10 historias alucinantes sobre phishing (y temas relacionados) de 2024-2025, incluyendo importantes lecciones aprendidas
Códigos QR convertidos en inicios de sesión. La IA se hizo pasar por tu director financiero en Zoom. Llegaron correos «internos» desde el más allá. Los últimos dos años han sido un desfile incesante de estafas ingeniosas, a partes iguales descaradas y brillantes. A continuación, repasamos diez incidentes reales que han marcado la época y, lo que es más importante, traducimos cada uno de ellos en medidas de seguridad sencillas que puedes poner en práctica. Las fuentes están enlazadas a lo largo del texto para que puedas profundizar cuando quieras.
1) Change Healthcare: un portal, sin MFA y una lección muy cara (febrero de 2024)
En febrero de 2024, los atacantes entraron por la puerta digital de Change Healthcare utilizando credenciales robadas: sin alarmas, sin segundo factor, solo un portal remoto sin MFA. La brecha acabó derivando en el ransomware ALPHV/BlackCat y en una interrupción a nivel nacional de la facturación sanitaria. Los ejecutivos declararon más tarde que el punto de entrada comprometido no tenía habilitada la autenticación multifactorial (MFA), una omisión que parece un giro argumental que se ve venir desde lejos (Reuters; contexto vía Cybersecurity Dive; resúmenes del sector de la AHA y HHS OCR).
¿Por qué funcionó? Porque una sola aplicación sin MFA es una llave maestra en un mundo inundado de registros de robo de información y reutilización de contraseñas. La contramedida es maravillosamente poco atractiva: autenticación multifactorial (MFA) resistente al phishing (FIDO2) en todos los lugares donde el público pueda verte, idealmente detrás de SSO + acceso condicional, con los protocolos heredados desactivados. Añade alertas básicas de anomalías —viajes imposibles, ASN extraños, horarios raros— y al menos tendrás una oportunidad de detectar los primeros indicios.
2) Pepco Group: un clásico BEC, pulido como un diamante (febrero de 2024)
La filial húngara de Pepco perdió unos 15,5 millones de euros en lo que parece un caso de libro —pero extremadamente bien ejecutado— de compromiso del correo electrónico empresarial. Sin grandes alardes de malware; solo mensajes convincentes, autoridad, urgencia y un proceso de pago que confiaba demasiado en la bandeja de entrada (comunicado de la empresa / PDF; cobertura en Reuters y Help Net Security).
La solución es tanto cultural como técnica: trata los movimientos de dinero como si fuera una lista de comprobación de cabina de mando. Las aprobaciones dobles, la verificación mediante devolución de llamada a números conocidos, los portales de proveedores con autenticación de dos factores (2FA) y un periodo de espera para los primeros cambios de datos bancarios transforman un «por favor, paga esto urgentemente» en un «claro, después de seguir el proceso».
3) La sala de juntas deepfake de Arup: cuando las caras mienten (enero-mayo de 2024)
Un empleado del departamento financiero de Arup se unió a una videollamada con el «director financiero» y sus compañeros. Tenían el aspecto adecuado, sonaban bien, se movían con naturalidad... y eran deepfakes de IA. Aproximadamente 25 millones de dólares salieron del edificio antes de que la realidad se impusiera (Financial Times; CFO Dive; antecedentes vía CNN/Yahoo).
Hemos enseñado a la gente a «fiar de la cara». Los deepfakes echan por tierra ese instinto. La solución práctica es una política, no la paranoia: no se liberan fondos solo por llamadas en directo. Exige una aprobación por ticket más una llamada de confirmación a un número extraído de un directorio interno —nunca del correo electrónico ni de la invitación a la reunión—. Enseña a los equipos a detectar señales reveladoras (desfase en la sincronización labial, latencias extrañas) y a usar canales alternativos cuando algo no cuadre.
