Microsoft Threat Intelligence publicó su Informe sobre el Panorama de Amenazas de Email del Q1 2026 a finales de abril, y la cifra principal es difícil de procesar: 8.300 millones de amenazas de phishing por correo electrónico detectadas en los primeros tres meses de 2026. Eso equivale a aproximadamente 92 millones al día, todos los días del trimestre. El volumen bruto importa menos que lo que el informe revela sobre cómo se están entregando estas amenazas y por qué los métodos de entrega están cambiando tan rápidamente.
Dos tendencias del informe merecen atención especial de los equipos de seguridad y administradores de TI: el crecimiento explosivo del phishing con CAPTCHA y el auge de una técnica de ingeniería social llamada ClickFix que elimina la necesidad de descargas de archivos al convertir a la víctima en el mecanismo de entrega final.
Qué Hace Realmente el Phishing con CAPTCHA
El phishing con CAPTCHA no es nuevo, pero las cifras de marzo de 2026 son llamativas. Tras descender en enero y febrero, el volumen de ataques con CAPTCHA se duplicó con creces en marzo, alcanzando los 11,9 millones. Es el volumen mensual más alto que Microsoft ha observado en más de un año: un incremento del 125% en un solo mes.
La técnica funciona colocando un desafío CAPTCHA real frente a la página de captura de credenciales. Esto no es para beneficio de la víctima: está diseñado explícitamente para bloquear las herramientas de análisis automatizado que los proveedores de seguridad utilizan para identificar y bloquear sitios de phishing. Cuando un escáner visita la URL y se encuentra con el CAPTCHA, no puede analizar el contenido. La página de phishing detrás permanece activa más tiempo, llega a más víctimas antes de ser detectada y genera más capturas de credenciales exitosas por campaña.
Los formatos de entrega del contenido con CAPTCHA cambiaron drásticamente en marzo: los archivos PDF adjuntos se cuadruplicaron, el uso de archivos HTML casi se triplicó y la entrega mediante archivos DOC/DOCX aumentó casi cinco veces. La rápida experimentación entre tipos de archivos adjuntos indica que los atacantes estaban probando activamente qué formatos producían la mejor combinación de entrega a la bandeja de entrada y durabilidad de la evasión.
ClickFix: Cuando la Víctima Se Convierte en el Mecanismo de Entrega
ClickFix es una variante dentro de la tendencia más amplia del phishing con CAPTCHA, y merece atención especial por la forma en que elude por completo la seguridad convencional del correo electrónico, incluido DMARC.
En un ataque ClickFix, la víctima llega a una página web, normalmente a través de un enlace de phishing incrustado en un correo electrónico o entregado a través de un sitio comprometido. La página muestra lo que parece ser un desafío de verificación CAPTCHA o un aviso de seguridad del navegador. Instruye al usuario a completar la verificación presionando Win+R, luego Ctrl+V y después Intro. Lo que la víctima no sabe es que el JavaScript de la página ya ha escrito silenciosamente un comando malicioso en el portapapeles del dispositivo. Seguir las instrucciones abre el cuadro de diálogo Ejecutar de Windows, pega el comando PowerShell o mshta del atacante y lo ejecuta.
No aparece ningún aviso de descarga de archivos. No es necesario abrir ningún archivo adjunto sospechoso. La cadena de infección se ejecuta completamente a través de acciones que parecen, tanto para el usuario como para las herramientas de seguridad del endpoint, una entrada de teclado normal.
ClickFix importa específicamente para la seguridad del correo electrónico porque el enlace de phishing inicial puede pasar todas las verificaciones de autenticación. El correo que lleva el enlace puede provenir de un remitente correctamente autenticado, pasar SPF y DKIM, y satisfacer la alineación DMARC. El ataque no suplanta un dominio; utiliza infraestructura de entrega legítima para dirigir a una víctima a una página controlada por el atacante. La aplicación de DMARC en el dominio remitente no hace nada para evitar esto.
Lo Que DMARC Cubre y lo Que No
Leyendo el informe del Q1, sería fácil concluir que DMARC está perdiendo relevancia a medida que los atacantes pivotan hacia técnicas posteriores a la entrega. Esa conclusión es incorrecta, pero vale la pena analizar el razonamiento detrás de ella.
La aplicación de DMARC en p=reject detiene una amenaza específica: el uso no autorizado de tu dominio en la dirección De de los correos que no enviaste. Cuando un atacante registra un dominio parecido al tuyo o intenta suplantar directamente tu marca en campañas de phishing contra tus clientes, proveedores o socios, DMARC en aplicación significa que esos mensajes no llegan a ninguna bandeja de entrada.
Esa protección es distinta de lo que explotan ClickFix o el phishing con CAPTCHA. Esos ataques normalmente operan desde infraestructura controlada por el atacante, no desde dominios de remitentes suplantados. No necesitan tu dominio para tener éxito.
