Partner Login

Monthly Threat Report febrero de 2026

Suplantación de correo y extorsión de datos

Escrito por Security Lab / 10.02.2026 /
Home » Blog » Monthly Threat Report febrero de 2026

Introducción

El Monthly Threat Report de Hornetsecurity ofrece un análisis periódico de las tendencias de seguridad en Microsoft 365 (M365), las amenazas basadas en el correo y los acontecimientos más relevantes en el ámbito de la ciberseguridad. Esta edición se centra en los datos y hechos más destacados registrados durante enero de 2026.

Resumen ejecutivo

  • La autenticación del correo electrónico sigue siendo la primera línea de defensa.La correcta configuración de SPF, DKIM y DMARC continúa bloqueando un volumen significativo de intentos de phishing, suplantación de identidad y fraude BEC antes de que lleguen a los usuarios finales.
  • La extorsión basada en el robo previo de datos se acelera. La brecha de seguridad de Nike confirma que los atacantes priorizan el robo y la filtración de datos internos frente al cifrado tradicional de sistemas.
  • Microsoft Office sigue siendo una vía principal de acceso inicial. La explotación activa de una vulnerabilidad de día cero en Office demuestra la rapidez con la que los ciberdelincuentes convierten en herramientas de ataque las vulnerabilidades asociadas a documentos.
  • Las plataformas de automatización se vuelven objetivos estratégicos. Las vulnerabilidades críticas en n8n evidencian cómo las herramientas de automatización, con amplios permisos sobre aplicaciones SaaS, pueden transformarse rápidamente en un punto de control total para los atacantes.
  • La IA está cambiando el descubrimiento de vulnerabilidades. Los estudios apoyados en IA han identificado fallos en OpenSSL, lo que abre oportunidades nuevas para la defensa, pero también acelera el desarrollo de exploits.
  • La velocidad de los ataques supera los ciclos de parcheo. Las actualizaciones fuera de ciclo y la explotación de nuevas vulnerabilidades aumentan la presión operativa sobre los equipos de seguridad y IT.

Panorama de amenazas

El valor de protocolos de autenticación del correo: SPF, DKIM y DMARC

El correo electrónico es una de las principales vías de entrada en los ciberataques. Con él se producen robos de credenciales, compromiso del correo electrónico empresarial (BEC), fraudes, suplantaciones de identidad y campañas de phishing, tanto contra empleados como contra clientes de proveedores de servicios gestionados (MSP). Y si bien ninguna medida de seguridad es infalible por sí sola, la combinación de SPF (Sender Policy Framework), DKIM (DomainKeys Identified Mail) y DMARC (Domain-based Message Authentication, Reporting & Conformance) es eficaz como capa básica de protección. Bien configurados, estos mecanismos bloquean gran parte de los correos fraudulentos antes de que lleguen a la bandeja de entrada.

En términos sencillos, SPF permite al propietario de un dominio indicar qué servidores o servicios están autorizados a enviar correos en su nombre. DKIM añade una firma criptográfica a los mensajes salientes para garantizar que el contenido no se ha modificado durante el envío. DMARC unifica ambos sistemas con una política que indica al servidor receptor qué hacer si un mensaje no supera las comprobaciones de autenticación. Las acciones pueden ir desde la simple monitorización y generación de informes hasta el rechazo de los mensajes que intentan suplantar el dominio.

Para más detalles, visita ¿Qué es DMARC y cómo funciona? de Hornetsecurity.

Tipos de ataques más habituales y frustrados con el uso de SPF, DKIM y DMARC

En 2026 los atacantes siguen recurriendo a técnicas clásicas de ingeniería social. Estas técnicas son mucho más efectivas cuando consiguen que un correo fraudulento parezca proceder de un remitente legítimo y de confianza. La implementación correcta de SPF, DKIM y DMARC rompe este esquema de varias formas clave:

Captación de credenciales basada en la suplantación de identidad

Los ciberdelincuentes suelen imitar marcas reconocidas o partners comerciales en campañas de phishing para engañar a los usuarios y conseguir que introduzcan sus credenciales en páginas web maliciosas. Cuando los correos no están protegidos con firmas válidas de SPF y DKIM, ni cuentan con una política DMARC bien configurada, estos mensajes falsificados tienen muchas más posibilidades de superar los filtros de seguridad y de parecer legítimos ante los usuarios.

