Un aviso del FBI/IC3 destacó más de 262 millones de dólares en pérdidas reportadas por toma de cuentas (ATO) en 2025, con más de 5.100 denuncias hasta la fecha. La oficina advirtió que los criminales usan cada vez más ingeniería social, smishing/vishing y páginas de phishing con temática festiva para apoderarse de credenciales, códigos MFA y mover rápidamente fondos a billeteras de criptomonedas.

El aviso del Centro de Denuncias de Delitos en Internet (IC3) del FBI y los informes posteriores documentaron un fuerte aumento del fraude por secuestro de cuentas hasta 2025, representando más de $262 millones en pérdidas reportadas por víctimas y más de 5.100 denuncias hasta la fecha. Los atacantes se hacen pasar por soporte bancario o de nómina, centros de contacto y equipos internos de TI, aprovechando ingeniería social personalizada y fraudes de voz/texto en tiempo real para obtener contraseñas y códigos de autenticación multifactor. El aviso señaló una tendencia creciente: los actores de amenazas utilizan anzuelos de promociones festivas y sitios de phishing para acelerar la recopilación de credenciales y luego desvían los ingresos a billeteras de criptomonedas para ocultar rastros y blanquear fondos. La oficina instó a notificar rápidamente al IC3 y a las instituciones financieras, adoptar MFA resistente al phishing (tokens físicos o autenticadores basados en aplicaciones) e implementar una mejora en la monitorización de transacciones por parte de los bancos. Las orientaciones públicas enfatizaron no compartir nunca códigos de un solo uso, verificar las comunicaciones mediante números de teléfono establecidos y usar dispositivos o verificadores dedicados para acciones financieras sensibles para reducir la superficie de ataque del ATO durante las temporadas de compras de mayor actividad.