Volver al blog

Cómo funciona el phishing en 2025: la cadena de ataque moderna (correo electrónico, códigos QR, deepfakes y SaaS)

Por Equipo de Autophish|Publicado el 9/6/2025
Cover image for Cómo funciona el phishing en 2025: la cadena de ataque moderna (correo electrónico, códigos QR, deepfakes y SaaS)

En resumen

  • AtraparCapturarRobo de sesión/tokenMovimiento lateralImpacto
  • La protección de la identidad + sesión lo es todo, y el camino más rápido hacia una resiliencia duradera es la práctica frecuente y realista que desarrolla el instinto.

Introducción

Si te preguntas cómo funciona el phishing en 2025, aquí tienes la respuesta sincera: los atacantes rara vez se conforman con las contraseñas; lo que quieren es tu sesión. Y si no pueden atraparte por correo electrónico, lo intentarán con un código QR en tu teléfono, una ingeniosa pantalla de consentimiento de SaaS o incluso una videollamada deepfake con tu «director financiero». Divertido (para ellos).

A continuación te mostramos la cadena de ataque moderna que siguen la mayoría de los incidentes, además de dónde AutoPhish hace que sea mucho más difícil engañarte.

1) El cebo: correo electrónico, códigos QR y «personas» aterradoramente convincentes

El phishing sigue llegando por correo electrónico, pero las URL son las protagonistas. La última investigación de Proofpoint, Human Factor 2025, muestra que las URL se utilizan aproximadamente cuatro veces más que los archivos adjuntos en los correos electrónicos maliciosos, y que se detectaron 4,2 millones de amenazas con códigos QR (quishing) solo en la primera mitad de 2025 (resumen del blog, página del informe del vol. 2).

Luego está el factor humano: vídeos y voces deepfake. El caso de Arup —una pérdida de unos 25 millones de dólares tras una videollamada grupal falsificada con deepfake— muestra cómo la ingeniería social ahora se disfraza de una invitación a una reunión perfectamente normal (Guardian, Foro Económico Mundial). Las políticas que exigen una verificación secundaria siempre ganan a las «corazonadas».

¿Quieres una guía práctica para detectar los trucos que se esconden en un solo mensaje? Empieza por La anatomía de un correo electrónico de phishing moderno en nuestro blog.

2) Captura: credenciales o consentimiento: ambos abren la puerta

Los atacantes no siempre te piden la contraseña. Cada vez más, te muestran una pantalla de consentimiento SaaS/OAuth que parece legítima («¿Permitir que esta aplicación lea tu correo?»). Si haces clic en Permitir, obtienen acceso permanente a la API, sin necesidad de contraseña. La guía de Microsoft sobre concesiones de consentimiento ilícitas explica cómo detectarlas y solucionarlas (Microsoft Learn Microsoft Learn 2; consulta también el manual de respuesta a incidentes de consentimiento de aplicaciones).

Los ladrones de credenciales a la antigua usanza siguen funcionando, a menudo alojados tras servicios de confianza (formularios/almacenamiento/archivos de solo lectura) para eludir los filtros. La serie Human Factor de Proofpoint y las publicaciones sobre amenazas de Microsoft destacan el cambio hacia la distribución centrada en las URL (Proofpoint, Microsoft).

3) Robo de sesión/token: eludir la MFA con un pequeño «hombre en el medio»

Aquí está el giro de 2025: los kits de herramientas Adversary-in-the-Middle (AiTM) se interponen entre tú y Microsoft/Google, actúan como proxy en el inicio de sesión y roban tu cookie de sesión después de que superes con éxito la MFA. A continuación, el atacante reproduce esa cookie y entra sin más: sin contraseña, sin segundo factor. Consulta los análisis y guías de Microsoft, además de los informes de Proofpoint y Talos (Blog de seguridad de MSFT; véase también:

4) Movimiento lateral: una vez dentro, los atacantes se ponen cómodos

Con acceso al buzón o a los tokens, los atacantes configuran reglas de bandeja de entrada, registran aplicaciones OAuth maliciosas y se posicionan para llevar a cabo BEC, a veces durante semanas antes de que nadie se dé cuenta (consulta la guía de Microsoft sobre alertas de robo de cookies de sesión: learn.microsoft.com). Para conocer la realidad (y medidas de protección rápidas), consulta 10 historias alucinantes de phishing (y relacionadas con el phishing) de 2024-2025.

