La suplantación de identidad se ha consolidado como una de las herramientas predilectas de los ciberdelincuentes para el robo de activos financieros y datos personales. Mediante tácticas de ingeniería social, los atacantes logran usurpar la imagen de instituciones legítimas para ganar la confianza de las víctimas. En este panorama, ESET identificó una campaña activa entre marzo y abril de 2026 que utilizaba mensajes de texto fraudulentos para suplantar a una de las operadoras móviles más importantes de México.

El gancho principal consistía en un supuesto programa de lealtad donde se ofrecía el canje de puntos acumulados por dispositivos de alta gama, como celulares y smartwatches. Los mensajes dirigían a los usuarios a una URL maliciosa —actualmente deshabilitada— que solicitaba información sensible bajo la promesa de beneficios exclusivos. Según David González, investigador de seguridad de ESET, este caso ejemplifica cómo la manipulación psicológica puede comprometer la seguridad del usuario en cuestión de minutos.

Análisis del Modus Operandi

De acuerdo con la investigación de ESET, la estafa se desarrollaba de forma progresiva para maximizar su efectividad. El engaño comenzaba con un mensaje SMS (smishing) que contenía un enlace sutilmente alterado (como sustituir una “l” por una “i”) para dirigir a la víctima a un portal que duplicaba el diseño de la empresa legítima. Una vez dentro, se solicitaba el número telefónico y se desplegaba un catálogo falso de productos, reforzando la mentira con un mensaje de urgencia sobre el vencimiento de los puntos para forzar una decisión apresurada. Tras elegir un premio, el sistema recolectaba datos personales y, bajo el pretexto de cubrir gastos de gestión o envío, solicitaba información bancaria detallada.

Para dar credibilidad, la página simulaba un proceso de pago con banners de entidades financieras y solicitaba códigos de verificación enviados por SMS; finalmente, si la transacción parecía fallar, el sitio pedía una segunda tarjeta de crédito, permitiendo a los atacantes duplicar el volumen de datos financieros robados antes de que la víctima notara el fraude.

Si el usuario completaba este proceso, su información pasaba a manos de los atacantes, quienes suelen comercializar estos datos en mercados negros o utilizarlos para fraudes directos. “Una vez que se dan de baja estos sitios, los criminales simplemente migran a nuevas URLs”, advierte González, subrayando la importancia de reconocer estos patrones de manipulación.

Filtraciones de datos en México

En México, las filtraciones de datos personales se han intensificado durante el arranque de 2026, lo que ha puesto en evidencia las vulnerabilidades tanto en el sector privado como en instituciones públicas. Casos como la mega filtración de datos que se atribuyó el grupo Chronus, en el que expuso información de dependencias gubernamentales, así como la reciente vulneración de sistemas vinculados al registro de líneas telefónicas en el país, ponen sobre la mesa la necesidad de que las instituciones fortalezcan sus estrategias de ciberseguridad.

Para los ciberdelincuentes, estas bases de datos representan un atractivo objetivo debido a su volumen, ya que la información personal de miles o millones de usuarios puede ser utilizada en campañas masivas de spam, phishing o fraudes financieros más sofisticados y mejor dirigidos, como es el caso de este análisis.

“Hemos observado en varios casos donde los cibercriminales usan el nombre de una entidad o empresa importante para engañar a los usuarios y convencerlos de que brinden datos personales y financieros pues al abusar del conocimiento público de grandes marcas y entidades de confianza, es cuando el usuario baja su defensa”, agrega González, de ESET.

Riesgos asociados a las filtraciones de datos

La ciberseguridad es un tema prioritario tanto para organizaciones como para usuarios, pues los datos personales se han convertido en una mercancía altamente explotable dentro del mercado de ciberdelincuencia.

Los principales riesgos de las filtraciones de datos personales y sensibles son:

• Robo de identidad: permite a terceros hacerse pasar por la víctima para abrir cuentas bancarias, solicitar créditos o realizar trámites oficiales a su nombre.
• Fraudes financieros: un uso indebido de datos personales o bancarios puede terminar en compras, transferencias o contrataciones sin autorización del usuario.
• Campañas de ingeniería social: los atacantes utilizan información real para crear mensajes o llamadas más creíbles, aumentando la probabilidad de que la víctima caiga en el engaño y logren estafarla.
• Acceso a cuentas: si se filtran correos o contraseñas, los delincuentes pueden ingresar a servicios personales, redes sociales o aplicaciones bancarias y vaciar cuentas o lanzar ataques a las personas cercanas a la víctima.
• Extorsión: la información personal puede utilizarse para intimidar o presionar a las víctimas a realizar pagos para recuperarla.

Recomendaciones de seguridad

Ante este panorama, desde ESET recomiendan tomar medidas preventivas como:

• Evitar compartir datos personales por teléfono, correo o mensajes sin verificar la autenticidad del remitente.
• Utilizar contraseñas únicas y robustas y combinarlas con letras, números y caracteres especiales.
• Activar la verificación en dos pasos (2FA) para añadir una capa adicional de seguridad a las cuentas personales y financieras.
• Monitorear cuentas y movimientos para detectar cualquier actividad sospechosa.
• Desconfiar de mensajes urgentes o alarmantes.
• Mantener actualizados los dispositivos.