4) París 2024: los Juegos Olímpicos de la venta de entradas falsas (mediados de 2024)
El bombo publicitario, la escasez y una imagen de marca impecable crean el clima perfecto para el phishing. De cara a París 2024, las fuerzas del orden y los investigadores señalaron cientos de sitios fraudulentos que vendían entradas, servicios de hospitalidad y «acceso prioritario». En un momento dado, la gendarmería francesa contabilizó 338 dominios sospechosos. La estrategia era sencilla: envenenamiento de SEO, logotipos clonados y una urgencia que hace que incluso los compradores más avispados se olviden de sus reglas (Proofpoint; advertencias a los consumidores a través de CBS News; avisos oficiales en Olympics.com).
Si tu personal viaja o compra entradas para eventos, insísteles en las medidas de seguridad: escribe, no hagas clic, y solo en URL oficiales. En el backend, vigila los typosquats y bloquea los dominios nuevos en categorías de alto riesgo durante un periodo de reflexión. Un poco de precaución es mejor que un costoso FOMO.
5) Violaciones relacionadas con Snowflake: una contraseña para gobernarlas todas (primavera-verano de 2024)
Ticketmaster, Santander y otros informaron de que se accedió a datos a través de entornos Snowflake de clientes, con un villano ya conocido: credenciales robadas y falta de MFA. La propia Snowflake afirmó que su plataforma no había sido vulnerada; más bien, los atacantes se colaron con claves reales en las instancias de los clientes y pudieron realizar consultas (Dark Reading; The Verge; Google Threat Intelligence; Push Security).
Si tus datos están en SaaS, trata la identidad como tu nuevo perímetro de red. Pon SSO/SAML + MFA al frente, añade listas de IP permitidas/VPN y implementa medidas para detectar volúmenes de consultas inusuales o cambios repentinos de roles. Las claves y los tokens deben rotarse igual que cambias las pilas de un detector de humo: con regularidad, antes de que haya un incendio.
6) El giro de Star Blizzard en WhatsApp: tu código QR es un token de sesión (finales de 2024–enero de 2025)
Star Blizzard, vinculada al FSB, empezó a convencer a diplomáticos y responsables políticos para que escanearan códigos QR de WhatsApp, convirtiendo un simple intercambio en una apropiación de cuentas. La maniobra eludió hábilmente los controles del correo electrónico y trasladó la conversación a una aplicación comprometida donde la confianza es alta y el escrutinio es bajo (Microsoft; BleepingComputer; The Guardian).
El cambio de mentalidad es crucial: los códigos QR a menudo son la autenticación. Enséñales a tratar los escaneos como si fueran contraseñas, restringe los enlaces en dispositivos no gestionados a través de MDM y exige autenticación multifactorial con coincidencia de números cuando sea posible. Además, estate atento a nuevos dispositivos vinculados y a cambios de ubicación sospechosos: ambos son señales de alerta tempranas.
7) Quishing a gran escala: Microsoft Sway como fábrica de señuelos (agosto de 2024)
Los atacantes se valieron de Microsoft Sway para alojar páginas de phishing con códigos QR muy bien diseñadas que burlaron los filtros gracias al efecto halo de la marca. La imagen del código QR ocultaba el verdadero destino, y los escáneres no diseñados para descodificar imágenes solo veían un archivo bonito y limpio alojado por una marca de confianza (BleepingComputer; investigación original de Netskope).
Los defensores pueden responder con las mismas armas: añadir decodificación de códigos QR a la seguridad del correo electrónico y la web, examinar minuciosamente los nuevos enlaces de Sway/Forms/Sites y proteger la identidad con autenticación multifactorial sin contraseña, acceso condicional y evaluación continua del acceso. En los dispositivos móviles, enseña a la gente a previsualizar las URL antes de abrirlas: es un pequeño truco con grandes beneficios.
