El Anti-Phishing Working Group publicó su Informe de Tendencias de Actividad de Phishing del Q1 2026 en mayo de 2026. El número principal es significativo: 971.181 ataques de phishing únicos en los primeros tres meses del año, un aumento del 13,8 por ciento respecto a los 853.244 del Q4 2025. Pero el número que merece más atención no es el volumen total. Es el desglose por sector.
En el Q3 2025, la categoría de telecomunicaciones representaba el 5,9 por ciento de todos los ataques de phishing. En el Q1 2026, esa cifra había alcanzado el 33 por ciento, convirtiendo a las telecos en el sector más atacado del trimestre. El APWG señala que esto representa la mayor concentración en un solo sector de su conjunto de datos desde el Q4 2023. Los ataques de phishing basados en URL dirigidos específicamente al sector de telecomunicaciones aumentaron un 75 por ciento entre el Q4 2025 y el Q1 2026.
Esto no es una tendencia gradual. Es una decisión de ataque repentina y concentrada por parte de actores organizados, y las razones que hay detrás tienen implicaciones directas para la estrategia de autenticación de correo electrónico.
Por qué los cibercriminales se trasladaron a las telecomunicaciones
El informe APWG explica el atractivo del sector a través de lo que denomina “múltiples pivotes”. Los operadores de telecomunicaciones son objetivos inusuales porque un único compromiso exitoso da a los atacantes acceso a más de un activo explotable.
La mayoría de los operadores de telecomunicaciones agrupan tres servicios bajo una única cuenta: acceso a internet, una dirección de correo electrónico con la marca del ISP y servicios de telefonía móvil. Cuando un ataque de phishing roba con éxito las credenciales de una cuenta de cliente de telecomunicaciones, el atacante no accede solo a una cosa. Gana acceso a una cuenta de correo electrónico identificada con un nombre de marca de confianza, el control sobre un número de teléfono utilizado para la autenticación de dos factores por SMS y, potencialmente, capacidades de gestión de cuenta que exponen datos de facturación y configuración del servicio.
Esa combinación es de un valor único. Una cuenta de correo electrónico alojada bajo la marca de un operador reconocido – AT&T, Verizon, Comcast, BT, Telstra – acumula décadas de reputación de remitente. Estas cuentas raramente van a las carpetas de spam. Cuando los atacantes comprometen suficientes de ellas, tienen un grupo listo de infraestructura de envío de confianza que nunca ha sido marcada como fuente de fraude. Una cuenta de Gmail es una commodity. Una cuenta de correo de marca de ISP vinculada a un suscriptor real es un activo de phishing.
El acceso al número de teléfono habilita un segundo vector de ataque: el SIM swapping. Al controlar la cuenta móvil, los atacantes pueden redirigir los códigos de autenticación por SMS, eludiendo la autenticación de dos factores en plataformas bancarias, de correo y financieras. Esto no es teórico. El fraude de intercambio de SIM ha sido el mecanismo detrás de varias apropiaciones de cuentas de alto perfil en los últimos dos años.
Un único ataque de phishing exitoso contra una telecos abre, por tanto, puertas que un ataque de robo de credenciales estándar no puede. El recuento de pivotes – reputación de correo electrónico, control del teléfono, datos de cuenta – es lo que hace que los objetivos de telecomunicaciones valgan la inversión en infraestructura.
La capa de suplantación de marca
Para robar las credenciales de los clientes de telecomunicaciones, los atacantes necesitan una suplantación convincente del operador. Aquí es donde las brechas en la aplicación de DMARC crean una vulnerabilidad estructural.
DMARC funciona vinculando criptográficamente los mensajes de correo electrónico al dominio del que afirman proceder. Un mensaje que dice venir de [email protected] debe superar la alineación SPF (enviado desde infraestructura autorizada) y llevar una firma DKIM válida. Si alguna de las dos falla y la política DMARC del dominio es p=reject, el servidor receptor descarta el mensaje. No hay colocación en la bandeja de entrada.
El problema es que la adopción de DMARC en el sector de telecomunicaciones refleja el mismo patrón visto en gran parte de la economía. La investigación de 2026 muestra que los sectores de finanzas y telecomunicaciones tienen presencia de DMARC en alrededor del 32 al 33 por ciento de sus dominios, pero la mayoría de esos dominios se mantienen en p=none, un modo de solo supervisión que genera informes pero no instruye a los servidores receptores a hacer nada con los mensajes no autenticados. A nivel global, solo alrededor del 18,1 por ciento de todos los dominios tienen aplicación de DMARC en p=quarantine o p=reject.
Esto significa que, para el operador de telecomunicaciones promedio, un actor de amenazas puede construir un correo electrónico que parezca proceder de un dominio oficial del operador, enviarlo a través de infraestructura de envío estándar y hacer que llegue a las bandejas de entrada de los suscriptores sin activar un rechazo de DMARC. La brecha de autenticación no es un fallo del cliente. Es del operador.
La cadena de phishing que apunta a los suscriptores de telecomunicaciones
Los ataques de phishing contra telecomunicaciones suelen seguir un patrón específico. Un suscriptor recibe un correo electrónico que parece provenir de su operador: una alerta de facturación, un aviso de seguridad, una notificación de que se ha accedido a su cuenta desde un dispositivo desconocido. El correo parece legítimo. En muchos casos, supera incluso los controles básicos de filtros de spam porque se envía desde una infraestructura bien configurada que suplanta el dominio del operador.
El mensaje contiene un enlace a una página de destino que imita el portal de cuentas del operador. El suscriptor introduce su nombre de usuario y contraseña. El atacante captura esas credenciales en tiempo real e inicia inmediatamente el acceso a la cuenta para extraer el número de teléfono, la cuenta de correo y cualquier método de pago almacenado.
