El clic que puede vaciar tu cuenta: así opera el phishing que alertó a la Policía Cibernética de Aguascalientes

El clic que puede vaciar tu cuenta: así opera el phishing que alertó a la Policía Cibernética de Aguascalientes

Phishing en Aguascalientes: alerta de la Policía Cibernética por correos que roban datos personales

Bajada: La SSPE detectó una campaña de correos falsos que suplantan a un servicio de correo electrónico conocido para robar contraseñas y datos bancarios. Esto es lo que hay que saber para no caer.

Son las nueve de la noche y una mujer revisa el correo antes de dormir. Entre la publicidad y los mensajes de trabajo aparece uno con el logo de su proveedor de correo electrónico: “Tu cuenta será suspendida en 24 horas si no confirmas tus datos”. Hay un botón azul, un tono de urgencia y ninguna falta de ortografía visible. Ella duda un segundo, pero al final hace clic. No pasa nada raro, al menos no de inmediato. Días después no puede entrar a su propio correo.

Esa escena, repetida con pequeñas variaciones miles de veces al día en todo el país, es justo el tipo de fraude que la Policía Cibernética de la Secretaría de Seguridad Pública del Estado de Aguascalientes (SSPE) acaba de detectar y sobre el que emitió una alerta pública. Durante labores de ciberpatrullaje, la corporación identificó una campaña de correos electrónicos que suplantan la identidad de un conocido servicio de correo para engañar a los usuarios y obtener contraseñas, datos personales, información bancaria e incluso acceso a los dispositivos de las víctimas.

El caso es pequeño en apariencia (un correo, un enlace, un formulario) pero encierra un mecanismo que mueve miles de millones de dólares al año en todo el mundo. Entender cómo funciona es, según coinciden las autoridades y los organismos internacionales dedicados a la ciberseguridad, la mejor defensa disponible.

Cómo fue detectada la campaña

El secretario de la SSPE, Antonio Martínez Romo, explicó que el hallazgo se dio durante el monitoreo rutinario que realiza la Policía Cibernética en internet. Los mensajes detectados imitan a un proveedor de correo electrónico de uso masivo y advierten, de forma falsa, sobre una supuesta actualización de los términos de servicio. El correo pide a quien lo recibe ingresar a un enlace para evitar el cierre de su cuenta.

Martínez Romo fue claro sobre el objetivo real de estos mensajes: obtener información confidencial de la víctima. Por eso, la recomendación oficial es no abrir enlaces sospechosos, revisar con cuidado la dirección del remitente y confirmar cualquier aviso directamente en los sitios o aplicaciones oficiales del servicio en cuestión, sin usar el enlace que llegó por correo.

El anzuelo tiene nombre: phishing

Lo que la SSPE describió tiene un nombre técnico bien documentado: phishing. El FBI, a través de su Centro de Quejas de Delitos en Internet (IC3), lo define como una forma de ingeniería social en la que los ciberdelincuentes se hacen pasar por una institución de confianza, como un banco o un empleador, para obtener información y credenciales de acceso de la víctima. El nombre viene justamente de “pescar”: se lanza un anzuelo (el correo falso) esperando que alguien muerda.

La pieza clave no es tanto la tecnología como la manipulación psicológica. El FBI describe la ingeniería social como el uso del engaño, mediante la manipulación del comportamiento humano, para inducir a alguien a revelar información confidencial o personal con fines fraudulentos. No hace falta ser un experto en cómputo para caer: el ataque explota reacciones humanas normales, como el miedo a perder el acceso a una cuenta o la urgencia de resolver un problema rápido.

Los datos internacionales muestran que no se trata de un fenómeno menor. Solo en Estados Unidos, el IC3 recibió más de 193 mil denuncias por phishing y suplantación de identidad en un año reciente, y los fraudes que usan el correo electrónico como vector de engaño para el compromiso de cuentas empresariales generaron pérdidas por miles de millones de dólares. En México, la Guardia Nacional, a través de su Centro Nacional de Respuesta a Incidentes Cibernéticos (CERT-MX), mantiene una campaña permanente contra este tipo de fraudes bajo el lema “Internet Seguro para Todas y Todos”, y ha documentado un aumento sostenido de este tipo de intentos, sobre todo en fechas de mayor actividad digital, como compras en línea o cambios de temporada.

Así opera un ataque de phishing, paso a paso

  1. Selección del gancho. El delincuente elige una marca o institución con la que casi cualquier persona tiene relación: un correo electrónico, un banco, una dependencia de gobierno.
  2. Redacción del mensaje. Se construye un correo que imita el diseño, el logotipo y el lenguaje de esa institución, casi siempre con una advertencia de urgencia: la cuenta se cerrará, hay un cargo no reconocido o se debe “verificar” información.
  3. Envío masivo o dirigido. El mensaje se distribuye a miles de direcciones de correo obtenidas de bases de datos filtradas o de internet, o bien se dirige a una persona específica con información personalizada.
  4. El clic. La víctima, presionada por el tono del mensaje, ingresa a un enlace que la lleva a una página que copia la apariencia del sitio real.
  5. La entrega de datos. Ahí se le pide escribir su usuario, contraseña o datos bancarios, que quedan directamente en manos del atacante.
  6. La explotación. Con esa información, el delincuente puede vaciar cuentas, suplantar la identidad de la víctima ante otros contactos o revender los datos a terceros.

