El correo electrónico sigue siendo la herramienta más efectiva de los cibercriminales. Según el último análisis de HP Wolf Security, la unidad de investigación en ciberseguridad de HP, este canal fue responsable del 57 % de todos los eventos de seguridad detectados durante el primer trimestre de 2026. Las descargas directas desde navegadores web ocupan el segundo lugar con el 24 %, mientras que otros canales como dispositivos externos y transferencias de red representan el 19 % restante. Lo preocupante es que el 11 % de las amenazas encontradas en buzones ya habían burlado exitosamente una o más capas de filtrado de seguridad antes de ser contenidas en los equipos finales.

Los cibercriminales están siendo cada vez más inteligentes al usar herramientas que las propias empresas consideran confiables. Los investigadores documentaron campañas que empleaban instaladores legítimos de LogMeIn y ScreenConnect, dos aplicaciones reales de acceso remoto, pero configuradas para conectarse a servidores controlados por los atacantes. Como estas son herramientas digitalmente firmadas y su tráfico de red parece normal, los sistemas de detección automática no generaban alertas. Los atacantes las enviaban por correo haciéndose pasar por notificaciones sobre asuntos fiscales, aprovechando que estas aplicaciones están aprobadas en las políticas de seguridad de muchas organizaciones.

En Centroamérica, HP Wolf Security detectó campañas específicas dirigidas a hablantes de español distribuyendo Loda RAT, un troyano de acceso remoto. El vector de entrada eran hojas de cálculo modificadas que simulaban estados de cuentas bancarias y solicitaban al usuario ejecutar macros para "ver la información oculta". Una técnica ingeniosa: el 80 % del archivo era código sin función real, solo para confundir a los antivirus. Una vez instalado, el malware se renombraba a sí mismo imitando nombres de programas antivirus nativos del sistema para pasar desapercibido.

Una tendencia particularmente creativa son los ataques ClickFix que usan extensiones de archivo de audio. Funcionan así: el usuario ve una ventana emergente que simula una verificación de seguridad. El atacante le da instrucciones paso a paso para presionar combinaciones de teclas específicas. Sin darse cuenta, la víctima descarga un archivo HTML disfrazado de archivo de audio que ejecuta el troyano Amatera Stealer. Este programa roba contraseñas guardadas en navegadores, cookies de sesión y las bases de datos de aplicaciones de billeteras digitales. Luego empaqueta toda esa información cifrada y la envía a servidores externos.

Los repositorios de código abierto también se han convertido en un paraíso para los cibercriminales. HP Wolf Security encontró herramientas maliciosas distribuidas como "aplicaciones legítimas para recuperar billeteras de criptomonedas perdidas". El análisis de su código revela que fueron generadas automaticamente usando modelos de lenguaje. Su verdadera función es capturar pantallazos constantemente, leer archivos de configuración de software de comunicación y recopilar contraseñas. Los datos robados se envían directamente a través de webhooks hacia canales de mensajería.

Finalmente, el informe detalla un aumento del 10 % en el uso de archivos PDF como puerta de entrada hacia descargas de malware. Algunos grupos como Global Group aprovechan que Windows oculta las extensiones de archivo por defecto para ejecutar comandos PowerShell que inician procesos de cifrado de datos. La conclusión es clara: los atacantes no necesitan exploits sofisticados ni vulnerabilidades desconocidas. Con herramientas legítimas, ingeniería social y archivos aparentemente inofensivos, logran acceso a redes corporativas que confían demasiado en sus sistemas de seguridad perimetral.