Compromiso del correo electrónico empresarial (BEC)

Las estafas de tipo BEC suelen comenzar con correos que aparentan proceder de directivos, responsables financieros o proveedores habituales. En ellos se solicitan transferencias urgentes o cambios sensibles en los datos de pago. Una autenticación de correo bien implementada reduce de forma drástica la probabilidad de que estos mensajes lleguen a su destino, ya que indica a los sistemas receptores que el remitente no es legítimo y que el mensaje debe tratarse como sospechoso o bloquearse.

Fraude de facturas y pagos

Los atacantes suplantan dominios de confianza para engañar a clientes, socios o proveedores. Una aplicación estricta de DMARC envía una señal clara al ecosistema: el correo no autorizado no se acepta, lo que reduce la eficacia de este tipo de abuso.

Por qué es importante

Aunque los actores de amenazas más avanzados pueden eludir las defensas perimetrales con credenciales comprometidas o la explotación de vulnerabilidades de día cero, una parte significativa de los ataques de ingeniería social puede frenarse simplemente dificultando, desde el principio, la suplantación de remitentes de confianza. Cuando se configuran e implementan bien, SPF, DKIM y DMARC:

  • Reducen la entrega efectiva de correos falsificados,
  • Aumentan la visibilidad del abuso gracias a los informes agregados y forenses,
  • Incrementan el coste y el esfuerzo que los atacantes asumen para tener éxito,
  • Y refuerzan otras capas de seguridad, como la autenticación multifactor (MFA) y la formación en concienciación en ciberseguridad.

En un contexto en el que la identidad digital y la confianza están sometidas a ataques constantes, la autenticación del correo electrónico sigue siendo uno de los controles más eficaces, medibles y rentables que las empresas pueden implantar. Retrasar la adopción de DMARC equivale a dejar abierta la puerta principal frente a técnicas de phishing y BEC que llevan más de una década explotándose de forma sistemática.

Adoptar DMARC con una política de «reject» y garantizar una cobertura total de SPF y DKIM mejora la seguridad y la higiene del correo electrónico, y también reduce de forma significativa uno de los vectores de acceso inicial preferidos por los atacantes.

Las empresas que aún no lo hayan hecho deberían priorizar cuanto antes una estrategia sólida de autenticación del correo electrónico.

Principales incidentes y acontecimientos del sector

Nike sufre una importante filtración de datos tras una extorsión con ransomware

A finales de enero los informes revelaron que Nike había sido víctima de una grave brecha de seguridad. Un grupo de extorsión que opera bajo el nombre World Leaks afirmó haber publicado en Internet aproximadamente 1,4 TB de datos corporativos internos. Según diversas informaciones, el conjunto completo de datos filtrados no se ha hecho público por el momento. En el momento de conocerse el incidente, Nike confirmó que estaba investigando lo ocurrido. Posteriormente, los actores de la amenaza retiraron el volcado de datos, lo que sugiere que podrían haberse llegado a un acuerdo privado, tal y como recoge el medio especializado Bleeping Computer.

Aunque hay pocos detalles confirmados, el volumen de información comprometida apunta a un posible acceso mucho más amplio que el de un único equipo afectado. Algunos informes indican incluso que podrían haberse visto implicados datos relacionados con procesos de fabricación. Los analistas señalan que la cantidad de información sustraída podría indicar un compromiso interno de mayor alcance, posiblemente vinculado al robo de credenciales o al acceso a sistemas internos de desarrollo y colaboración. Esto diferiría de los ataques tradicionales de ransomware centrados únicamente en cifrar los sistemas de producción para exigir un rescate.

Por qué es importante

Cada vez es más habitual que los atacantes no se limiten a cifrar sistemas, sino que primero roben información y amenacen con hacerla pública. El objetivo no es solo paralizar la actividad, sino presionar a empresas grandes con exponer datos sensibles. En estos casos, activos como la propiedad intelectual, las herramientas internas o el código fuente pueden ser tan valiosos (o más) que los propios sistemas. Aunque no se hayan filtrado datos financieros de clientes (según la información disponible hasta ahora), la publicación de información interna puede abrir la puerta a nuevos ataques, afectar a partners y proveedores o generar un perjuicio competitivo. Este caso demuestra que la extorsión digital está cambiando. Ya no se trata solo de recuperar sistemas a partir de una copia de seguridad, sino de evitar que los datos salgan de la empresa. Por eso, además de contar con copias de seguridad y planes de recuperación, es fundamental reforzar el control de accesos y proteger la información sensible.

Vulnerabilidad de día cero en Microsoft Office explotada activamente

En enero, Microsoft tuvo que actuar rápido para corregir una vulnerabilidad de día cero en Microsoft Office que estaba siendo explotada. Esto obligó a publicar una actualización de seguridad fuera del ciclo habitual de Patch Tuesday. Según informó TechRadar, los atacantes aprovecharon la vulnerabilidad CVE-2026-21509, que permitía que documentos de Office manipulados eludieran los controles de seguridad locales. Este incidente confirma una tendencia desde hace años: las aplicaciones de Office siguen siendo una vía de acceso inicial eficaz para los atacantes.

