La suplantación de identidad se mantiene como una de las vías más utilizadas por ciberdelincuentes para obtener datos personales y financieros, a partir de esquemas de engaño que apelan a la confianza del usuario. En este contexto, la firma de ciberseguridad ESET detectó una campaña activa durante marzo y principios de abril en la que se enviaron mensajes SMS que aparentaban provenir de una de las principales compañías de telefonía en México.
El mecanismo parte de un anzuelo atractivo: un supuesto canje de puntos acumulados por productos, como teléfonos móviles o relojes inteligentes. Sin embargo, el mensaje dirige a una dirección web fraudulenta que imita el sitio oficial de la empresa, con el objetivo de inducir al usuario a ingresar información sensible, incluidos datos bancarios.
De acuerdo con el análisis, este sitio ya fue identificado como fraudulento y posteriormente deshabilitado.
“Este caso sirve como ejemplo de cómo los ciberdelincuentes combinan suplantación de identidad con manipulación para comprometer la seguridad de los usuarios en cuestión de minutos”, señaló David González, investigador de seguridad informática de la compañía.
El esquema detectado está organizado en diversas fases diseñadas para sostener la credibilidad del engaño. En la primera etapa, el usuario recibe un SMS con un enlace que presenta una alteración mínima en la URL, como el cambio de una letra, lo que puede pasar desapercibido.
Posteriormente, al acceder, se despliega un portal que replica la imagen de la empresa legítima y solicita confirmar el número telefónico para consultar los supuestos puntos disponibles.
Una vez dentro, el sitio muestra un aviso sobre la caducidad próxima de los puntos, acompañado de cifras que incluso pueden no coincidir con las del mensaje inicial. Este elemento busca generar una sensación de urgencia, incentivando una respuesta inmediata.
Más adelante, el usuario accede a un catálogo de productos donde, de forma conveniente, los puntos asignados permiten elegir prácticamente cualquier artículo.
El proceso continúa con formularios en los que se solicitan datos personales como nombre, dirección y correo electrónico, para después requerir información bancaria bajo el argumento de validar el envío del producto.
La simulación avanza con un supuesto proceso de pago que incluye el envío de un código de verificación por SMS o correo, acompañado de un temporizador que incrementa la presión sobre la víctima.
En la fase final, el sistema simula un error en la transacción y pide ingresar nuevamente los datos de una tarjeta distinta, con mensajes como: “esta tarjeta no soporta esta transacción, por favor intente con otra tarjeta”.
De acuerdo con ESET, este paso permite a los atacantes ampliar la información financiera recopilada, elevando el impacto potencial del fraude.
Una vez que el usuario completa este recorrido, la información personal y bancaria ya ha sido comprometida. Estos datos pueden utilizarse de forma inmediata para realizar operaciones fraudulentas o integrarse a redes de comercialización dentro del ecosistema delictivo digital.
El análisis advierte que este tipo de campañas se adapta con rapidez. Cuando un sitio es detectado y dado de baja, los responsables suelen migrar a nuevas direcciones web y retomar la operación mediante otros canales, lo que dificulta su contención.
El fenómeno ocurre en un entorno donde las filtraciones de datos en México han cobrado relevancia en el arranque de 2026, evidenciando vulnerabilidades tanto en instituciones públicas como en el sector privado.
Entre los casos recientes destaca la exposición atribuida al grupo Chronus, así como incidentes vinculados a sistemas de registro de líneas telefónicas. Estas bases de datos representan un recurso valioso para los atacantes, al permitir campañas más amplias y mejor dirigidas.
“Hemos observado en varios casos donde los cibercriminales usan el nombre de una entidad o empresa importante para engañar a los usuarios y convencerlos de que brinden datos personales y financieros pues al abusar del conocimiento público de grandes marcas y entidades de confianza, es cuando el usuario baja su defensa”, añade González.
En este contexto, la ciberseguridad adquiere un papel central, ya que la información personal se ha convertido en un activo altamente explotable.
Entre los principales riesgos asociados destacan el robo de identidad, que permite abrir cuentas o solicitar créditos a nombre de la víctima; los fraudes financieros mediante transacciones no autorizadas; el uso de datos en campañas de ingeniería social más sofisticadas; el acceso indebido a cuentas personales y la extorsión mediante el uso de información privada.
El caso documentado pone de relieve la evolución de los mecanismos de fraude digital, donde la combinación de suplantación de identidad, manipulación psicológica y uso de datos filtrados incrementa la efectividad de los ataques dirigidos a usuarios finales.
er