5) ¿Qué es lo que realmente lo detiene? (Medidas prácticas)

  • Autenticación multifactorial (MFA) resistente al phishing (claves de acceso/FIDO2) y limitar los métodos alternativos poco seguros (SMS/códigos de voz). Orientaciones alineadas con la CISA y el NIST: Caso de éxito de la CISA (USDA), CISA HISG sobre claves de acceso y el Manual de autenticadores resistentes al phishing (IDManagement.gov). Si quieres una explicación sencilla, echa un vistazo a la descripción general de WIRED sobre cómo funcionan las claves de acceso.
  • Gestión del consentimiento: bloquea el consentimiento de aplicaciones OAuth de riesgo, exige la aprobación del administrador y forma a los usuarios sobre lo que solicita una aplicación (Microsoft Learn.
  • Controles Anti‑AiTM: acceso condicional con vinculación de tokens siempre que sea posible, revocación vigilante de sesiones y alertas sobre reglas inusuales en la bandeja de entrada (MSFT Token Theft Playbookicrosoft.com/en-us/security/operations/token-theft-playbook)).
  • Comportamiento del usuario: trata los códigos QR como enlaces; no los escanees si provienen de mensajes no solicitados. Los datos de Proofpoint para 2025 muestran que el quishing ya es algo habitual (blog de Proofpoint).

Dónde marca AutoPhish una diferencia tangible

AutoPhish está diseñado en torno a esos puntos de fallo concretos (y cumple con la normativa de la UE/RGPD desde su concepción):

  • Realismo adaptado al rol. Generamos cebos siempre actualizados según el rol y el sector (finanzas, RR. HH., ejecutivos), que abarcan correos electrónicos, campañas de códigos QR y solicitudes de consentimiento SaaS. Esto desarrolla un instinto frente a los ataques a los que se enfrentan realmente las personas. Descubre cómo lo hacemos en Explicación de las simulaciones de phishing como servicio.
  • Simulaciones que tienen en cuenta la cadena de ataque. No nos quedamos solo en un clic: enseñamos cómo es una pantalla de consentimiento, por qué es peligrosa y cómo responder (consulta también nuestra guía Anatomía de un correo electrónico de phishing moderno).
  • Formación justo a tiempo + informes claros que puedes presentar en auditorías (compatibles con NIS2/ISO). Si estás sopesando los formatos, compara campañas automatizadas frente a manuales.
  • Fácil de usar para los empleados y compatible con el RGPD. Opciones de anonimización/seudonimización, retención breve y medidas de seguridad compatibles con el comité de empresa, porque la cultura y el cumplimiento normativo importan. Detalles: Formación sobre phishing respetuosa con la privacidad.

¿Te interesa saber cuáles son las ventajas y desventajas del código abierto frente al SaaS? Las hemos comparado en Herramientas de código abierto frente a soluciones gestionadas.

Preguntas frecuentes: ¿Cómo funciona el phishing?

¿Puede un enlace de phishing instalar malware?
Sí. Un enlace puede activar una descarga inadvertida o llevarte a un sitio que instala malware, o simplemente puede robar tus credenciales. Mantén el software actualizado, utiliza una protección de endpoints de confianza y evita abrir enlaces o archivos adjuntos de remitentes desconocidos (explicación de Emsisoft, Kaspersky).

¿Se puede hacer phishing por teléfono?
Por supuesto. El vishing (voz) y el smishing (SMS) son muy comunes, a menudo combinados con la clonación de voz mediante IA. Verifica a través de un canal conocido antes de actuar (definiciones del FBI y la FCC).

¿Qué es el «quishing»?
Phishing con códigos QR: un mensaje o cartel contiene un código QR que te redirige a un sitio malicioso, a menudo en tu teléfono, fuera del alcance de las protecciones de la empresa. Trata los códigos QR como si fueran enlaces; no los escanees si provienen de mensajes no solicitados (consulta los datos de Proofpoint de 2025 sobre amenazas de QR: resumen).

¿La MFA detiene todo el phishing?
La MFA es esencial, pero AiTM puede robar la cookie de sesión tras la MFA. Da preferencia a la MFA resistente al phishing (claves de acceso/FIDO2) y desactiva los métodos alternativos débiles (SMS/voz) siempre que puedas ([MSFT sobre AiTM](https://www.microsoft.com/en-us/security/blog/2022/07/12/from-cookie-theft-to-bec-attackers-use-aitm-phishing-sites-as-entry-point-to-further-financial-fraud/; véase también https://www.microsoft.com/en-us/security/blog/2023/06/08/detecting-and-mitigating-a-multi-stage-aitm-phishing-and-bec-campaign/; Cisco Talos IR: https://blog.talosintelligence.com/ir-trends-q2-2025/)); Guías de CISA.

¿Qué es el phishing de consentimiento OAuth, en una frase?
Una aplicación maliciosa te pide permiso para acceder a tus datos; si haces clic en Permitir, mantiene el acceso a la API hasta que se revoque el consentimiento, incluso sin tu contraseña (Microsoft Learn).

¿Quieres que se lo expliquen a todo tu equipo, con ejercicios prácticos? Pon en marcha un programa mensual adaptado a cada rol en cuestión de minutos con AutoPhish. Convierte a tu gente en el cortafuegos.

Volver a todas las publicaciones

Ejecute su primera prueba de phishing en 10 minutos.

Regístrate gratis, sin tarjeta de crédito. Prueba Pro gratis durante 7 días cuando estés listo.

Comience a simular ahora¿Necesita una demostración para un equipo más grande? Habla con nosotros →