La explotación se produjo antes de que el parche estuviera disponible, lo que obligó a muchas empresas a reaccionar con urgencia y, en ciertos casos, a cambiar sus procesos habituales de gestión de parches y control de cambios. Como pasa en muchos ataques relacionados con Office, el phishing fue el principal método de distribución de los documentos maliciosos, aumentando las probabilidades de éxito en entornos empresariales reales.

Por qué es importante

Las vulnerabilidades de día cero en Office combinan dos factores críticos: alcance y rapidez. Cuando la explotación ya está en marcha, el tiempo entre la divulgación del fallo y el compromiso de los sistemas es muy corto, especialmente en empresas con un uso intensivo del correo electrónico. Además, las actualizaciones fuera de ciclo incrementan la presión sobre los equipos técnicos. Esto pone de relieve la necesidad de contar con medidas de seguridad en varias capas que no dependan únicamente de la aplicación de parches para frenar los ataques basados en documentos.

Vulnerabilidades de alta gravedad en n8n permiten la ejecución remota de código autenticada

Los investigadores de seguridad han revelado dos vulnerabilidades de alta gravedad en n8n, una plataforma de automatización de flujos de trabajo de código abierto muy popular. Estos fallos permiten que usuarios autenticados ejecuten un código de forma remota en el servidor subyacente. The Hacker News explica que estas vulnerabilidades pueden explotarse si un atacante consigue credenciales válidas. Y si bien ambos fallos requieren que el usuario esté autenticado, el robo de credenciales es una práctica habitual con phishing, reutilización de contraseñas o sustracción de tokens OAuth.

Los dos identificadores CVE afectados son:

Como n8n suele utilizarse como centro de automatización, suele almacenar claves API, secretos y accesos privilegiados a múltiples plataformas SaaS. Por ello, una explotación con éxito podría permitir a los atacantes desplazarse hacia otros servicios conectados, en lugar de limitarse a un único sistema.

Por qué es importante

Las plataformas de automatización se están convirtiendo en un elemento clave dentro de los entornos tecnológicos actuales. Una vulnerabilidad de ejecución remota de código (RCE) en herramientas como n8n no compromete únicamente un servidor, sino que puede poner en riesgo cadenas completas de confianza en servicios SaaS conectados. Este caso pone de manifiesto que las plataformas de automatización e integración de flujos de trabajo deben recibir el mismo nivel de atención en materia de seguridad que la infraestructura principal y los sistemas de identidad. Su amplio alcance y los accesos privilegiados que gestionan así lo requieren.

Descubrimiento asistido por IA de múltiples vulnerabilidades en OpenSSL

El sector ha estado recibiendo una avalancha de funcionalidades basadas en IA, aun así, las empresas y equipos de seguridad buscan ejemplos concretos que demuestren su utilidad real. En enero, los expertos anunciaron el descubrimiento de varias vulnerabilidades hasta entonces desconocidas en OpenSSL a través de técnicas de análisis asistidas por inteligencia artificial.

Según informó TechRadar, los resultados mostraron cómo la IA puede combinarse de forma eficaz con la experiencia humana para identificar fallos sutiles relacionados con la criptografía y la gestión de memoria en una de las bibliotecas de seguridad más utilizadas a nivel mundial.

Aunque ninguno de los problemas detectados provocó de inmediato una explotación masiva, la investigación generó preocupación por la amplia presencia de OpenSSL en sistemas operativos, dispositivos y aplicaciones. Incluso vulnerabilidades de menor gravedad en una biblioteca tan extendida pueden implicar un riesgo significativo.

Por qué es importante

Este avance pone de manifiesto una realidad con dos caras: por un lado, la IA ayuda a expertos a identificar vulnerabilidades con mayor rapidez, lo cual es una GRAN noticia. Por otro lado, los atacantes pueden recurrir a las mismas técnicas. Conforme el descubrimiento de vulnerabilidades asistido por IA avance, es probable que se reduzca el tiempo entre la identificación de un fallo y su explotación, sobre todo en componentes básicos como OpenSSL, que siguen siendo objetivos de alto valor.