Cinco señales para identificar un correo fraudulento

  • El remitente tiene un dominio raro, mal escrito o distinto al oficial de la institución que dice representar.
  • El mensaje usa un tono de urgencia extrema: amenaza con suspender, bloquear o cancelar algo si no se actúa “de inmediato”.
  • Contiene errores de ortografía, redacción forzada o un saludo genérico como “Estimado usuario”.
  • Pide directamente contraseñas, números de tarjeta o códigos de verificación, algo que ninguna institución seria solicita por correo.
  • El enlace, al pasar el cursor encima sin hacer clic, muestra una dirección distinta a la que aparenta el texto del mensaje.

Qué hacer si ya hiciste clic en un enlace sospechoso

  • Cambia de inmediato la contraseña de la cuenta afectada, y también la de cualquier otra cuenta donde uses esa misma clave.
  • Activa la autenticación en dos pasos si no la tenías activada.
  • Revisa los movimientos de tus cuentas bancarias y notifica cualquier cargo desconocido directamente a tu banco.
  • No borres el correo ni la conversación: guarda capturas de pantalla como evidencia.
  • Reporta el incidente ante la Policía Cibernética de la SSPE o ante la Guardia Nacional a través del 088.

Lo que recomienda la Policía Cibernética de Aguascalientes

Martínez Romo pidió a la ciudadanía evitar compartir datos personales o bancarios a través de correos electrónicos, mensajes de texto o aplicaciones de mensajería, en especial cuando el mensaje utiliza un tono de urgencia o amenaza con cancelar algún servicio. También llamó a mantenerse alerta y a denunciar cualquier intento de fraude, porque, dijo, la prevención sigue siendo la herramienta más efectiva contra este tipo de delitos.

Quienes necesiten orientación o quieran reportar un caso pueden llamar al 911, al teléfono 449 910 20 55 (extensiones 6605, 1710 y 1711), escribir por WhatsApp al 449 346 23 41 o usar la línea de denuncia anónima 089.

Protección de datos personales: lo que dicen los organismos técnicos

Más allá del caso puntual detectado en Aguascalientes, los organismos especializados en ciberseguridad coinciden en un conjunto de medidas básicas:

  • Autenticación en dos pasos. Agregar un segundo factor de verificación (un código temporal, una llave física o una aplicación autenticadora) hace que una contraseña robada no sea suficiente para entrar a la cuenta.
  • Contraseñas largas y únicas. El Instituto Nacional de Estándares y Tecnología de Estados Unidos (NIST) recomienda priorizar la longitud sobre la complejidad artificial y no reutilizar la misma contraseña en distintos servicios.
  • Verificar siempre en la fuente oficial. Ante cualquier aviso sospechoso, lo más seguro es entrar directamente a la aplicación o página oficial del servicio, sin usar el enlace del correo.
  • Mantener dispositivos y aplicaciones actualizados. Las actualizaciones corrigen fallas de seguridad que los atacantes buscan aprovechar.

Una responsabilidad compartida

Detrás de cada correo falso hay una apuesta: que la persona actúe antes de pensar. Familias que administran sus finanzas desde el celular, estudiantes que reciben avisos de sus plataformas educativas, trabajadores que revisan el correo de la oficina y pequeños empresarios que dependen de una cuenta de correo para operar su negocio son, todos, blanco potencial del mismo tipo de engaño.

La alerta de la Policía Cibernética de Aguascalientes no busca generar alarma, sino dar una herramienta concreta: saber qué buscar antes de dar clic. En un entorno digital donde el fraude se ha vuelto una industria a escala, la diferencia entre perder el control de una cuenta o evitarlo suele reducirse a algo tan simple como confirmar el remitente antes de responder.

Fuentes oficiales

  • Secretaría de Seguridad Pública del Estado de Aguascalientes (SSPE), boletín “Alerta Policía Cibernética por correos que buscan robar datos personales”, 4 de julio de 2026.
  • Guardia Nacional, Centro Nacional de Respuesta a Incidentes Cibernéticos (CERT-MX), campaña “Internet Seguro para Todas y Todos” (gob.mx).

Organismos especializados en ciberseguridad

  • Federal Bureau of Investigation (FBI), Internet Crime Complaint Center (IC3), avisos públicos sobre phishing e ingeniería social.
  • Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA), materiales sobre autenticación multifactor.
  • Instituto Nacional de Estándares y Tecnología de Estados Unidos (NIST), lineamientos de identidad digital (SP 800-63B) sobre contraseñas y autenticación.

Literatura técnica

  • Investigaciones académicas sobre ingeniería social y phishing indexadas en arXiv, relativas a técnicas de persuasión utilizadas en ataques de correo electrónico.

Medios periodísticos de referencia

  • Cobertura de BBVA México y de medios especializados sobre recomendaciones de la Guardia Nacional frente al phishing y los fraudes digitales en México.

Gobierno del Estado de Aguascalientes

Gobierno del Estado de Aguascalientes

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

error: Content is protected !!
Resumen de privacidad

Esta web utiliza cookies para que podamos ofrecerte la mejor experiencia de usuario posible. La información de las cookies se almacena en tu navegador y realiza funciones tales como reconocerte cuando vuelves a nuestra web o ayudar a nuestro equipo a comprender qué secciones de la web encuentras más interesantes y útiles. El sistema de Cookies principal del sitio el proporcionado por Google Analytics.  POLÍTICAS DE PRIVACIDAD