Phishing en 2025: ¿Están las defensas de tus clientes listas para la próxima ola?

Los ataques de phishing siguen siendo una de las amenazas de ciberseguridad más generalizadas y dañinas. Al engañar a las personas para que revelen información sensible, como credenciales de correo electrónico, estos ataques no solo resultan en pérdidas financieras directas, sino que también abren la puerta a cibercrímenes más sofisticados.

Solo en 2023, el Centro de Quejas de Delitos en Internet (IC3) de EE. UU. recibió 880,418 quejas del público estadounidense, con pérdidas potenciales que superan los 12.5 mil millones de dólares. Mientras tanto, líderes mundiales en ciberseguridad como Barracuda han observado un preocupante aumento en la actividad de phishing, con tácticas cada vez más avanzadas que hacen que estos ataques sean más difíciles de detectar y más devastadores para las víctimas.

Por ejemplo, a principios de este año, Barracuda notó la evolución de Tycoon 2FA, un kit de phishing como servicio (PhaaS) utilizado para crear ataques altamente efectivos. Tycoon 2FA no solo puede frustrar la autenticación multifactor (MFA), sino que también aprovecha cuentas de correo electrónico legítimas, código fuente obstructivo y la capacidad de detectar y bloquear scripts de seguridad automatizados.

Tendencias de phishing que necesitas conocer

En 2025, hay cinco tendencias principales de phishing que los MSP deben conocer y para las que deben prepararse.

Los kits de phishing como servicio (PhaaS) se volverán más comunes, como el descrito anteriormente. Según los datos de Barracuda, el 30% de los ataques de credenciales en 2024 utilizaron PhaaS, lo que podría aumentar al 50% en 2025. Además, estas herramientas están evolucionando para robar códigos MFA.

Aumentarán los ataques de extorsión dirigidos. Estos ataques dirigidos presentarán apelaciones emocionales más personalizadas basadas en un análisis de las redes sociales y el historial de comunicación del destinatario, con un aumento en los ataques de extorsión/sextorsión y la demanda de pagos de mayor valor monetario. Estos ataques también utilizarán cada vez más información pública de redes sociales, incluyendo Google Street View y fotos personales compartidas en varias plataformas vulnerables. Esto los hace más fáciles de escalar y personalizar con la ayuda de IA generativa.

Los ataques serán más difíciles de detectar y detener. Los MSP pueden esperar ver una implementación más amplia de técnicas evasivas como códigos QR basados en ASCII, URIs Blob y el cambio del contenido de phishing del cuerpo del correo electrónico a un archivo adjunto. Los códigos QR y el phishing por correo de voz ya representan el 20% de las detecciones de phishing, y estas tácticas aumentarán a medida que los criminales encuentren éxito con ellas. Además, los atacantes incrustan contenido de phishing en archivos adjuntos HTML o PDF, lo que deja el cuerpo del correo electrónico en blanco o al menos contiene muy poco texto que activaría una alerta de seguridad mediante análisis de aprendizaje automático.

Los atacantes aprovecharán las plataformas de creación de contenido y publicación digital. Según Barracuda, aproximadamente el 10% de los ataques de phishing detectados en 2024 se alojaron en sitios de CCP (plataforma de creación de contenido) o DDP (publicación de documentos digitales). Los atacantes también utilizaron estas plataformas para crear falsificaciones legítimas de plataformas de intercambio de archivos. Esto continuará en 2025 a medida que los atacantes utilicen estas herramientas para reducir el costo y la complejidad de crear páginas de phishing.

La IA se utilizará para mejorar el éxito de los ataques de phishing. La investigación de la Harvard Business Review en 2024 encontró que el 60% de los participantes habían sido víctimas de ataques de phishing automatizados por IA. La IA puede hacer que estos ataques sean mucho más difíciles de detectar al mejorar la calidad del texto en el mensaje malicioso. Con la IA, los atacantes pueden crear mensajes con contenido personalizado, gramática precisa y apelaciones emocionales similares a las humanas basadas en un análisis de las redes sociales y el historial de comunicación del destinatario. La IA también puede generar imágenes, correos de voz y mensajes deepfake para engañar a las víctimas. El FBI emitió una advertencia sobre ataques basados en IA el año pasado, y la Harvard Business Review informó que el phishing basado en IA fue 60% efectivo para engañar a las víctimas mientras reducía el costo de los ataques en un 95%.

La protección contra phishing debe evolucionar

Debido a que el phishing sigue siendo una forma relativamente económica, de bajo nivel de habilidad, rápida y fácil de comprometer a usuarios y redes con un alto grado de éxito, los MSP y sus clientes deben estar preparados para abordar estas tendencias emergentes.

Los ataques de phishing se están volviendo más variados, oportunistas y sofisticados. Es esencial tener estrategias de defensa ágiles, innovadoras y de múltiples capas y fomentar una cultura de seguridad sólida para mantenerse por delante de esta amenaza en constante evolución.

Esas soluciones deben incluir MFA, protocolos avanzados de autenticación de correo electrónico como DMARC, y herramientas avanzadas de análisis basadas en IA que puedan "aprender" las tácticas utilizadas por los atacantes y mejorar su capacidad para identificar correos electrónicos maliciosos. Las organizaciones también deben realizar sesiones regulares de capacitación en concienciación sobre seguridad con contenido actualizado para educar a los empleados sobre las últimas amenazas y proporcionar un proceso de reporte claro cuando detecten un correo electrónico sospechoso.