Cada vez es más común escuchar casos de personas que intentaron descargar aplicaciones para ver
películas y series gratis y sus credenciales fueron robadas, o que entraron a sitios maliciosos desde un
enlace que les llegó por mail, simulando ser de una entidad conocida, e ingresaron sus datos
voluntariamente, aunque engañados. El equipo de ESET, compañía líder en detección proactiva de
amenazas, analiza como un enlace malicioso puede ser la puerta de entrada para una cadena de
engaños que requiere necesariamente de la acción de un usuario para ejecutarse.
““Entré a una página y me vaciaron la cuenta bancaria” es una de las frases más escuchadas luego de
que una persona cuenta su experiencia de haber sido “hackeado”. Pero, una simple visita a una web no
puede vaciar una cuenta bancaria por sí sola. Los navegadores no permiten acceso directo a las
credenciales bancarias o apps financieras sin interacción. Para que eso ocurra debe haber o un robo
previo de credenciales o un acceso remoto tras una instalación maliciosa.”, comenta Fabiana Ramírez
Cuenca, Investigadora de Seguridad Informática de ESET Latinoamérica.
Lo más probable, en caso de sospecha de robo mediante un clic, es que el usuario haya entrado a una
página falsa (creada por criminales para engañarlo) y haya introducido sus credenciales bancarias.
Podría ser una página falsa de compra y venta de productos, por ejemplo, o incluso una página que
suplante la identidad del banco. Una vez introducidas las credenciales, los atacantes se hacen con ellas y
de esa manera acceden a la cuenta de la víctima.
Otra posibilidad es que se haya ingresado un sitio que derive a descargar un archivo malicioso (scripts,
ejecutables, etc.), estos archivos podrían tener dentro de sus funcionalidades el recopilar información
del dispositivo, capturas de teclados, contraseñas almacenadas en el navegador y consecuentemente
permitiría que los cibercriminales se hagan con las credenciales.
Los criminales implementan métodos cada vez más sofisticados para poder atravesar las barreras de
seguridad, y pueden forzar la descarga de un archivo. Estas técnicas, como los llamados “drive-by
downloads”, malvertising o exploit kits, solo funcionan si el sistema del usuario tiene vulnerabilidades
técnicas sin corregir. Si el navegador, el sistema operativo o algún componente adicional (como plugins
o extensiones) está desactualizado o tiene fallas de seguridad, el clic puede bastar para iniciar una
infección sin que el usuario lo note.
Los tipos de ataques más comunes dependen de engañar al usuario o conseguir permisos indebidos
(ingeniería social) y del aprovechamiento de vulnerabilidades en sistemas o aplicaciones: Spyware, un
malware que en forma oculta “espía” a la víctima, recopilando datos de teclado, de navegadores, del
sistema, sacando captura de pantalla, grabando audio, entre muchas otras funcionalidades; Phishing /
Spear-phishing, son engaños vía email, mensajes de texto, redes sociales, para que el usuario entregue

ESET -Nota de Prensa

credenciales, información o ejecute acciones como descargar archivos o entrar a sitios falsos, y
Troyanos bancarios, que son un tipo de software malicioso orientado a obtener información bancaria o
financiera, como credenciales. Usualmente, capturan teclado, impersonan entidades bancarias
redirigiendo a sitios falsos, entre otros.
“Entonces, si bien es posible infectarse por solo hacer un clic, es importante aclarar cuáles son las
condiciones por las que esta situación puede suceder. Al hacer clic en un enlace, el navegador
simplemente carga una página web. Los sistemas modernos (Android, iOS, Chrome, Safari, etc.) tienen
barreras que impiden que un sitio instale software automáticamente. Por eso, con solo el clic no se
descarga ni ejecuta el malware, al menos en principio.”, agrega Ramirez Cuenca.
En el caso en que se sospeche que hubo acceso a cuentas bancarias, o a credenciales, o de hecho se ha
sufrido perdida de dinero, es recomendable:
 Cambiar contraseñas desde un dispositivo seguro.
 Avisar al banco o entidad financiera inmediatamente.
 Revisar movimientos de las cuentas y desactivar transferencias automáticas.
 Activar la autenticación de dos factores (2FA)
“La mayoría de los ataques que inician con ingeniería social requieren de la participación del usuario
con actividades como instalar, aceptar permisos o entregar información. A la hora de hacer clic es
importante tener cierto criterio y prestar atención a posibles señales de alerta. Está claro que como
humanos podemos ser engañados caer en estas amenazas. Por eso es importante contar con las
medidas de seguridad básicas, como contraseñas robustas, dobles factores de autenticación, sistemas y
aplicaciones actualizadas y siempre con contar con soluciones de seguridad como antivirus o
antiphishing capaces de detectar y detener potenciales comportamientos maliciosos.”, recomienda la
Investigadora de ESET Latinoamérica.
Para saber más sobre seguridad informática visite el portal corporativo de ESET:
https://www.welivesecurity.com/es/concientizacion/es-posible-infectarse-con-solo-hacer-clic/
Por otro lado, ESET invita a conocer Conexión Segura, su podcast para saber qué está ocurriendo en el
mundo de la seguridad informática. Para escucharlo ingrese a:

Visítanos en:
@ESETLA /company/eset-latinoamerica /esetla /ESETLA /@esetla
Acerca de ESET
ESET® proporciona seguridad digital de vanguardia para prevenir ataques antes de que ocurran. Al
combinar el poder de la IA y la experiencia humana, ESET® se anticipa a las ciberamenazas conocidas y
emergentes, asegurando empresas, infraestructuras críticas e individuos. Ya sea protección de
endpoints, nube o dispositivos móviles, sus soluciones y servicios nativos de IA y basados en la nube son
altamente efectivos y fáciles de usar. La tecnología de ESET incluye detección y respuesta sólidas, cifrado
ultraseguro y autenticación multifactor. Con defensa en tiempo real las 24 horas, los 7 días de la semana
y un sólido soporte local, mantiene a los usuarios seguros y a las empresas funcionando sin

ESET -Nota de Prensa

interrupciones. Un panorama digital en constante evolución exige un enfoque progresivo de la
seguridad: ESET® está comprometido con una investigación de clase mundial y una potente inteligencia
sobre amenazas, respaldada por centros de I+D y una sólida red global de socios. Para obtener más
información, visite https://www.eset.com/latam o síganos en LinkedIn, Facebook y Twitter.
Datos de Contacto de Comunicación y Prensa
Para más información se puede poner en contacto a través de prensa@eset-la.com o al +54 11 2150-
3700.
Copyright © 1992 – 2025. Todos los derechos reservados. ESET y NOD32 son marcas registradas de ESET.
Otros nombres y marcas son marcas registradas de sus respectivas empresas.