El nuevo informe de Kaspersky “Evolución de los ataques de phishing por correo electrónico: cómo los atacantes reutilizan y perfeccionan técnicas conocidas” revela cómo los ciberdelincuentes están refinando tácticas de phishing para atacar a particulares y empresas en 2025. Entre ellas destacan los ciberataques a través del calendario, los fraudes mediante mensajes de voz y los sofisticados mecanismos para evadir la autenticación multifactor (MFA).
Los hallazgos subrayan la necesidad de mantener la vigilancia del usuario, formar a los empleados y contar con soluciones avanzadas de protección del correo electrónico para hacer frente a estas amenazas persistentes
Phishing mediante invitaciones de calendario
Una táctica que se remonta a finales de la década de 2010 ha resurgido con fuerza en entornos B2B: el phishing basado en eventos de calendario. Los ciberdelincuentes envían correos con invitaciones a reuniones que no contienen texto en el cuerpo del mensaje, pero esconden enlaces maliciosos en la descripción del evento. Al abrirse, el evento se añade automáticamente al calendario del usuario, generando recordatorios que incitan a hacer clic en los enlaces, que redirigen a páginas falsas de inicio de sesión, como imitaciones de Microsoft. Si bien antes esta táctica apuntaba a usuarios de Google Calendar en campañas masivas, ahora su objetivo son empleados de oficina. Las organizaciones deberían ofrecer formación continua en concienciación sobre phishing, como talleres simulados, para enseñar a los trabajadores a verificar invitaciones inesperadas.
Fraudes con mensajes de voz y CAPTCHAs
Los ciberdelincuentes también están utilizando correos sencillos que simulan notificaciones de mensajes de voz, con poco texto y un enlace a una página de destino básica. Al hacer clic, se activa una cadena de verificaciones mediante CAPTCHA para eludir los sistemas automáticos de seguridad, dirigiendo finalmente al usuario a una página falsa de inicio de sesión de Google, que valida la dirección de correo y roba las credenciales. Este engaño por capas pone de relieve la importancia de incluir módulos interactivos sobre detección de enlaces sospechosos en los programas de formación para empleados, así como soluciones avanzadas de protección de correo capaces de detectar y bloquear este tipo de tácticas encubiertas.
Suplantación de servicios cloud para evadir MFA
Las campañas de phishing más sofisticadas están centrando sus esfuerzos en burlar los sistemas de autenticación multifactor. Lo hacen imitando servicios como pCloud (un proveedor de almacenamiento en la nube con cifrado, funciones para compartir archivos y copias de seguridad). Los ciberdelincuentes envían correos disfrazados de respuestas de soporte técnico, que remiten a páginas falsas de inicio de sesión en dominios similares (por ejemplo, pcloud.online). Estas páginas interactúan con el servicio real a través de su API, validando correos y solicitando contraseñas o códigos OTP, con lo que los ciberdelincuentes obtienen acceso a las cuentas. Para mitigar este riesgo, las organizaciones deberían implantar formaciones obligatorias en ciberseguridad y desplegar soluciones como Kaspersky Security for Mail Servers, capaces de identificar dominios fraudulentos y ataques basados en APIs.
“Con unas tácticas de phishing cada vez más engañosas, desde Kaspersky recomendamos extremar la precaución con archivos adjuntos inusuales, como PDF protegidos con contraseña o códigos QR, y verificar siempre la URL de la web antes de introducir credenciales. Las organizaciones deben implementar programas de formación integrales, con simulaciones reales y buenas prácticas para detectar intentos de phishing”, afirma Roman Dedenok, experto en antispam de Kaspersky.
