El laboratorio de investigación de ESET Latinoamérica ha alertado sobre un nuevo repunte de campañas de phishing que, bajo la excusa de un supuesto envío de paquetes, buscan engañar a los usuarios para obtener datos personales y bancarios. Este tipo de estafa digital ha mostrado un alto nivel de sofisticación, tanto en diseño como en el uso de ingeniería social, afectando a consumidores en toda la región, incluidos clientes de entidades bancarias.

El phishing es una técnica de cibercrimen mediante la cual los delincuentes se hacen pasar por empresas o instituciones reconocidas, enviando correos electrónicos, mensajes SMS o WhatsApp con enlaces que dirigen a páginas fraudulentas. Estas páginas simulan ser portales oficiales y solicitan información sensible como contraseñas, números de cuenta o tarjetas de crédito. En muchos casos, también incitan a realizar pagos falsos.

ESET ha detectado múltiples casos recientes donde los atacantes se hacen pasar por empresas de mensajería como FedEx, DHL, UPS o incluso crean identidades falsas como «Express Service». El mensaje suele advertir sobre un “problema con la entrega del paquete” y solicita al usuario que haga clic en un enlace para resolverlo. Una vez dentro, se solicita ingresar datos personales o realizar pagos que terminan en manos de los ciberdelincuentes.

Camilo Gutiérrez Amaya, jefe del Laboratorio de Investigación de ESET Latinoamérica, advierte: “Estos correos apelan a emociones como la urgencia, la ansiedad o el miedo. Frases como ‘Tu paquete está retenido’ o ‘Falta información para la entrega’ buscan generar reacciones impulsivas en el usuario”.

En este contexto, los bancos nacionales reiteran que nunca solicitan contraseñas, códigos de seguridad, datos bancarios ni validaciones de tarjetas a través de correos electrónicos, llamadas, mensajes de texto o enlaces externos. Toda comunicación oficial debe realizarse desde los canales propios de la entidad bancaria o mediante su app verificada.

Para mejorar la protección de datos, se recomienda el uso de gestores de contraseñas, herramientas seguras que almacenan, generan y completan contraseñas automáticamente, evitando así que el usuario tenga que escribirlas manualmente en sitios potencialmente falsos. Entre los más populares y confiables se encuentran:

• Bitwarden (https://bitwarden.com)
• 1Password (https://1password.com)
• LastPass (https://www.lastpass.com)
• Dashlane (https://www.dashlane.com)

¿Cómo usar un gestor de contraseñas?

1. Descarga e instala el gestor desde su sitio oficial o desde una tienda de aplicaciones segura.
2. Crea una cuenta maestra con una contraseña robusta, que será la única que debes recordar.
3. Importa o guarda manualmente tus contraseñas. Algunos gestores permiten importar desde navegadores.
4. Activa la verificación en dos pasos (2FA) para una capa adicional de seguridad.
5. Usa la extensión del navegador o la app móvil para autocompletar credenciales de forma segura.

Además, ESET sugiere estas recomendaciones para identificar correos maliciosos:

• Desconfiar de comunicaciones inesperadas o con un tono alarmista.
• Verificar si realmente se espera un paquete.
• Comprobar que el remitente sea legítimo.
• No ingresar información personal ni bancaria en enlaces dudosos.
• Observar si hay errores ortográficos o inconsistencias visuales en el mensaje.

FedEx y UPS, por su parte, han advertido desde sus portales oficiales que no solicitan pagos ni datos personales por medios no verificados. UPS, por ejemplo, recalca que no solicita “información financiera, contraseñas ni documentos de identidad por correo electrónico o teléfono”.

Finalmente, para quienes deseen mantenerse informados sobre seguridad digital, ESET pone a disposición el portal We Live Security y su podcast Conexión Segura, donde se abordan estos temas en profundidad.