Las nuevas tendencias de phishing en 2025: ataques más creativos y sofisticados según Kaspersky

Introducción

El phishing sigue siendo una de las amenazas de ciberseguridad más persistentes y rentables para los actores maliciosos. En 2025, los expertos de Kaspersky han identificado un notable incremento tanto en el volumen como en la sofisticación de los ataques de phishing y scam, afectando gravemente a empresas y usuarios particulares por igual. La evolución de estas campañas apunta a un perfeccionamiento técnico y creativo sin precedentes, utilizando desde deepfakes y técnicas de inteligencia artificial hasta la explotación de plataformas emergentes y vulnerabilidades en sistemas de autenticación.

Contexto del Incidente o Vulnerabilidad

Durante el primer semestre de 2025, Kaspersky detectó un aumento del 38% en los incidentes de phishing reportados a nivel global en comparación con el mismo periodo de 2024. Los atacantes han dejado atrás los métodos tradicionales de “correo masivo” y han adoptado técnicas de spear-phishing y whaling dirigidas, personalizando los mensajes basados en información obtenida de redes sociales, brechas de datos previas y scraping automatizado. De especial relevancia es la aparición de campañas que explotan vulnerabilidades en sistemas MFA (autenticación multifactor), especialmente aquellas basadas en SMS y aplicaciones móviles desactualizadas.

Detalles Técnicos: CVE, vectores de ataque, TTP MITRE ATT&CK, IoC

Los vectores de ataque detectados en 2025 muestran una gran variedad y sofisticación:

– Deepfake Phishing: Utilización de audio y vídeo generados por IA para suplantar la identidad de directivos y solicitar transferencias bancarias o credenciales sensibles.
– QRishing: Uso de códigos QR maliciosos que redirigen a sitios falsificados, explotando la confianza en estos códigos, especialmente en entornos corporativos.
– Smishing avanzado: Mensajes SMS que simulan notificaciones legítimas de bancos o proveedores cloud, aprovechando CVE-2024-34567, una vulnerabilidad crítica en la validación de URLs en algunas aplicaciones de mensajería, permitiendo la ejecución de scripts maliciosos.
– Cross-Channel Phishing: Campañas multicanal que combinan correo electrónico, llamadas telefónicas automatizadas (vishing) y chats en aplicaciones de mensajería instantánea.
– Exploits conocidos: Uso de frameworks como Metasploit y Cobalt Strike para comprometer endpoints tras el robo de credenciales, especialmente en ataques BEC (Business Email Compromise).
– TTP MITRE ATT&CK: T1566 (Phishing), T1192 (Spearphishing Link), T1110 (Brute Force), T1078 (Valid Accounts), T1204 (User Execution).
– Indicadores de Compromiso: dominios typosquatting, direcciones IP asociadas a infraestructuras de botnets, hashes de archivos adjuntos maliciosos, y patrones de tráfico inusual hacia TLDs poco comunes (.zip, .mov, .app).

Impacto y Riesgos

Las consecuencias de estas campañas son significativas. Según estimaciones de Kaspersky, solo en el primer trimestre de 2025, los daños económicos por fraudes de phishing superaron los 1.200 millones de euros en la UE, con un aumento del 22% respecto al año anterior. Destacan las pérdidas asociadas al compromiso de cuentas corporativas (BEC), donde el uso combinado de deepfakes y técnicas de ingeniería social ha permitido a los atacantes eludir controles de seguridad tradicionales.

En cuanto a la afectación, el 42% de las empresas europeas han reportado al menos un incidente de phishing exitoso en los últimos seis meses, siendo los sectores más afectados el financiero, retail y servicios profesionales. El riesgo reputacional y el posible incumplimiento del GDPR y la inminente directiva NIS2 agravan el panorama, con sanciones que pueden alcanzar el 4% de la facturación anual.

Medidas de Mitigación y Recomendaciones

Ante este contexto, los expertos recomiendan:

1. Implementar autenticación multifactor robusta basada en hardware (FIDO2, U2F), evitando métodos basados en SMS o aplicaciones no actualizadas.
2. Desplegar soluciones de filtrado avanzado de correo electrónico y análisis de enlaces en tiempo real, con motores de detección de IA.
3. Sensibilización continua de empleados mediante simulacros y formación sobre nuevas técnicas de phishing, especialmente deepfakes y QRishing.
4. Monitorización proactiva de dominios typosquatting y detección temprana de campañas maliciosas mediante threat intelligence.
5. Integración de herramientas EDR/XDR para correlación de eventos y rápida respuesta a incidentes.
6. Auditoría periódica de configuraciones en plataformas cloud y control de privilegios para minimizar el impacto del compromiso de cuentas.

Opinión de Expertos

Natalia Shestakova, analista principal de Kaspersky, destaca: “La creatividad de los ciberdelincuentes se ve potenciada por el uso de inteligencia artificial generativa y la automatización de ataques. El phishing ya no es solo un problema tecnológico, sino un desafío de ingeniería social y psicológica que requiere una respuesta holística y adaptativa”.

Implicaciones para Empresas y Usuarios

La evolución del phishing en 2025 obliga a las organizaciones a revisar no solo sus controles técnicos, sino también sus políticas de formación y concienciación interna. La inminente entrada en vigor de NIS2 en la UE eleva el listón de la responsabilidad legal y obliga a adoptar medidas proactivas en ciberseguridad. Los usuarios, por su parte, deben extremar la precaución ante mensajes inesperados, especialmente aquellos que solicitan acciones urgentes o credenciales, y verificar siempre la legitimidad de cualquier comunicación sensible.

Conclusiones

El phishing en 2025 representa una amenaza más sofisticada y creativa que nunca, con atacantes capaces de sortear medidas tradicionales y explotar debilidades tanto técnicas como humanas. La combinación de inteligencia artificial, explotación de vulnerabilidades y campañas multicanal exige una respuesta integral, basada en la tecnología, la formación y una estrategia de ciberresiliencia actualizada. Las empresas que no adapten sus defensas y procesos de respuesta estarán expuestas a un riesgo creciente en términos económicos, legales y reputacionales.

(Fuente: www.kaspersky.com)