Los ataques de phishing han evolucionado con el tiempo, y los ciberdelincuentes están recurriendo a métodos más sofisticados para sortear las barreras de seguridad. Según un estudio reciente de Sophos, se ha detectado un aumento en el uso de archivos gráficos SVG (Scalable Vector Graphics) para distribuir enlaces maliciosos y malware a través del correo electrónico.
Esta estrategia les permite evadir herramientas de seguridad tradicionales, ya que los archivos SVG están diseñados para contener gráficos y no suelen ser considerados como una amenaza inmediata por los sistemas antispam. Sin embargo, los atacantes han encontrado maneras de incrustar en ellos códigos maliciosos, logrando que estos archivos funcionen como vectores de ataques de phishing altamente efectivos.
¿Qué son los archivos SVG y por qué los usan los ciberdelincuentes?
Los archivos SVG son un formato gráfico basado en texto XML que permite representar imágenes vectoriales escalables. Debido a su flexibilidad y compatibilidad con navegadores web, los atacantes los utilizan para disfrazar enlaces maliciosos y burlar los filtros de seguridad.
Principales razones por las que los atacantes prefieren los archivos SVG en ataques de phishing:
- Apertura automática en navegadores: En sistemas Windows, los archivos SVG suelen abrirse automáticamente en el navegador predeterminado, lo que facilita el redireccionamiento a páginas fraudulentas.
- Capacidad de incrustar enlaces maliciosos: Los archivos SVG pueden contener etiquetas de anclaje (<a>) y scripts, permitiendo a los atacantes dirigir a los usuarios a sitios de phishing sin que estos sospechen.
- Facilidad para suplantar marcas: Los SVG pueden incluir logotipos y elementos gráficos de empresas reconocidas, haciendo que los correos maliciosos parezcan legítimos.
Cómo funcionan los ataques de phishing con SVG
El método de ataque mediante archivos SVG maliciosos sigue una estructura bien planificada:
1️⃣ Los atacantes envían correos electrónicos con archivos SVG adjuntos o incrustados.
2️⃣ El usuario abre el archivo, que lo redirige a una página de phishing.
3️⃣ La página falsa imita la interfaz de servicios conocidos (Microsoft, Dropbox, Google Voice, DocuSign).
4️⃣ Se solicita al usuario que ingrese sus credenciales.
5️⃣ Las credenciales son robadas y enviadas al servidor del atacante o incluso transmitidas a varios sitios simultáneamente.
Casos recientes y evolución del phishing SVG
Desde finales de 2024, investigadores de seguridad han detectado un aumento en el uso de archivos SVG en ataques de phishing. Este método se ha perfeccionado en 2025, con ciberdelincuentes implementando técnicas más avanzadas para evadir la detección y hacer que las páginas falsas parezcan más convincentes.
Los correos maliciosos suelen incluir asuntos como:
- Confirmación de pago
- Documentos pendientes de firma
- Mensajes de voz nuevos
- Avisos de inscripción en seguros o beneficios
Los SVG más elaborados contienen imágenes incrustadas con enlaces camuflados para engañar a los usuarios.
Muchas páginas de phishing están protegidas con CAPTCHA de Cloudflare para evitar ser detectadas por sistemas automatizados de análisis de seguridad.
Algunas variantes han utilizado bots de Telegram para transmitir credenciales robadas en tiempo real.
Nuevas tácticas de evasión de seguridad
El uso de archivos gráficos en ataques de phishing es solo una de las múltiples estrategias que los ciberdelincuentes están implementando para burlar las protecciones de seguridad.
Códigos QR maliciosos: Se han utilizado códigos QR en campañas de phishing para evitar las defensas basadas en OCR (Reconocimiento Óptico de Caracteres).
Suplantación de dominios: Los atacantes registran dominios que imitan a marcas conocidas para aumentar la credibilidad del engaño.
Exploit en servicios de correo: En julio de 2024, Guardio Labs detectó que ciberdelincuentes explotaron una vulnerabilidad en Proofpoint, permitiendo el envío de correos maliciosos con firmas autenticadas.
Uso de servicios legítimos para enviar enlaces maliciosos: En diciembre de 2024, Check Point informó sobre una campaña que utilizaba Google Calendar y Google Drawings para distribuir enlaces de phishing disfrazados de invitaciones.
Elusión de autenticación multifactor (MFA): Recientemente, se han reportado ataques donde los ciberdelincuentes logran sortear medidas de MFA mediante la manipulación de Microsoft Active Directory Federation Services (ADFS).
Cómo protegerse contra el phishing mediante archivos SVG
Ante esta nueva ola de ataques, es fundamental que las organizaciones y usuarios tomen medidas proactivas para mitigar el riesgo:
✔ Bloquear archivos SVG en correos electrónicos sospechosos.
✔ Configurar filtros de seguridad avanzados para detectar contenido malicioso en archivos gráficos.
✔ Verificar la autenticidad de los correos electrónicos antes de hacer clic en enlaces.
✔ Habilitar políticas de restricción de archivos adjuntos en plataformas empresariales.
✔ Implementar autenticación multifactor (MFA) con protección contra eludir autenticaciones.
✔ Capacitar a los empleados y usuarios sobre las nuevas tácticas de phishing.
Los ataques de phishing mediante archivos SVG son un claro ejemplo de cómo los ciberdelincuentes innovan constantemente para eludir las defensas tradicionales. Estar informado y aplicar buenas prácticas de seguridad es clave para reducir la exposición a estas amenazas.
Referencia: Infosecurity, CheckPoint, Abnormal, Labs Guard
