Phishing-as-a-Service explicado: IA, Deepfakes y Defensa

1. Introducción: Phishing-as-a-Service#

El phishing se está alejando de los envíos masivos de correo electrónico de gran volumen y se dirige hacia ataques más dirigidos que aún pueden ejecutarse a escala. Los kits de phishing listos para usar ahora permiten a atacantes relativamente inexpertos alcanzar un nivel de efectividad que antes se asociaba principalmente con amenazas persistentes avanzadas (APT) y grupos respaldados por estados.

El impacto de este problema está empeorando: el estudio de 2024 IBM/Ponemon sobre el costo de una brecha de datos informa que el costo anual promedio de los incidentes de phishing aumentó en casi un 10 % a 4,88 millones de USD, uno de los saltos más significativos desde la pandemia. Al mismo tiempo, la tecnología de deepfake está abriendo nuevos caminos para el fraude: Right Hand Cybersecurity informa un aumento del 680 % año tras año en la actividad de medios sintéticos, lo que permite ataques que pueden eludir los protocolos de verificación tradicionales. Más de 3.400 millones de correos electrónicos de phishing circulan diariamente (aproximadamente el 1,2 % del tráfico de correo electrónico global) y Google bloquea alrededor de 100 millones de ellos cada día. El Grupo de Trabajo Anti-Phishing registró 1.003.924 ataques solo en el primer trimestre de 2025, el nivel más alto desde finales de 2023. El phishing sigue siendo un impulsor principal del daño en el mundo real, contribuyendo al 36 % de las brechas de datos en EE. UU. y jugando un papel en más del 80 % de los ciberataques. Los costos promedio de las brechas se sitúan en 4,88 millones de USD, las pérdidas por compromiso de correo electrónico empresarial alcanzan los 2.700 millones de USD anualmente y el ransomware (a menudo iniciado mediante phishing) aparece en el 44 % de las brechas.

En este artículo, vamos a cubrir los aspectos más importantes relacionados con cómo el phishing cambió en los últimos años con nuevos enfoques como Phishing-as-a-Service y el uso de la IA. En particular, estas son las preguntas que vamos a abordar en el artículo:

1. ¿Qué es Phishing-as-a-Service (PhaaS)?

2. ¿Qué papel juega la inteligencia artificial en los ataques de phishing modernos?

3. ¿Cómo pueden las organizaciones defenderse contra el phishing moderno (controles técnicos, gestión de riesgos humanos y gobernanza/política)?

2. ¿Qué es Phishing-as-a-Service (PhaaS)?#

El cibercrimen ya no está reservado para hackers expertos. El auge de Phishing-as-a-Service (PhaaS) ha hecho que la habilidad técnica sea mucho menos necesaria para lanzar ataques exitosos. Al imitar los modelos de negocio de las empresas de software legítimas, ofreciendo suscripciones, atención al cliente y actualizaciones periódicas, los desarrolladores criminales han hecho que el phishing sea accesible para casi cualquier persona.

2.1 Mercantilización del acceso a herramientas de phishing#

El mercado de PhaaS ha madurado hasta convertirse en un ecosistema escalonado. En el nivel de entrada, los atacantes novatos ("script kiddies") pueden alquilar acceso a infraestructura sofisticada por tarifas bajas, mientras que los operadores avanzados pueden adquirir niveles "empresariales" que ofrecen alojamiento dedicado y capacidades de evasión personalizadas.

Esta estructura económica ha llevado a un aumento masivo de la actividad. Solo en los dos primeros meses de 2025, se detectaron más de un millón de ataques basados en PhaaS, lo que indica una base de usuarios sólida y en expansión para estos servicios criminales. El mercado para estos kits está alojado principalmente en Telegram, que sirve como un plano de control cifrado de alta disponibilidad para ventas y soporte.

