Microsoft detectó 8.300 millones de correos electrónicos de phishing en sólo tres meses. Pero la advertencia más importante es cómo están cambiando esos ataques.
Según Microsoft, las campañas de phishing utilizan cada vez más códigos QR, páginas CAPTCHA falsas, cargas útiles basadas en archivos y plataformas legítimas para evitar las defensas tradicionales del correo electrónico. El cambio ofrece a los atacantes más formas de ocultar enlaces maliciosos, ralentizar el análisis automatizado y escalar campañas con menos habilidades técnicas.
Para los equipos de seguridad, la conclusión es contundente: el phishing ya no es sólo un problema de la bandeja de entrada. Se está convirtiendo en una cadena de ataque modular que puede atravesar el correo electrónico, los sitios web, los servicios en la nube y la confianza humana antes de que aparezca la carga útil final.
El phishing como servicio comercializa ataques por correo electrónico
Los actores de amenazas ya no operan a pequeña escala. Los ataques de phishing se ejecutan cada vez más como servicios empaquetados y luego se reutilizan en múltiples campañas.
Uno de los ejemplos más importantes es Tycoon2FA, una plataforma de phishing como servicio que, según Microsoft, ha sido vinculada al grupo de amenazas Storm-1747. La plataforma vende o alquila kits de phishing que ayudan a los atacantes a lanzar campañas sin tener que construir su propia infraestructura desde cero.
microsoft dijo La actividad vinculada a Tycoon2FA cayó un 15% en marzo después de que Europol y sus socios interrumpieran partes de su infraestructura a principios de ese mes. Pero esa caída no significa que la amenaza haya desaparecido. Los hallazgos de Microsoft sugieren que las tácticas estilo Tycoon2FA se están extendiendo a otros kits y operadores.
Opción final
La conclusión práctica para los equipos de seguridad es que las defensas contra el phishing ya no pueden detenerse en el buzón de correo. Las organizaciones necesitan capacitación de usuarios, protección de enlaces y archivos adjuntos, controles de endpoints e inteligencia sobre amenazas actualizada para trabajar juntos, porque los atacantes ya están encadenando esos puntos débiles.
Las campañas de phishing combinan comprobaciones de CAPTCHA con cargas útiles basadas en archivos
El informe de Microsoft muestra una experimentación activa con métodos de entrega de carga útil. Esto es especialmente cierto en marzo, cuando dos meses de disminución en los ataques basados en CAPTCHA explotaron repentinamente a 11,9 millones de casos.
Las cargas útiles basadas en PDF aún encabezan las listas como el método de entrega más utilizado. En marzo, el malware entregado en PDF controlado por sitios CAPTCHA falsos aumentó un 356%. Le siguen las cargas útiles entregadas en HTML. Los siguientes en esa lista son las cargas útiles entregadas por DOC/DOCX, que se quintuplicaron en marzo, representando el 15% de todas las cargas útiles controladas con un CAPTCHA falso.
Las cargas útiles entregadas por SVG aumentaron en febrero después de meses de caída, y luego volvieron a caer en marzo. Las URL integradas en correos electrónicos siguieron un camino diferente: alguna vez dominaron el papel que ahora desempeñan los archivos PDF y experimentaron un nuevo aumento en marzo.
Una mirada más cercana a los ataques basados en CAPTCHA cuenta una historia silenciosa: incluso cuando las actividades generalmente alcanzaron su punto máximo en marzo, el dominio de Tycoon2FA como fuente confiable de piratería se debilitó. Lo que alguna vez albergó tres tercios de estos ataques basados en CAPTCHA a finales de 2025, a finales de marzo albergaba solo el 41%.
Si bien eso suena bien, las cifras más amplias indican un patrón preocupante. Los kits de herramientas obtenidos originalmente de Tycoon2FA ahora se están replicando en múltiples kits y operadores, lo que resultó en el pico registrado en marzo.
Cobertura de seguridad de lectura obligada
Mantenerse seguro en un panorama de phishing en rápida evolución
Mitigar estas amenazas requiere una estrategia combinada de esfuerzos humanos y defensas estratificadas.
Desde El phishing sigue siendo el más utilizado. vector de ataque, es necesario comenzar con aquello contra lo que las herramientas de seguridad no pueden proteger: vulnerabilidad humana.
El uso de ataques Business Email Compromise (BEC), que totalizaron 10,7 millones de ataques sólo en el primer trimestre, destaca a la hora de atacar las debilidades humanas. El informe revela que mensajes conversacionales como “¿Estás en tu escritorio?” tuvo tasas de éxito significativas y “representó entre el 82% y el 84% de los correos electrónicos de contacto inicial cada mes”.
La curiosidad humana y las promesas de recompensas monetarias también contribuyeron al aumento constante de las estafas BEC. La capacitación en concientización, las mejores prácticas de correo electrónico y las políticas organizacionales son estrategias que pueden ayudar a reducir las tasas de éxito de los ataques dirigidos a las debilidades humanas.
Sin embargo, los atacantes no sólo apuntan a las debilidades humanas. Han adoptado un enfoque en capas para sus ataques, con cada campaña integrada con técnicas de elusión de detección adaptadas a diferentes etapas de detección de seguridad. Como resultado, las organizaciones también deben responder con medidas de seguridad en capas para cumplirlas en cada etapa de sus intentos de eludir la detección.
Microsoft recomienda que las empresas que utilizan sistemas de correo electrónico activen vínculos seguros, autenticación sin contraseña, archivos adjuntos seguros y protección de red en todos los puntos finales. También recomienda utilizar SmartScreen para bloquear sitios web maliciosos y utilizar herramientas como Microsoft Defender 365.
También se recomienda a los equipos de seguridad que revisen periódicamente informes de inteligencia de amenazas para mantenerse informado sobre los últimos cambios que pueden afectar a sus organizaciones.
Para obtener más información sobre los riesgos urgentes del navegador, Google parcheó recientemente 30 vulnerabilidades de Chromeincluidas cuatro fallas críticas que podrían permitir a los atacantes tomar el control de los sistemas, lo que subraya la necesidad de actualizar de inmediato.
