Cómo evolucionaron los ataques de phishing en 2025

Temas principales en un ataque de PhaaS

Los temas de phishing más comunes incluían mensajes falsos de pago, financieros, legales, de firma digital y relacionados con RH todos diseñados para engañar a los usuarios y hacer clic en un enlace, escanear un código QR o abrir un archivo adjunto y compartir información personal con los atacantes. Son enfoques probados y comprobados que llevan años existiendo, que falsifican marcas de confianza como Microsoft, DocuSign, SharePoint y más. Siguen teniendo éxito a pesar de la creciente conciencia de los usuarios y las medidas de seguridad cada vez más avanzadas.

Estafas de pagos y facturas

Los atacantes utilizaron IA generativa para producir correos electrónicos y solicitudes de pago de "factura atrasada" muy convincentes que coincidían estrechamente con el tono, estilo e imagen del servicio legítimo al que se estaban suplantando.

Se incorporaron códigos QR en las facturas para desplazar a las víctimas de entornos de escritorio seguros a dispositivos móviles menos protegidos, aumentando las probabilidades de un ataque exitoso.

Estafas de buzon de voz (vishing)

Los correos electrónicos incluían enlaces a portales de "buzón de voz seguro" que recopilaban credenciales.

Los atacantes también utilizaron IA generativa para generar múltiples variantes de correos y scripts de phishing, ayudando a que los correos pasaran por alto la detección y aumentaran la credibilidad.

Se suplantaron direcciones de correo electrónico de confianza para que los ataques parecieran legítimos, e incluso copiaron el diseño y patrones familiares usados por servicios conocidos que gestionan notificaciones de buzón de voz.

Estafas de documentos finacieros y legales

Los atacantes usaron trucos de ingeniería social junto con IA generativa para eliminar cualquier error evidente que pudiera alertar a las víctimas. Al hacer que los mensajes resultaran más personales y adaptar constantemente sus patrones, dificultaron mucho que las víctimas distinguieran los correos maliciosos de los reales.

Los atacantes utilizaron técnicas de spear phishing para investigar cuidadosamente cada organización, obteniendo información sobre sus principales ejecutivos e imitándolos de cerca. En algunos casos, secuestraron o utilizaron cuentas comprometidas para engañar a los empleados y que aprobaran transferencias fraudulentas.

Estafas de revisión de firmas y documentos

Los atacantes se hicieron pasar por un número creciente de plataformas de confianza con una marca de alta calidad y demandas "urgentes" para revisar y firmar.

Incrustar códigos QR maliciosos en solicitudes de firma de aspecto auténtico trasladó el ataque a dispositivos móviles fuera del perímetro de seguridad corporativo.

Estafas relacionadas con RH (Beneficios, nóminas, manual del empleado)

Los ataques estaban alineados con los plazos fiscales y los ciclos de nómina para explotar la urgencia.

Los códigos QR estaban incrustados en las "actualizaciones de políticas" para saltarse los filtros de correo electrónico.

Técnicas populares utilizadas de phishing en 2025

Las técnicas utilizadas por los kits de phishing durante 2025 fueron variadas e ingeniosas. Entre ellos se encontraban:

• Ofuscaciones para ocultar URLs de la detección e inspección, observadas en el 48% de los ataques. Los atacantes también añadieron redirecciones abiertas y pasos de verificación humana, haciendo que las URLs de phishing parezcan auténticas y más difíciles de bloquear.
• Ataques que eluden la autenticación multifactor (MFA), por ejemplo, robando cookies de sesión (también observado en el 48% de los ataques).
• Ataques que aprovecharon el CAPTCHA para mayor autenticidad y para ocultar destinos sospechosos (43%).
• Códigos QR maliciosos (vistos en el 19%). Los atacantes empezaron a dividir los códigos QR en múltiples imágenes o a anidar códigos maliciosos dentro o alrededor de los legítimos para evadir la detección por parte de las herramientas de seguridad del correo electrónico.
• Ataques 'polimórficos' que variaban la cabecera, el cuerpo y el destino del correo para confundir o retrasar la detección (20%).
• Adjuntos maliciosos (18%).
• El abuso de plataformas online legítimas y de confianza, como las utilizadas para la colaboración o el diseño (10%).
• Ataques que aprovechan IA generativa, por ejemplo, el uso de plataformas no-code, CAPTCHAs generados por IA, comentarios y código (10%).
• El uso de 'URI de blob', un tipo de dirección web utilizada para almacenar datos localmente en memoria, dificulta la detección de ataques con medidas tradicionales (2%).
• El uso de técnicas de ingeniería social 'ClickFix', donde un usuario es engañado para ejecutar manualmente un comando malicioso (1%).