Las organizaciones que carecen de aplicación DMARC no están mejor protegidas contra ClickFix. Se enfrentan a ambas amenazas: suplantación directa de su identidad de dominio y ataques de ingeniería social posteriores a la entrega. La aplicación de DMARC elimina uno de esos dos vectores. Eso no es una ganancia menor en un entorno de amenazas que genera 8.300 millones de ataques por trimestre.
El Informe de Adopción DMARC 2026 de EasyDMARC proporciona la línea base actual. De los 1,8 millones de dominios principales analizados, el 52,1% tiene un registro DMARC. Pero solo alrededor del 9% combina políticas a nivel de aplicación con informes agregados, la configuración necesaria tanto para bloquear la suplantación como para mantener visibilidad. Los dominios restantes con DMARC en p=none están recopilando datos sobre intentos de suplantación pero sin bloquear nada.
El Compromiso Empresarial por Correo Añade Contexto
Microsoft registró 10,7 millones de ataques de Business Email Compromise (BEC) en el Q1. Entre el 82% y el 84% de los correos de contacto inicial en las campañas de BEC utilizaron mensajes genéricos de construcción de confianza en lugar de solicitudes financieras inmediatas. Los atacantes son pacientes: primero establecen confianza, luego introducen la transferencia bancaria fraudulenta o la solicitud de tarjeta de regalo.
El BEC depende de la suplantación convincente de la identidad de dominio. Cuando los atacantes suplantan la dirección de correo de un director financiero, un proveedor o un contacto empresarial conocido, la aplicación de DMARC en los dominios de envío hace que la suplantación directa de esas identidades sea significativamente más difícil.
Tres Acciones que Respaldan los Datos del Q1
1. Avanza hacia la aplicación. Los datos de volumen del Q1 ofrecen un argumento claro para las organizaciones que han estado tratando p=none como un estado de reposo aceptable. El entorno de amenazas no está mejorando. Publica p=quarantine una vez que los informes agregados confirmen que todas las fuentes de envío legítimas están autenticadas, luego escala a p=reject. Cada paso reduce materialmente la superficie de ataque para las campañas de BEC y suplantación.
2. Revisa los informes agregados para descubrir remitentes ocultos. La razón más común por la que las organizaciones se estancan en p=none son las fuentes de envío legítimas no descubiertas: plataformas CRM, herramientas de marketing, servicios de correo transaccional e integraciones de terceros que envían en nombre del dominio sin la alineación DKIM o SPF adecuada. Los informes agregados identifican cada fuente. Una revisión sistemática resuelve las brechas de autenticación que hacen arriesgada la aplicación.
3. Informa a tu equipo sobre los patrones de ClickFix. DMARC y la autenticación de correo electrónico no pueden detener ClickFix porque opera después de la entrega. La formación en concienciación de seguridad que describe específicamente el patrón Win+R, Ctrl+V, y que indica a los usuarios que ningún sitio legítimo les pedirá que peguen comandos en su sistema operativo, es una contramedida directa para una técnica que elude todos los controles técnicos.
Tycoon2FA: Lo que la Disrupción de Plataformas Nos Enseña
La plataforma Tycoon2FA impulsaba más de tres cuartas partes de los sitios de phishing con CAPTCHA a finales de 2025. La operación de disrupción de Microsoft en marzo de 2026 redujo el volumen de correos asociados un 15% durante el resto del mes. En pocas semanas, Tycoon2FA había cambiado de proveedores de alojamiento, y a finales de marzo, el 41% de sus dominios activos utilizaba TLDs .RU.
Las disrupciones de plataformas importan, pero no reemplazan las defensas estructurales. Los atacantes se adaptan. Las organizaciones que esperan las desmantelaciones de infraestructura como su protección principal se encontrarán constantemente compitiendo con un adversario que tiene ciclos de adaptación más rápidos. La aplicación de DMARC, la higiene de SPF y el monitoreo continuo de informes agregados son controles estructurales que imponen costos permanentes a los atacantes que intentan abusar de la identidad del dominio, independientemente de la plataforma o el kit que utilicen.
Los datos del Q1 2026 dejan algo claro: la complejidad y el volumen de las amenazas basadas en correo electrónico no están disminuyendo. Las organizaciones mejor posicionadas para sobrevivir en este entorno son las que han cerrado el vector básico de suplantación con la aplicación de DMARC y utilizan los informes agregados para mantener una visibilidad continua sobre cómo se está usando su identidad de dominio.
Tu configuración DMARC es el fundamento sobre el que se construye todo lo demás. Si tu política sigue siendo p=none, el Q2 es el momento de cambiar eso. Crea tu cuenta gratuita en Excello y llega a la aplicación.