8) Trezor: cuando tu servicio de asistencia se convierte en el ingeniero social (enero de 2024 y junio de 2025)
En enero de 2024, un portal de asistencia de terceros vinculado a Trezor expuso los datos de contacto de unos 66 000 usuarios, lo que supuso un gran impulso para los posteriores ataques de phishing. Para junio de 2025, los atacantes fueron un paso más allá, abusando del formulario de asistencia de Trezor para enviar respuestas automáticas convincentes que parecían lo suficientemente oficiales como para despistar incluso a los más veteranos (BleepingComputer; BleepingComputer).
Tu sistema de asistencia forma parte de tu perímetro de seguridad. Trátalo como tal: limita la frecuencia de las respuestas automáticas, aplica una alineación estricta de DKIM/DMARC, revisa las respuestas predefinidas en busca de lenguaje arriesgado (especialmente en torno a la «recuperación» y las criptomonedas) y publica mensajes de seguridad claros para que los clientes sepan lo que nunca les pedirás que hagan.
9) «Interno» sin concesiones: M365 Direct Send se vuelve descarado (junio-agosto de 2025)
Las campañas que abusaban de Direct Send de Microsoft 365 permitían suplantar a usuarios internos sin llegar a hacerse con el control de una cuenta. Ese pequeño detalle importa, porque «de IT@tuempresa» sigue teniendo peso psicológico, incluso cuando la autenticación es poco clara (Varonis; resúmenes vía Dark Reading y Arctic Wolf).
Refuerza tus reglas de conexión, limita el alcance de Direct Send y da preferencia al SMTP autenticado siempre que puedas. Enséñales a los usuarios que «interno» no es una palabra mágica; si un correo electrónico intenta mover dinero o credenciales, la verificación debe realizarse en un portal o a través de un canal secundario conocido, no a través de un cómodo enlace azul.
10) Creadores de sitios web con IA reclutados para la fábrica de phishing: Lovable a gran escala (2025)
Por último, una trama muy propia de 2025: atacantes que utilizan creadores de sitios web con IA —Lovable en particular— para generar decenas de miles de páginas de phishing y malware con un diseño acorde a la marca y una entrega casi instantánea. Dominios nuevos más plantillas bonitas equivalen a un goteo constante de clics antes de que los sistemas de reputación se den cuenta (Proofpoint; cobertura vía BleepingComputer y TechRadar).
A nivel defensivo, amplía tu inteligencia de URL para incluir el tiempo transcurrido desde el registro y la reputación del creador/alojamiento, y no añadas automáticamente a la lista blanca a los dominios nuevos y relucientes solo porque parezcan profesionales. Los delincuentes también pueden parecer profesionales ahora; es algo que se les da bien.
El patrón que no puedes ignorar
En las diez historias, siguen apareciendo los mismos hilos. Las credenciales y los tokens de sesión son oro. Las brechas en la autenticación multifactorial (MFA) son fatales. «Interno» es una sensación, no un control. Y la IA es tanto un acelerador como una manguera de incendios: acelera a los atacantes y abruma a los defensores, pero también nos ofrece mejor formación y detección si decidimos usarla.
Si solo vas a hacer unas pocas cosas este trimestre, que sean estas: implementa la autenticación multifactorial (MFA) resistente al phishing y retira la autenticación heredada; añade decodificación de QR a tu pila de correo electrónico/web; organiza simulacros realistas de BEC y deepfakes para el departamento financiero y los ejecutivos (con llamadas de seguimiento obligatorias); e incluye los flujos de trabajo de soporte, marketing y eventos directamente en tu modelo de amenazas con límites de frecuencia, alineación con DMARC y alertas preventivas.
Y si quieres practicar de forma segura, eso es lo nuestro. AutoPhish puede recrear las tendencias de las que acabas de leer —quishing, cebos al estilo IA, suplantación «interna» y BEC meticuloso— y luego ofrecerte una formación en pequeñas dosis que realmente se queda grabada. Porque ver el truco una vez, en un entorno seguro, es la forma de detenerlo cuando realmente importa.