Fuerte escalada del phishing y las amenazas basadas en URLs
- Endpoint
Las amenazas basadas en URLs dominan el panorama de las ciberamenazas. Los atacantes no solo se hacen pasar por marcas de confianza, sino que también utilizan servicios legítimos, engañan a los usuarios con falsos mensajes de error y eluden la seguridad tradicional incrustando amenazas en códigos QR y SMS.
Proofpoint ha publicado el segundo volumen de su Human Factor 2025 Report, que describe cómo los ciberdelincuentes están utilizando ingeniería social avanzada y contenido generado por IA para hacer que las URLs maliciosas sean cada vez más difíciles de identificar por los usuarios.
Los cibercriminales prefieren cada vez más las URLs a los archivos adjuntos, ya que son más fáciles de camuflar y tienen más probabilidades de eludir la detección. Estos enlaces se incrustan en mensajes, botones e incluso en archivos adjuntos como PDF o documentos de Word para inducir a los usuarios a hacer clic en ellos e iniciar la suplantación de credenciales o la descarga de malware.
Nuevas amenazas de phishing
El informe señala asimismo que las campañas de malware de ClickFix aumentaron casi un 400% interanual. ClickFix es una técnica de phishing que muestra falsos mensajes de error o pantallas CAPTCHA para inducir a los usuarios a ejecutar código malicioso. Aprovechando la urgencia de resolver un problema técnico, este método se ha convertido rápidamente en una táctica para los autores de malware, ayudándoles a propagar troyanos de acceso remoto (RAT), infostealers y loaders.
Proofpoint identificó asimismo más de 4,2 millones de amenazas de phishing mediante códigos QR sólo en el primer semestre de 2025. Estos ataques basados en códigos QR dejan a los usuarios fuera de las protecciones corporativas a través de sus dispositivos móviles personales. Una vez escaneados, estos códigos redirigen a los usuarios a sitios de phishing diseñados para recopilar información confidencial, como credenciales, datos de tarjetas de crédito o identificadores personales, todo bajo la apariencia de legitimidad.
El phishing de credenciales sigue siendo el objetivo más frecuente de los atacantes, con 3.700 millones de ataques basados en URLs destinados a robar datos de inicio de sesión. Los atacantes se centran sobre todo en robar datos de inicio de sesión en lugar de distribuir malware. Con señuelos de phishing que se hacen pasar por marcas de confianza y utilizan herramientas estándar, como los kits de phishing CoGUI y Darcula, incluso los autores menos cualificados pueden desplegar campañas muy convincentes que eluden la autenticación multifactor y consiguen el control total de las cuentas.
Las campañas de “smishing” aumentan un 2.534% a medida que los atacantes se centran en los dispositivos móviles. Al menos el 55% de los presuntos mensajes de phishing basados en SMS (smishing) analizados por Proofpoint contenían URLs maliciosas. Su apariencia imita a menudo comunicaciones gubernamentales o servicios de mensajería y son muy eficaces debido a la inmediatez y la confianza que los usuarios depositan en los mensajes de texto móviles, reflejando un cambio de objetivo de las amenazas hacia los dispositivos móviles.
“Hoy en día, las ciberamenazas más dañinas no se dirigen a máquinas o sistemas. Se dirigen a las personas. Además, las amenazas de phishing basadas en URLs ya no se limitan a la bandeja de entrada del correo, sino que pueden apuntar a cualquier lugar y a menudo son extremadamente difíciles de identificar por los usuarios”, afirma Matt Cooke, estratega de ciberseguridad de Proofpoint en EMEA. “Desde códigos QR en correos electrónicos y páginas CAPTCHA falsas hasta estafas de smishing a través de teléfonos móviles, los atacantes están convirtiendo plataformas de confianza y experiencias familiares en armas con las que sacar partido a la psicología humana. Defenderse contra estas amenazas requiere una detección multicapa potenciada por IA y una estrategia de seguridad centrada en el ser humano”.
