El correo electrónico sigue siendo la vía preferida por los ciberdelincuentes para atacar a las organizaciones, y en 2024 esta tendencia alcanzó nuevos niveles de sofisticación. Así lo revela el 2025 Email Threat Intelligence Report, elaborado por Fortra, tras analizar más de un millón de amenazas detectadas el año pasado. El informe advierte de un alarmante aumento en los ataques basados en ingeniería social y en la explotación de servicios legítimos para sortear las defensas tradicionales.
Ingeniería social sin malware: el nuevo rostro del cibercrimen
Según el estudio, el 99 % de las amenazas que lograron alcanzar los buzones de los usuarios corporativos no incluían malware, sino que se centraban en el robo de credenciales o en esquemas de ingeniería social. Sólo el uno por ciento de los correos maliciosos contenía archivos maliciosos. “Los atacantes han adaptado sus técnicas, eludiendo con éxito escáneres anti-malware y sistemas de sandboxing mediante correos diseñados para manipular emocionalmente al receptor”, destaca el informe.
Microsoft 365 fue el objetivo más codiciado: el 49 % de los ataques de robo de credenciales en el último trimestre de 2024 tenía como finalidad acceder a esta plataforma, una puerta de entrada a datos sensibles, comunicación interna y aplicaciones clave.
De la suplantación al chantaje: ataques cada vez más personalizados
El informe pone el foco en una tendencia particularmente preocupante: el uso de datos personales filtrados en brechas de seguridad para diseñar ataques altamente personalizados. En 2024 se expusieron más de mil millones de registros, lo que ha permitido a los ciberdelincuentes incorporar detalles como la dirección física de las víctimas e incluso imágenes de su domicilio obtenidas de Google Street View en campañas de extorsión.
“El correo ya no es genérico ni lleno de errores gramaticales. Ahora los ataques parecen escritos por alguien que realmente conoce a la víctima”, advierte Fortra, que anticipa un crecimiento exponencial de esta modalidad gracias al uso de herramientas de inteligencia artificial generativa.
Otro hallazgo clave del informe es el uso malicioso de servicios legítimos —especialmente plataformas de firma electrónica y herramientas para desarrolladores— para alojar contenido fraudulento. DocuSign y YouSign fueron utilizados de forma recurrente para desplegar formularios falsos de autenticación. Cloudflare, por su parte, se convirtió en la herramienta más explotada entre los desarrolladores: sus servicios gratuitos permitieron desplegar páginas de phishing en cuestión de minutos con apariencia segura (HTTPS) y alto rendimiento global gracias a su red CDN.
“El abuso de estas plataformas se debe a la facilidad de uso y la falta de controles estrictos en sus versiones gratuitas. Mientras no haya incentivos regulatorios que obliguen a implementar medidas proactivas, estas prácticas seguirán creciendo en 2025”, sostiene el informe.
Multicanalidad: del buzón al teléfono móvil
Además del correo, los atacantes están ampliando sus métodos a otros canales. En 2024, el vishing híbrido —que combina correos fraudulentos con llamadas telefónicas— representó el 40 % de las amenazas basadas en respuesta. En muchos casos, se hacían pasar por soporte de PayPal, Apple o Amazon para obtener información bancaria o credenciales de acceso.
Otra táctica emergente es el uso de códigos QR en correos electrónicos o documentos adjuntos. Al escanearlos con sus móviles, los usuarios eran redirigidos a sitios de phishing disfrazados de portales corporativos, donde se les solicitaba iniciar sesión con sus credenciales.
2025: el desafío continúa
De cara a 2025, el informe de Fortra anticipa un aumento en el volumen y la calidad de los ataques gracias al uso de IA para generar mensajes convincentes y sin errores. Los atacantes podrán incluso imitar voces y acentos con precisión, aumentando la eficacia del vishing y dificultando su detección.
“La seguridad del correo electrónico ya no puede depender solo de filtros antispam o del entrenamiento básico del usuario. Se necesita un enfoque por capas, capaz de analizar y detener amenazas en múltiples puntos del ciclo de ataque”, concluye el informe.
