El phishing representa un desafío significativo en el ámbito de la seguridad informática, y ha permanecido como una amenaza constante a lo largo del tiempo. Esta táctica es empleada por los cibercriminales para sustraer información personal y contraseñas de sus víctimas. Es fundamental estar adecuadamente protegido y para ello es vital comprender cómo operan los atacantes. A continuación, te presentaremos las principales tendencias que han emergido en 2025. El propósito es que aprendas a detectar este tipo de fraudes y te mantengas alerta.
Si llegas a ser víctima de un ataque de este tipo, tus cuentas podrían estar en grave riesgo. Los atacantes tendrían acceso a tu correo electrónico, redes sociales y otras plataformas que estén expuestas en la web. La seguridad depende de ti; siempre que evites cometer errores y asegures una buena protección.
Estado del phishing en 2025
A lo largo de este año, en RedesZone hemos observado diversas amenazas de seguridad vinculadas al phishing. Los cibercriminales han mejorado sus técnicas, lo que les permite emplear métodos innovadores para eludir la protección de sus objetivos.
Múltiples canales de ataque
Una tendencia creciente es el uso de diferentes canales para llevar a cabo ataques de phishing. Antes, lo más común era recibir este tipo de estafas a través del correo electrónico. Sin embargo, hoy en día, también pueden aparecer mediante SMS, envenenamiento SEO para ser visibles en los resultados de búsqueda, y mensajes en redes sociales, entre otros.
Esto nos obliga a mantenernos alertas en todo momento, independientemente de la plataforma que utilicemos. No solo debemos preocuparnos por los correos electrónicos, sino también por mensajes de cualquier tipo a través de múltiples servicios donde nuestros datos y contraseñas pueden estar en riesgo.
Incremento del PhaaS
Además, hemos notado un aumento en lo que se conoce como PhaaS. Este término hace referencia al Phishing as a Service (Phishing como servicio). Los atacantes pueden realizar campañas de phishing sin necesidad de configurar o crear esos ataques por sí mismos. Simplemente adquieren un kit preconfigurado y comienzan a comprometer a sus posibles víctimas.
En RedesZone, documentamos el caso de Gabagool, un kit de phishing de tipo PhaaS que permite dividir un código QR y redirigir a la víctima a una página web falsa. Sin embargo, este es solo un ejemplo de los muchos que se han presentado utilizando esta técnica.
Elusiones a la autenticación multifactor
Otro aspecto a resaltar es el aumento de los ataques que pueden eludir la autenticación multifactor. Los atacantes tienen la capacidad de burlar la autenticación multifactor, lo que pone en riesgo la seguridad de los usuarios, incluso si utilizan métodos adicionales más allá de la contraseña.
Utilizan técnicas como la saturación de notificaciones para generar fatiga en la víctima, llevándola a aceptar, por error, una conexión no deseada. También pueden interceptar los códigos de 2FA que se envían por SMS o emplear ingeniería social para engañar a sus objetivos.
En resumen, el phishing es una problemática muy presente en Internet y que está en constante evolución. Es esencial mantener el sentido común para evitar errores y no ofrecer oportunidades a los atacantes. Asegúrate de iniciar sesión únicamente desde sitios oficiales, activa la autenticación en dos pasos (preferiblemente mediante aplicaciones de 2FA, como Google Authenticator, y no a través de códigos recibidos por SMS) y revisa la seguridad de tu dispositivo.
Preguntas frecuentes
¿Qué sucede si soy víctima del phishing?
Tus cuentas pueden estar en riesgo. Los atacantes pueden obtener tu contraseña y acceder a tu información, lo que les permite suplantar tu identidad, leer tus mensajes e interactuar con tus contactos.
¿Qué debo hacer si han robado mi contraseña?
Si es posible, cambia tu contraseña de inmediato. También es recomendable investigar cómo fue robada, revisar el sistema y la configuración. Asegúrate de habilitar la autenticación en dos pasos.
¿Un antivirus protege contra ataques de phishing?
Un antivirus puede ser útil para detectar y eliminar amenazas en forma de malware, pero no te protegerá de muchos ataques, como el phishing. Aquí es donde entra en juego el sentido común y la prevención de errores.
