Según el último informe de telemetría de Kaspersky, en 2025 casi uno de cada dos correos electrónicos, el 44,99% del tráfico global, fue spam. Este tipo de mensajes no se limita al correo no solicitado, sino que incluye distintas amenazas como estafas, phishing y malware.
A lo largo del año, usuarios particulares y corporativos se enfrentaron a más de 144 millones de archivos adjuntos maliciosos o potencialmente no deseados enviados por correo electrónico, lo que supone un incremento del 15% respecto al año anterior.
Regiones y países más afectados por campañas de correo malicioso
En 2025, la región de Asia-Pacífico ha concentrado la mayor proporción de detecciones del antivirus de correo electrónico, con un 30%, seguida de Europa (21%). A continuación, se situaron Latinoamérica (16%), Oriente Medio (15%), Rusia y la CEI (12%) y África (6%).
Por países, China ha registrado la mayor tasa de archivos adjuntos maliciosos y potencialmente no deseados, con un 14% del total de detecciones de antivirus de correo electrónico. Le siguieron Rusia (11%), México (8%), España (8%) y Turquía (5%).
Las detecciones de ciberamenazas por correo electrónico alcanzaron picos moderados en los meses de junio, julio y noviembre.
Principales tendencias en spam y phishing por correo electrónico
El análisis anual de Kaspersky identifica varias tendencias persistentes en el panorama del spam y el phishing por correo electrónico, que previsiblemente continuarán a lo largo de 2026.
Una de ellas es la combinación de distintos canales de comunicación. Los ciberdelincuentes utilizan el correo electrónico como punto de entrada para redirigir a las víctimas hacia aplicaciones de mensajería o llamadas telefónicas fraudulentas. Por ejemplo, algunas campañas de inversión falsa conducen a sitios web fraudulentos donde se solicita información de contacto, tras lo cual los ciberdelincuentes continúan el engaño mediante una llamada telefónica.
Otra tendencia es el uso de técnicas de evasión cada vez más sofisticadas en correos maliciosos y de phishing. Los actores maliciosos tratan de ocultar las URL fraudulentas recurriendo, por ejemplo, a servicios de protección de enlaces o códigos QR. Estos códigos suelen integrarse directamente en el cuerpo del correo o en archivos PDF adjuntos, lo que no solo oculta el enlace malicioso, sino que anima a los usuarios a escanearlos desde dispositivos móviles, que a menudo cuentan con medidas de seguridad menos robustas que los equipos corporativos.
También se observa un uso creciente de plataformas legítimas como vector de ataque. Los expertos de Kaspersky detectaron una técnica fraudulenta que abusa de las funciones de creación de organizaciones e invitaciones a equipos de OpenAI para enviar correos spam desde direcciones legítimas, con el objetivo de inducir a los usuarios a hacer clic en enlaces fraudulentos o llamar a números de teléfono falsos. Además, el phishing basado en calendarios, una técnica que surgió a finales de la década de 2010, reapareció el año pasado con un foco especial en usuarios corporativos.
Los expertos también han detectado campañas que suplantan servicios digitales populares para robar credenciales. Entre ellas, intentos de phishing que ofrecen supuestas suscripciones gratuitas a Telegram Premium y redirigen a páginas falsas donde se solicita el número de teléfono y el código de verificación del usuario.
En el ámbito del business email compromise (BEC), los ciberdelincuentes han afinado sus tácticas incorporando correos supuestamente reenviados dentro de sus mensajes. Estos correos carecen de determinados encabezados técnicos, lo que dificulta verificar su autenticidad dentro de una conversación de correo electrónico.
“El phishing por correo electrónico no debe subestimarse. Nuestro informe revela que uno de cada diez ataques dirigidos a empresas comienza con phishing, y una parte significativa corresponde a amenazas persistentes avanzadas (APT). En 2025 observamos un aumento en la sofisticación de los ataques por correo electrónico dirigidos. Incluso los detalles más pequeños se cuidan al máximo, desde la composición de las direcciones del remitente hasta la adaptación del contenido a eventos y procesos corporativos reales. La popularización de la inteligencia artificial generativa ha amplificado notablemente esta amenaza, permitiendo a los ciberdelincuentes crear mensajes de phishing convincentes y personalizados a gran escala, con un esfuerzo mínimo, ajustando automáticamente el tono, el idioma y el contexto a cada objetivo”, afirma Roman Dedenok, experto en antispam de Kaspersky.
Recomendaciones de seguridad
- Desconfiar de invitaciones no solicitadas procedentes de cualquier plataforma, incluso si aparentan provenir de fuentes legítimas.
- Revisar cuidadosamente las URL antes de hacer clic en enlaces incluidos en correos electrónicos.
- No llamar a números de teléfono indicados en mensajes sospechosos. Si es necesario contactar con el servicio de soporte de una plataforma, conviene buscar el número en su página web oficial.
- En entornos corporativos, utilizar soluciones de seguridad para servidores de correo con mecanismos de defensa multicapa basados en aprendizaje automático, capaces de detectar amenazas avanzadas.
- Asegurarse de que todos los dispositivos de los empleados, incluidos los smartphones, cuentan con soluciones de seguridad adecuadas.
- Realizar formaciones periódicas para concienciar a los empleados sobre las técnicas de phishing más recientes y los métodos de engaño utilizados en campañas de correo electrónico malicioso.
