alerta auténtica de una fraudulenta. Tomarse un momento para familiarizarse con las estafas que usan como excusa las filtraciones de datos, y estar mejor preparado cuando la próxima llegue a la bandeja de entrada.”, aclara Mario Micucci, Investigador de Seguridad Informática de ESET Latinoamérica.
Existen dos tácticas principales que utilizan las estafas que simulan notificaciones de filtración de datos:
- Los estafadores esperan a que ocurra una filtración real y aprovechan la noticia para enviar notificaciones falsas. En este escenario, es más probable que las víctimas crean el engaño, ya que esperan recibir un aviso legítimo.
- Inventan una filtración inexistente y envían una notificación falsa con supuestos detalles del incidente. Por lo general, el mensaje se hace pasar por una marca conocida y popular para resultar relevante y generar confianza. En otros casos, los estafadores pueden suplantar al área de sistemas o IT del propio lugar de trabajo de la víctima.
En ambos casos desde ESET destacan que los estafadores recurren cada vez más a kits de phishing y herramientas de inteligencia artificial para automatizar y mejorar la creación de estas notificaciones falsas. La IA resulta especialmente eficaz para crear mensajes muy similares a los reales, en el idioma local y con el mismo tono y estilo. También suelen incluir logotipos y elementos visuales oficiales para reforzar la apariencia de legitimidad.
“Todo esto puede hacerse en cuestión de minutos, lo que permite enviar notificaciones falsas de forma masiva poco después de que se haga pública una filtración, o incluso de un evento completamente inventado. El objetivo final puede ser engañarte para que hagas clic en un enlace malicioso o abras un archivo adjunto peligroso, lo que podría instalar malware diseñado para robar información. En otros casos, el mensaje sirve como excusa para obtener tus datos personales, financieros o tus contraseñas.”, agrega Micucci.
Las notificaciones falsas suelen ser fáciles de identificar si se sabe qué buscar. Desde ESET recomiendan tener en cuenta estas señales de advertencia:
- Solicitud de acción inmediata: Los estafadores utilizan técnicas clásicas de ingeniería social para apurar a su víctima a compartir información personal o hacer clic en enlaces maliciosos. Esto suele incluir mensajes alarmistas que advierten que los datos están en riesgo si no se actúa de inmediato, por ejemplo, cambiando una contraseña o confirmando información personal.
- Remitente de correo inusual: Es común que se falsifique la dirección del remitente para que parezca provenir de la organización legítima. Prestar atención a errores tipográficos en el nombre del dominio y revisar la dirección real pasando el cursor sobre el remitente.
- Errores de ortografía y gramática: Aunque esto es menos frecuente ahora que muchos actores maliciosos usan IA generativa, sigue siendo una señal útil para una primera verificación.
- Enlaces y archivos adjuntos sospechosos: Muchos de estos correos contienen enlaces a sitios de phishing diseñados para robar datos personales o financieros, o incluyen archivos adjuntos que aparentan ser notificaciones oficiales pero instalan malware.
- Poca información específica: Las empresas que han sufrido una filtración real suelen incluir datos concretos, como parte de la información de cuenta. Los estafadores no cuentan con esos datos, por lo que sus mensajes suelen ser vagos y poco detallados.
Entender qué señales buscar es el primer paso, según ESET, para evitar las estafas relacionadas con filtraciones de datos. Si algo no resulta del todo confiable, no apurarse. Frenar un momento y evaluar la situación. A su vez, si se recibe una notificación, verificar siempre con la fuente real, pero sin responder el correo ni utilizar los datos de contacto incluidos en el mensaje. Ingresar directamente a la cuenta desde el sitio oficial de la empresa o comunicarse por canales verificados para confirmar si la filtración es real.
Las funciones de protección de identidad incluidas en muchos productos de seguridad confiables, así como servicios como HaveIBeenPwned.com, pueden ser una segunda herramienta útil para comprobar si tus datos fueron comprometidos.
Desde ESET recomiendan utilizar contraseñas seguras y únicas, almacenadas en un gestor de contraseñas, y activar la autenticación multifactor (MFA) para disminuir los riesgos. De esta forma, aunque alguien obtenga las credenciales, no podrá acceder fácilmente a las cuentas. También es importante contar con una solución sólida de seguridad de correo electrónico de un proveedor confiable, preferentemente con detección basada en IA para bloquear intentos de phishing y malware.
Si se tienen sospechas de haber caído en una estafa, es fundamental actuar rápido:
- Cambiar todas las contraseñas que se hayan compartido, en todos los servicios donde se usen. Un gestor de contraseñas es la mejor opción para manejar credenciales únicas.
- Activar MFA en todas las cuentas sensibles.
- Ejecutar un análisis de malware con software de seguridad confiable.
- Si se compartió información financiera, contactar de inmediato al banco y solicitar el bloqueo de tarjetas si corresponde.
- Controlar regularmente las cuentas para detectar movimientos sospechosos.
- Reportar el incidente a las autoridades o entidades de protección al consumidor de tu país.
“A medida que las notificaciones sobre filtraciones de datos se vuelven más comunes, existe el riesgo de que dejemos de analizarlas con atención y demos por válido cualquier aviso que llegue a nuestro correo. Aunque resulte molesto, verificarlos cuidadosamente es esencial. Esto no solo te ayudará a evitar fraudes, sino que también garantizará que tomes con la seriedad necesaria aquellas notificaciones que sí son legítimas.”, concluye Micucci de ESET.
Para saber más ESET puede ingresar a: https://www.welivesecurity.com/es/seguridad-corporativa/esa-alerta-de-filtracionn-de-datos-podria-ser-una-trampa/
Por otro lado, ESET invita a conocer Conexión Segura, su podcast para saber qué está ocurriendo en el mundo de la seguridad informática. Para escucharlo ingrese a: https://open.spotify.com/show/0Q32tisjNy7eCYwUNHphcw
