Durante los últimos meses, el phishing se ha renovado bajo una variante que aprovecha el auge del comercio en línea: el reclamo de “problemas” con paquetes. Cibercriminales envían correos y mensajes fingiendo pertenecer a paqueterías como DHL, UPS o incluso “ExpressService”, una marca falsa con apariencia similar a FedEx, para engañar a usuarios y obtener datos personales o pagos irregulares .

El gancho típico juega con el sentido de urgencia: mensajes con asuntos como “Tu paquete está retenido” o “Falta información para la entrega” presionan al usuario a hacer clic sin pensar . Una vez que la víctima accede al enlace, se redirige a formularios falsos o se le pide pagar una supuesta cuota de aduana, y sus datos quedan en manos de los delincuentes.

En la Ciudad de México, esta modalidad —también llamada “paquetería fantasma”— aumentó un 222% en los primeros diez meses de 2024, según el Consejo Ciudadano. Las principales marcas suplantadas son Amazon (26 %) y DHL (14 %), pero también están Mercado Libre, Estafeta y Correos de México. En 25 % de los casos, la víctima entrega su código de WhatsApp, lo que permite el robo de cuentas y extorsión a sus contactos.

A nivel global, la tendencia no se detiene. Solo en 2024, Kaspersky detectó casi 900 millones de intentos de phishing, un aumento del 26 % respecto al año anterior. Mientras tanto, Cofense reporta un crecimiento de campañas maliciosas con dominios “.es” (España), ahora el tercero más usado tras .com y .ru, principalmente para robar credenciales.

Otro ángulo de ataque más sofisticado es el phishing dinámico, denunciado por ESET en mayo de 2025. Utiliza recursos externos para replicar logos oficiales y páginas de empresas, con el fin de que los enlaces sean difíciles de reconocer como falsos. Además, se han detectado campañas que combinan phishing con malware: un correo con un adjunto que aparenta ser una imagen, pero en realidad contiene un archivo malicioso con doble extensión (.jpg.exe), que instala programas espía como AgentTesla.

¿Cómo protegerse?

1. Verifica antes de creer: si no esperas nada, sospecha; revisa el remitente y compara con el dominio oficial.
2. No hagas clic ni descargues adjuntos: una regla básica que puede salvarte de abrir un archivo malicioso.
3. Valida directamente: abre la app o sitio oficial de la paquetería y rastrea tu envío con tu número de guía.
4. Activa la verificación en dos pasos en tus plataformas, especialmente WhatsApp y correo.
5. En CDMX, la app “No más extorsiones” bloquea más de 600 000 números fraudulentos.
6. Si detectas phishing, ESET permite reportarlo al correo samples@eset‑la.com, sin comentar el mensaje para facilitar el análisis.

Las paqueterías oficiales también se han pronunciado. FedEx recuerda que “no solicita pagos ni datos personales” por correo; UPS, que jamás pedirá contraseñas o detalles financieros, incluso telefónicos .

Descubre todo sobre noticias Puebla y de todo México visitando nuestra página principal.

foto cortesía 

xmh