El phishing sigue liderando el ranking de delitos cibernéticos en Estados Unidos. Así lo confirma el último Informe de Delitos en Internet del FBI, que registró más de 193.000 denuncias solo en 2024. Pero más preocupante que la cantidad es la evolución de las tácticas: los ataques actuales son más limpios, difíciles de rastrear y diseñados para burlar tanto filtros como a usuarios experimentados.
El equipo de ciberseguridad de ZeroBounce ha identificado cinco métodos emergentes de phishing que están ganando terreno y que incluso los profesionales pasan por alto con frecuencia. Estas son las nuevas amenazas invisibles que están cambiando las reglas del juego:
1. Phishing sin enlaces ni archivos adjuntos
Mensajes breves como “¿Puedes ayudarme con esto?” o “¿Tienes un momento para una llamada?” no incluyen enlaces ni archivos, lo que les permite eludir los filtros tradicionales. El objetivo es iniciar una conversación y continuar la estafa por otros medios, generalmente suplantando a un compañero o jefe. La recomendación: si algo suena extraño, verifica por otro canal antes de responder.
2. Bombardeo de notificaciones MFA disfrazadas de soporte técnico
Los atacantes usan las notificaciones push de autenticación multifactor para saturar al usuario tras obtener sus credenciales. Luego, envían un correo haciéndose pasar por soporte de TI para que “acepte solo una” y así frenar el bombardeo. Este tipo de ataque juega más con la psicología que con la técnica.
3. Archivos HTML como caballos de Troya
Un simple archivo HTML puede abrir en el navegador una página de inicio de sesión falsa que captura datos en segundos. Suelen presentarse como facturas, documentos o accesos a portales seguros. La sugerencia de los expertos: tratar estos archivos con la misma precaución que un enlace sospechoso.
4. Invitaciones de calendario como puerta de entrada
Los atacantes insertan enlaces maliciosos en convocatorias de reunión. Como estas se sincronizan directamente con el calendario, muchas veces pasan desapercibidas. Si el remitente es desconocido o el título del evento es ambiguo, conviene revisarlo manualmente y desactivar la aceptación automática.
5. Exceso de confianza como mayor amenaza
“El mayor riesgo hoy es la familiaridad”, advierte Vlad Cristescu, jefe de ciberseguridad de ZeroBounce. “Cuanto más se parece un mensaje a lo de siempre, más peligroso puede ser”. Verificar el dominio de los enlaces, revisar con atención la dirección del remitente o detectar errores mínimos de formato puede marcar la diferencia entre evitar o caer en una estafa cuidadosamente diseñada.