El correo electrónico sigue siendo una vía de entrada principal para los atacantes, y los equipos de seguridad siguen gestionando grandes volúmenes de mensajes maliciosos que cambian de forma según la campaña. Los atacantes generan grandes cantidades de mensajes con pequeñas variaciones en la redacción, la estructura y las rutas de entrega.
Los sistemas de IA se encuentran ahora en el centro de esta actividad, apoyando la generación, prueba y lanzamiento de campañas de phishing. El estudio de Cofense documenta este entorno tal como se presenta en las bandejas de entrada de las empresas, con un correo electrónico malicioso identificado en promedio cada 19 segundos durante 2025.
Las campañas de phishing suelen reutilizar la misma infraestructura, incluso cuando los correos electrónicos, enlaces y archivos parecen únicos cada vez. Esto dificulta la detección, ya que las puertas de enlace de correo electrónico, las herramientas de endpoints y los controles basados en firmas tienen dificultades para gestionar el gran volumen y la variación constante.
Páginas de phishing adaptativas y reconocimiento de dispositivos
Las páginas de phishing adaptan cada vez más su comportamiento al dispositivo y el entorno del visitante. Un mismo sitio de phishing puede ofrecer diferentes cargas útiles según el sistema operativo o el tipo de navegador. Los sistemas Windows reciben malware ejecutable, los sistemas macOS reciben paquetes específicos para cada plataforma y los usuarios móviles se encuentran con páginas de credenciales personalizadas.
La distribución centrada en Android aumentó considerablemente durante 2025, superando la actividad observada durante los tres años anteriores en conjunto. Estas cargas útiles móviles suelen estar relacionadas con kits de phishing asociados con herramientas de acceso remoto de Windows. El contenido de las páginas suele imitar plataformas empresariales comunes, como servicios de intercambio de documentos o de colaboración, con frecuentes variaciones en el diseño y la redacción.
Las páginas de phishing de credenciales también recopilan información detallada sobre los visitantes, como los plugins del navegador, el tamaño de la pantalla, el idioma y la región geográfica. Estos datos permiten personalizar la representación de la página y la selección de la carga útil. Estos mismos datos también facilitan la evasión, ya que las páginas redirigen el tráfico o muestran mensajes de error cuando aparecen herramientas de análisis.
El polimorfismo como método de entrega estándar
Las campañas de phishing ahora operan con polimorfismo como condición base. Cada mensaje, enlace o archivo suele parecer único, incluso cuando está vinculado a la misma campaña. Durante 2025, el 76 % de las URL de infección inicial aparecieron solo una vez en los entornos de los clientes, a pesar de que el 94 % de esas URL reutilizaban la infraestructura previamente observada.
Los archivos maliciosos siguen un patrón similar. Los hashes de archivo suelen ser únicos, incluso cuando las cargas útiles son funcionalmente idénticas. Las herramientas basadas en IA permiten este nivel de variación a gran escala. Los equipos de seguridad se encuentran con miles de indicadores que no se pueden reutilizar, lo que reduce el valor de las listas de bloqueo y los avistamientos previos.
Los atacantes también extraen información pública para personalizar los mensajes. Los datos de contacto, los puestos de trabajo, las estructuras jerárquicas y la actividad en redes sociales suelen aparecer en los señuelos. Esta personalización aumenta la credibilidad y reduce la dependencia de exploits técnicos.
Ataques conversacionales y vulneración del correo electrónico empresarial
Los ataques de correo electrónico empresarial siguen recurriendo a conversaciones sencillas en lugar de enlaces o archivos adjuntos. Los mensajes incitan a los destinatarios a responder directamente o a realizar acciones comerciales rutinarias. Durante 2025, los ataques conversacionales representaron el 18 % de los correos electrónicos maliciosos identificados.
El lenguaje generado por IA mejora la gramática, el tono y la coherencia contextual con las comunicaciones internas. Los mensajes suelen suplantar a ejecutivos, proveedores o equipos internos utilizando referencias precisas a la actividad empresarial. La diferencia entre un mensaje malicioso y uno legítimo puede ser sutil y limitarse al contexto o al momento.
Las herramientas tradicionales de seguridad del correo electrónico, centradas en enlaces y archivos adjuntos, ofrecen una cobertura limitada contra estos mensajes. La detección se basa en gran medida en señales de comportamiento y análisis posteriores a la entrega, con el apoyo de una revisión humana.
Herramientas legítimas utilizadas como mecanismos de acceso
Los atacantes recurren cada vez más a herramientas legítimas de acceso remoto para establecer la persistencia. Los productos que los equipos de TI suelen utilizar para soporte y administración aparecen en campañas de phishing como cargas útiles de instalación. Durante 2025, el abuso de herramientas legítimas de acceso remoto aumentó drásticamente, con un aumento interanual de la actividad total reportada de más del 100 %.
Estas herramientas suelen llegar a través de plataformas de alojamiento en la nube de confianza y cuentan con firmas digitales válidas. El tráfico de red asociado a estas herramientas se integra con la actividad administrativa habitual. Las alertas generadas por las herramientas de endpoint pueden parecer de baja prioridad debido a un uso interno legítimo.
Los atacantes también automatizan la gestión de estas herramientas mediante scripts y flujos de trabajo basados en IA. Este enfoque permite controlar un gran número de sistemas infectados con un mínimo esfuerzo manual.
Cambios en el uso del dominio en las campañas de credenciales
Las campañas de phishing de credenciales muestran una importante expansión hacia dominios de nivel superior (TLD) que antes eran menos comunes. El dominio .es experimentó un fuerte aumento de uso, pasando de una posición menor a uno de los dominios más frecuentemente observados en el robo de credenciales a principios de 2025.
Estos dominios suelen alojar páginas de segunda etapa que se utilizan para redirecciones o captura de credenciales. Los subdominios suelen parecer genéricos y automatizados, lo que indica una implementación a gran escala mediante kits de phishing. Los señuelos de correo electrónico asociados a estos dominios incluyen diseños de marca y elementos visuales alineados con las comunicaciones empresariales.
“La IA ha transformado radicalmente la economía y la eficacia del phishing”, afirmó Josh Bartolomie , director de seguridad de Cofense. “Los actores de amenazas ahora utilizan la IA como infraestructura principal, no solo para crear correos electrónicos altamente personalizados, sino también para adaptar dinámicamente las páginas de phishing según el dispositivo de la víctima, generar miles de variantes únicas del mismo ataque y gestionar los sistemas infectados a gran escala”.
Fuente y redacción: helpnetsecurity.com