Predicciones para los próximos meses

  • La extorsión sin cifrado se convertirá en la norma. El incidente de Nike refleja una tendencia clara entre los actores de amenazas: priorizar el robo de datos antes que el cifrado de sistemas. Seguramente muchos atacantes prescindiránn del cifrado y se centrarán en sustraer propiedad intelectual, documentación interna o código fuente para aumentar su capacidad de presión.
  • Los ataques de suplantación por correo continuarán donde la adopción de DMARC sea baja. Las empresas sin políticas DMARC aplicadas seguirán siendo un objetivo preferente para campañas de phishing y BEC. Los atacantes suelen optar por las vías más sencillas para suplantar identidades. Una buena configuración de la autenticación del correo reduce muchísimo este riesgo.
  • Las plataformas de flujos de trabajo e integración serán cada vez más atacadas. Algunas herramientas como n8n ocupan una posición central en los ecosistemas SaaS y suelen almacenar credenciales con amplios privilegios sobre otros sistemas del entorno. A medida que aumente su uso, también lo hará el interés de los atacantes, especialmente en escenarios donde el robo de credenciales y el abuso de OAuth se utilicen como primer paso.
  • Las vulnerabilidades de día cero en Office seguirán convirtiéndose rápidamente en armas. Las vulnerabilidades basadas en documentos son atractivas por su alcance y eficacia. Es probable que continúe la explotación rápida, en muchos casos antes de que las empresas desplieguen completamente los parches.
  • La IA acortará los plazos entre descubrimiento y explotación de vulnerabilidades. Conforme la investigación asistida por IA aumente, el tiempo entre la detección de una vulnerabilidad y su explotación en entornos reales se reducirá, sobre todo en componentes de larga trayectoria como OpenSSL.
  • Los equipos de seguridad afrontarán más presión operativa. El aumento de actualizaciones fuera de ciclo, la aceleración de los tiempos de explotación y la expansión de la superficie de ataque seguirán poniendo a prueba los procesos de gestión de parches, control de cambios y respuesta ante incidentes.

Recomendaciones mensuales

  • Aplicar DMARC con política de «reject». Las empresas deben ir más allá de las configuraciones de monitorización y aplicar políticas DMARC de rechazo respaldadas por una cobertura completa de SPF y DKIM para reducir el riesgo de suplantación y falsificación.
  • Tratar la protección de datos internos como un control frente al ransomware. Dado el aumento de la extorsión basada en el robo de datos, hay que centrarse en los controles de acceso, el principio de mínimo privilegio y la supervisión de exfiltraciones masivas de datos. Tampoco olvides usar estrategias adecuadas de copia de seguridad y recuperación. El que algunos actores de amenazas omitian la fase de cifrado NO significa que el ransomware deje de ser una amenaza. Las empresas deben prepararse en consecuencia.
  • Acelerar la respuesta ante vulnerabilidades de Office. Las vulnerabilidades de Office explotadas activamente requieren atención inmediata. Las defensas en capas, como el sandboxing de archivos adjuntos, la reescritura de enlaces y la formación en concienciación de los usuarios, son fundamentales durante los periodos en los que aún no se han aplicado los parches.
  • Auditar las plataformas de automatización y flujos de trabajo. Revisar herramientas como n8n en cuanto a nivel de parches, higiene de credenciales y alcance de los accesos. Estas plataformas deben tratarse como componentes de infraestructura de alto riesgo, no como herramientas de conveniencia.
  • Prepararse para ciclos de explotación más rápidos. Conforme el descubrimiento de vulnerabilidades asistido por IA evolucione, las empresas deben asumir que dispondrán de menos tiempo entre la divulgación y la explotación, especialmente en bibliotecas y servicios ampliamente desplegados.
  • Invertir en formación en concienciación sobre seguridad. Los ataques basados en el correo electrónico son eficaces en gran medida debido al factor humano. Formar a los usuarios para reconocer la suplantación de identidad, el fraude en pagos y los documentos maliciosos es una gran inversión defensiva.

Acerca de Hornetsecurity

Hornetsecurity es un proveedor líder mundial de soluciones de seguridad, cumplimiento normativo, backup y concienciación sobre seguridad de última generación, basadas en la nube y que ayuda a empresas y organizaciones de todos los tamaños en todo el mundo. Su producto estrella, 365 Total Protection, es la solución de seguridad en la nube para Microsoft 365 más completa del mercado. Impulsada por la innovación y la excelencia en ciberseguridad, Hornetsecurity está construyendo un futuro digital más seguro y una cultura de seguridad sostenible gracias a su galardonado portfolio. Hornetsecurity opera en más de 120 países a través de su red de distribución internacional de más de 12.000 partners y MSPs. Sus servicios premium son utilizados por más de 125.000 clientes. Para más información, visite hornetsecurity.com 

También le puede interesar