Phishing en 2025: ¿Están preparadas las defensas de sus clientes para la próxima ola?

Los ataques de phishing siguen siendo una de las amenazas de ciberseguridad más generalizadas y dañinas. Al engañar a las personas para que revelen información sensible, como credenciales de correo electrónico, estos ataques no solo resultan en pérdidas financieras directas, sino que también abren la puerta a delitos cibernéticos más sofisticados.

Solo en 2023, el Centro de Quejas de Delitos en Internet de EE. UU. (IC3) recibió 880.418 quejas del público estadounidense, con pérdidas potenciales que superan los 12.500 millones de dólares. Mientras tanto, líderes mundiales en ciberseguridad como Barracuda han observado un aumento preocupante en la actividad de phishing, con tácticas cada vez más avanzadas que hacen que estos ataques sean más difíciles de detectar y más devastadores para las víctimas.

Por ejemplo, a principios de este año, Barracuda señaló la evolución de Tycoon 2FA, un kit de phishing como servicio (PhaaS) utilizado para crear ataques altamente efectivos. Tycoon 2FA no solo puede frustrar la autenticación multifactor (MFA), sino que también aprovecha cuentas de correo electrónico legítimas, código fuente obstructivo y la capacidad de detectar y bloquear scripts de seguridad automatizados.

Tendencias de phishing que necesitas conocer

En 2025, hay cinco tendencias principales de phishing que los MSP deben conocer y prepararse para afrontar.

Los kits de phishing como servicio (PhaaS) serán más comunes, como el descrito anteriormente. Según los datos de Barracuda, el 30% de los ataques de credenciales en 2024 utilizaron PhaaS, lo que podría aumentar al 50% en 2025. Además, estas herramientas están evolucionando para robar códigos MFA.

Los ataques de extorsión dirigidos aumentarán. Estos ataques dirigidos presentarán apelaciones emocionales más personalizadas basadas en un análisis del historial de redes sociales y comunicación del destinatario, con un aumento en ataques de extorsión/sextorsión y solicitudes de pagos de mayor valor monetario. Estos ataques también utilizarán cada vez más información pública de redes sociales, incluyendo Google Street View y fotos personales compartidas en diversas plataformas vulnerables. Esto los hace más fáciles de escalar y personalizar con la ayuda de IA generativa.

Los ataques serán más difíciles de detectar y detener. Se espera que los MSPs vean una implementación más amplia de técnicas evasivas como códigos QR basados en ASCII, URIs Blob y cambiar el contenido de phishing del cuerpo del correo electrónico a un archivo adjunto. Los códigos QR y el phishing de correo de voz ya representan el 20 % de las detecciones de phishing, y estas tácticas aumentarán a medida que los delincuentes encuentren éxito con ellas. Además, los atacantes incrustan contenido de phishing en archivos adjuntos HTML o PDF, lo que deja el cuerpo del correo electrónico en blanco o al menos contiene muy poco texto que desencadenaría una alerta de seguridad mediante análisis de aprendizaje automático.

Los atacantes aprovecharán las plataformas de creación de contenido y publicación digital. Según Barracuda, aproximadamente el 10% de los ataques de phishing detectados en 2024 se alojaron en sitios de CCP (plataforma de creación de contenido) o DDP (publicación de documentos digitales). Los atacantes también utilizaron estas plataformas para crear imitaciones legítimas de plataformas para compartir archivos. Esto continuará en 2025, ya que los atacantes utilizarán estas herramientas para reducir el costo y la complejidad de crear páginas de phishing.

La IA se utilizará para mejorar el éxito de los ataques de phishing. La investigación de Harvard Business Review en 2024 encontró que el 60% de los participantes habían sido víctimas de ataques de phishing automatizados por IA. La IA puede hacer que estos ataques sean mucho más difíciles de detectar al mejorar la calidad del texto en el mensaje malicioso. Con la IA, los atacantes pueden crear mensajes con contenido personalizado, gramática precisa y apelaciones emocionales similares a las humanas basadas en un análisis de las redes sociales y el historial de comunicación del destinatario. La IA también puede generar imágenes deepfake, mensajes de voz y mensajes para engañar a las víctimas. El FBI emitió una advertencia sobre ataques basados en IA el año pasado, y el Harvard Business Review informó que el phishing basado en IA fue un 60% efectivo para engañar a las víctimas mientras reducía el costo de los ataques en un 95%.

La protección contra el phishing debe evolucionar

Debido a que el phishing sigue siendo una forma relativamente económica, de bajo nivel de habilidad, rápida y fácil de comprometer a los usuarios y redes con un alto grado de éxito, los MSP y sus clientes deben estar preparados para abordar estas tendencias emergentes.

Los ataques de phishing están volviéndose más variados, oportunistas y sofisticados. Es esencial tener estrategias de defensa ágiles, innovadoras y multinivel, y fomentar una cultura de seguridad sólida para mantenerse por delante de esta amenaza en constante evolución.

Esas soluciones deben incluir MFA, protocolos avanzados de autenticación de correo electrónico como DMARC y herramientas avanzadas de análisis basadas en IA que puedan "aprender" las tácticas utilizadas por los atacantes y mejorar su capacidad para identificar correos electrónicos maliciosos. Las organizaciones también deben llevar a cabo sesiones regulares de formación en concienciación de seguridad con contenido actualizado para educar a los empleados sobre las amenazas más recientes y proporcionar un proceso de reporte claro cuando detecten un correo electrónico sospechoso.