Microsoft alertó sobre la detección de 8,300 millones de intentos de ataques de 'phishing' a través del correo electrónico durante el primer trimestre de 2026, liderados por el uso de códigos QR y sistemas 'captcha', lo que consolidó estas técnicas como una de las principales puertas de entrada para los ciberdelincuentes.

El análisis fue realizado por el equipo de Microsoft Threat Intelligence, que examinó la evolución de estas amenazas entre enero y marzo, así como los cambios en las tácticas utilizadas para evadir la detección y robar credenciales. 

Los códigos QR se consolidan como el vector de ataque de mayor crecimiento

Durante los tres primeros meses del año se detectaron aproximadamente 8,300 millones de amenazas, con una ligera disminución mensual: de 2,900 millones en enero a 2,600 millones en marzo.

Dentro de estas cifras, el phishing mediante códigos QR se posicionó como "el vector de ataque de mayor crecimiento", al duplicarse su uso de 7.6 millones en enero a 18.7 millones en marzo, lo que representa un aumento de 146 por ciento.

Estos ataques consisten en insertar enlaces maliciosos dentro de códigos QR incluidos en imágenes o archivos adjuntos, redirigiendo a las víctimas a sitios fraudulentos, principalmente desde dispositivos móviles.

Además, los ciberdelincuentes modificaron su estrategia al incrustar estos códigos en archivos PDF, elevando su uso del 65 por ciento en enero al 70 por ciento en marzo, con el objetivo de evitar los sistemas de detección.

Reporte Microsoft: Alerta Phishing

Primer trimestre 2026

8.3 MM

Ataques detectados en el Q1

Vectores con Mayor Crecimiento:

Códigos QR (Quishing) +146%

Marzo: 18.7 Millones

Sistemas 'Captcha' +125%

Total Q1: 11.9M

Aumentan los ataques que utilizan sistemas 'captcha'

Otra técnica en crecimiento fue el uso de procesos 'captcha' como parte de campañas de phishing, con un incremento de 125 por ciento en marzo.

Este método funciona como un señuelo visual que aparenta ser una verificación legítima, pero en realidad oculta contenido malicioso. Microsoft explicó que "al obligar a los usuarios a completar el 'captcha' antes de acceder al 'malware', reducen la probabilidad de detección automática".

En total, se identificaron 11.9 millones de ataques mediante este sistema, en los que los atacantes incorporan pasos que simulan verificaciones legítimas para manipular a los usuarios. 

El robo de credenciales, principal objetivo de los ataques

El informe señala que el 78 por ciento de las amenazas se basaron en enlaces maliciosos, mientras que las cargas útiles representaron el 19 por ciento en enero, reduciéndose a 13 por ciento en febrero y marzo.

El objetivo predominante sigue siendo el robo de credenciales, presente en entre 89 y 95 por ciento de los ataques, lo que evidencia un cambio hacia el compromiso de identidad de los usuarios.

Microsoft indicó que los atacantes muestran una preferencia creciente por ataques de phishing alojados en la nube, en lugar de malware tradicional ejecutado localmente.

 Desarticulación parcial de la plataforma Tycoon2FA

En marzo, Microsoft Digital Crimes Unit, en colaboración con Europol y socios del sector, lideró una operación contra la plataforma de phishing como servicio Tycoon2FA, lo que redujo su actividad en 15 por ciento durante ese mes.

También se registró una disminución en el acceso a páginas de phishing activas, limitando la eficacia de la plataforma.

Activa desde agosto de 2023, Tycoon2FA se convirtió en una de las plataformas más extendidas al emplear técnicas de ataque en el medio (AiTM) para evadir sistemas de autenticación multifactor.

El grupo responsable, identificado como Storm-1747, alquilaba infraestructura maliciosa y distribuía kits que imitaban páginas de inicio de sesión empresariales, incluyendo tácticas como páginas 'captcha' falsas.

Pese a la intervención, la plataforma logró adaptarse y continuar operando mediante otros proveedores, cambiando sus patrones de registro de dominios. Microsoft señaló que se trata de "una recuperación parcial" de sus operaciones y no de una restauración completa.