El aumento del 75 por ciento en el phishing basado en URL dirigido a telecomunicaciones observado por el APWG en el Q1 2026 refleja la maduración de esta cadena de ataque. Los actores de amenazas han creado herramientas, plantillas e infraestructura específicamente para la suplantación de operadores. La barrera para ejecutar una campaña de phishing contra telecomunicaciones ha bajado sustancialmente a medida que se han proliferado los kits especializados.
Lo que detiene esta cadena en seco es la aplicación de DMARC con p=reject en los dominios de envío del operador. Cuando esa política está vigente, el correo de suplantación – independientemente de lo convincente que sea su contenido – es rechazado antes de llegar a la bandeja de entrada del suscriptor. El enlace nunca se carga. Las credenciales nunca se ingresan.
Lo que los datos de redes sociales añaden al panorama
Más allá del repunte en telecomunicaciones, el informe APWG del Q1 2026 documenta una escalada paralela en las amenazas en redes sociales. En todas las plataformas principales, el volumen de amenazas aumentó entre el Q4 2025 y el Q1 2026. La composición de esas amenazas se desglosa en un 43,8 por ciento de suplantación de marca e individuo, y un 27,1 por ciento de estafas directas diseñadas para defraudar a los usuarios de dinero o información personal.
Esto es relevante para el patrón de telecomunicaciones porque la suplantación en redes sociales y el phishing por correo electrónico son con frecuencia campañas coordinadas. Un actor de amenazas que ejecuta una operación de suplantación de marca de operador frecuentemente mantiene cuentas falsas en redes sociales bajo la marca del operador, crea perfiles de soporte fraudulentos y los usa para dirigir a las víctimas hacia enlaces de phishing. La campaña de correo y la de redes sociales se refuerzan mutuamente.
Las organizaciones con una postura DMARC sólida obtienen un beneficio secundario: la elegibilidad para BIMI. Brand Indicators for Message Identification permite que aparezca un logotipo verificado junto a los mensajes de correo autenticados en los clientes de correo compatibles. Cuando los suscriptores ven el logotipo verificado del operador junto a un correo, tienen una confirmación visual de que el mensaje superó las tres capas de autenticación. Cuando ese logotipo está ausente en un mensaje que dice ser del operador, es una señal observable de que algo no está bien. En un entorno donde la suplantación sofisticada es cada vez más la norma, esa capa visual se convierte en una distinción significativa.
El cambio en el BEC de transferencia bancaria
Los datos del APWG del Q1 2026 incluyen un contrapunto interesante al repunte en telecomunicaciones: los ataques de compromiso de correo empresarial para transferencias bancarias disminuyeron un 25 por ciento respecto al Q4 2025, con el importe medio solicitado bajando un 15 por ciento hasta los 42.663 dólares desde los 50.297 dólares.
Este descenso no sugiere que el BEC sea menos peligroso. Es más probable que refleje un cambio táctico en la concentración de recursos de los atacantes. Cuando el phishing contra telecomunicaciones produce acceso a cuentas de alto valor a escala – infraestructura de correo electrónico, control de números de teléfono, rutas hacia cuentas financieras – la economía de las campañas tradicionales de BEC para transferencias bancarias se vuelve relativamente menos atractiva. Los atacantes siguen los rendimientos. En el Q1 2026, los rendimientos en telecomunicaciones fueron excepcionalmente altos.
La implicación para las organizaciones es que el panorama de amenazas no es estático. La categoría que fue la principal preocupación en un trimestre puede no ser el vector dominante en el siguiente. La autenticación de correo electrónico – SPF, DKIM y DMARC con aplicación activa – proporciona una defensa estructural que no necesita ser reajustada cada vez que los atacantes cambian de táctica. Un dominio con p=reject está protegido contra la suplantación basada en correo electrónico independientemente de qué sector o industria decidan atacar los actores de amenazas el próximo trimestre.
La brecha de autenticación que explotan los atacantes
La conclusión central del informe APWG del Q1 2026 no es complicada: cuando un sector se convierte en un objetivo concentrado, las marcas dentro de ese sector son inmediatamente convertidas en armas de suplantación. Las empresas de telecomunicaciones se convirtieron en el objetivo principal en el Q1 2026. Sus clientes están recibiendo correos de phishing que parecen provenir de los dominios oficiales de su operador. Muchos de esos correos llegan a las bandejas de entrada porque los propios operadores no han implementado la aplicación de DMARC.
Este es un patrón que se ha repetido en distintos sectores. El sector sanitario fue un objetivo principal en 2025. Las aerolíneas fueron identificadas en análisis anteriores. Cada vez, el factor común fue una brecha de autenticación que permitía a los atacantes enviar correo que parecía originarse en un dominio de marca de confianza sin restricciones.
La solución en cada caso es la misma: la aplicación de DMARC con p=reject cierra la brecha. Los informes agregados muestran exactamente qué actividad de envío no autorizado está ocurriendo contra un dominio. Pasar de p=none a p=quarantine y luego a p=reject elimina sistemáticamente la superficie de ataque de la que dependen las campañas de suplantación.
Las telecomunicaciones son hoy el sector más atacado. No será el último sector nuevo en enfrentar un ataque concentrado. Las organizaciones que ya han avanzado hacia la aplicación de DMARC son estructuralmente menos explotables como objetivos, independientemente de en qué industria se centre la próxima oleada de phishing.
Excello Mail le proporciona visibilidad completa de su postura DMARC, orientación clara sobre el camino hacia la aplicación de p=reject y análisis de informes agregados que muestra cada fuente que envía correo en nombre de su dominio. Regístrese gratis en Excello Mail y cierre la brecha de autenticación antes de que su marca se convierta en el próximo objetivo de suplantación.