En los próximos 12 meses se espera que aparezcan kits PhaaS más avanzados, capaces de robar códigos MFA para ataques de phishing de credenciales.
Los ataques dirigidos presentarán apelaciones emocionales personalizadas basadas en un análisis del historial de comunicación y redes sociales del destinatario, con un aumento de los ataques de extorsión/sextorsión.
Con la ayuda de la IA, los atacantes pueden crear correos electrónicos de phishing aún más convincentes que parezcan exactamente comunicaciones legítimas
En los últimos meses, los analistas de amenazas de Barracuda Networks han informado sobre varias técnicas avanzadas de phishing implementadas por los atacantes para evadir los controles de seguridad y hacer que los correos electrónicos malicioso parezcan más convincentes, legítimos y personales.
Los expertos de Barracuda Networks han analizado cómo es probable que evolucionen estas y otras técnicas avanzadas de phishing en 2025 y las conclusiones son:
- Los kits de phishing como servicio (PhaaS) representarán la mitad de los ataques de robo de credenciales el próximo año, frente al 30% actual, y evolucionarán para robar código de autenticación multifactor (MFA).
- Los ataques dirigidos presentarán apelaciones emocionales personalizadas basadas en un análisis del historial de comunicación y redes sociales del destinatario, con un aumento de los ataques de extorsión/sextorsión.
- Habrá una mayor implantación de técnicas evasivas como los códigos QR basados en ASCII, los URI Blob y el traslado del contenido de phishing del cuerpo del correo electrónico a un archivo adjunto.
- Los atacantes buscarán y abusarán de más plataformas de creación de contenidos y publicación digital.
Phishing como servicio y robo de credenciales
Los datos de detección de Barracuda muestran que en 2024 más del 85% de los ataques de phishing dirigidos a clientes tenían como objetivo el robo de credenciales. Esperamos que esta cifra aumente hasta el 90 % o más durante el próximo año.
En este sentido, hay evidencia de que PhaaS prospera en este vector de ataque. Tanto es así que en los próximos 12 meses se espera que aparezcan kits PhaaS más avanzados, capaces de robar códigos MFA para ataques de phishing de credenciales.
Se estima que los ataques de phishing de credenciales basados en PhaaS representan actualmente alrededor del 30% de los ataques de credenciales detectados, y es posible que esta cifra aumente a más de la mitad durante el próximo año.
Por otro lado, el descubrimiento más sorprendente en 2024 fue que los atacantes de phishing estaban explotando los servicios de protección de URL de confianza, incluidos los de los principales proveedores de seguridad para enmascarar enlaces de phishing en ataques diseñados para robar credenciales. Informamos sobre esta táctica en julio y todavía se está aplicando.
2024 también fue el año en que la suplantación de identidad mediante códigos QR y mensajes de voz acaparó gran parte de los ataques de phishing. El phishing de código QR y de buzón de voz representa actualmente en torno al 20% del total de detecciones de phishing. En octubre, Barracuda Networks informó sobre la aparición de códigos QR creados con bloques de texto ASCII/Unicode, y esperamos que esta táctica siga evolucionando. Los códigos QR basados en ASCII y el uso de enlaces Blob URI especialmente diseñados están diseñados para evitar la detección y esperamos que el desarrollo y el uso de estas y otras técnicas evasivas continúen y aumenten en 2025 y más allá.
Además, se prevé un aumento de los ataques de phishing que se hacen pasar por el departamento de recursos humanos. En la actualidad, este tipo de ataques representa alrededor del 10% de los ataques detectados, pero esperamos que gane terreno durante el próximo año, especialmente en torno a los plazos fiscales clave. Por su parte, el uso de archivos adjuntos maliciosos seguirá ganando popularidad. Ya hemos visto decenas de correos electrónicos en los que el contenido de phishing se incluía en un archivo adjunto HTML o PDF, dejando el cuerpo el mensaje vacío o con muy poco texto. Es probable que este comportamiento sea un intento de eludir el análisis del cuerpo del mensaje basado en el aprendizaje automático, y esperamos que este tipo de ataque aumente en 2025.
Los atacantes aprovecharán cada vez más la IA, los sitios legítimos y las redirecciones para que sus ataques de phishing parezcan lo más auténticos posible. Con la ayuda de la IA, los atacantes pueden crear correos electrónicos de phishing aún más convincentes que parezcan exactamente comunicaciones legítimas. Incluirán contenido personalizado, gramática precisa e incluso apelaciones emocionales de tipo humano basadas en un análisis de las redes sociales y el historial de comunicación del destinatario.
Protección contra la evolución de las técnicas
El phishing sigue siendo una poderosa ciberamenaza. Tiene un coste relativamente bajo, requiere pocas habilidades, es rápido y fácil de implementar y ofrecer altas tasas potenciales de éxito. Las técnicas de phishing avanzaron significativamente durante 2024, y esperamos que los ciberatacantes sigan perfeccionando sus métodos para eludir las medidas de seguridad tradicionales y más durante 2025.
Los informes realizados por los expertos durante 2024 muestran cómo los ataques de phishing son cada vez más variados, oportunistas y sofisticados. En esencial contar con estrategias de defensa ágiles, innovadoras y multicapa y fomentar una cultura de seguridad sólida para adelantarse a esta amenaza en constante evolución.es.