Análisis de las plataformas PhaaS más populares (2025)

El siguiente gráfico ilustra el abrumador dominio del mercado de Tycoon 2FA en comparación con otros actores del ecosistema:

2.2 Tycoon 2FA: Análisis detallado del kit de phishing#

Tycoon 2FA es una sofisticada plataforma de Phishing-as-a-Service (PhaaS) diseñada para eludir la autenticación de dos factores (2FA) y la autenticación multifactor (MFA). Se dirige principalmente a cuentas de Microsoft 365 y Gmail utilizando una técnica de "Adversario en el Medio" (AiTM). A principios de 2025, Tycoon 2FA se convirtió en el actor principal del mercado, representando casi 9 de cada 10 incidentes de phishing. Su éxito se debe a su capacidad para permanecer invisible a los filtros de seguridad modernos. En una actualización importante en 2025, los desarrolladores reemplazaron las tácticas más antiguas con cifrado avanzado para ocultar su código malicioso.

Específicamente, ahora usan un "cifrado César" para codificar el código e insertar caracteres invisibles "Hangul Filler" (Unicode 3164). Estos caracteres están ocultos para el usuario pero sirven para confundir a los escáneres automatizados que buscan "firmas" digitales de amenazas conocidas. Para distribuir estos kits, Tycoon utiliza una estrategia de "Living off the Land", alojando sus trampas en servicios confiables y de alta reputación como Amazon S3, Canva y Dropbox.

Dado que las pasarelas de correo electrónico seguro (SEG) están programadas para confiar en estos dominios famosos, los correos electrónicos de phishing a menudo eluden los filtros por completo. Finalmente, para asegurarse de que no están siendo observados por bots de seguridad, los atacantes envían a los usuarios a través de una compleja cadena de redireccionamientos y CAPTCHAs de Cloudflare antes de que vean la página de inicio de sesión falsa.

2.3 La mecánica del Adversario en el Medio (AiTM)#

La capacidad definitoria de los kits de PhaaS modernos es el ataque de Adversario en el Medio (AiTM). Esta técnica hace obsoleta la recopilación de credenciales tradicional al interceptar la sesión de autenticación en vivo, eludiendo así la autenticación multifactor (MFA).

La arquitectura de un ataque AiTM difiere fundamentalmente de la de un sitio clonado.

1. Iniciación de proxy: Cuando una víctima accede a la URL de phishing, el servidor PhaaS (que actúa como proxy inverso) inicia una conexión con el proveedor de identidad (IdP) legítimo, como login.microsoftonline.com.

2. Reflejo del tráfico: El proxy recupera el contenido de inicio de sesión legítimo y lo reenvía a la víctima. La víctima ve la página de inicio de sesión de Microsoft real, aunque renderizada en un dominio malicioso.

3. Relevo en tiempo real: A medida que la víctima ingresa sus credenciales, el proxy las captura y las reenvía al IdP.

4. Intercepción de MFA: Cuando el IdP solicita el segundo factor (por ejemplo, un código SMS o un aviso del autenticador), el proxy refleja esta solicitud a la víctima.

5. Robo de sesión: La víctima proporciona el token de MFA. El proxy lo reenvía al IdP. El IdP valida la sesión y emite una cookie de sesión (por ejemplo, ESTSAUTH o ESTSAUTH_PERSISTENT).

6. La brecha: Crucialmente, el proxy intercepta esta cookie de sesión. No la devuelve a la víctima (o le pasa una copia mientras se queda con la original). El atacante ahora posee una cookie de sesión válida y autenticada que le permite acceder a la cuenta de la víctima desde cualquier dispositivo, eludiendo la necesidad de una contraseña o token de MFA, hasta que el token caduque.

Kits como Sneaky 2FA han perfeccionado aún más esto al ofrecer paneles administrativos que permiten a los atacantes intervenir manualmente en la sesión, gestionando de manera efectiva el ataque en tiempo real.

2.4 Infraestructura de los proveedores de Phishing-as-a-Service#

Derribar la infraestructura de PhaaS es muy difícil debido a su naturaleza descentralizada. Si bien los paneles de "administración" centrales pueden alojarse en servidores en jurisdicciones con leyes cibernéticas laxas, los nodos de "borde" (las páginas de phishing reales) son de corta duración. Tycoon 2FA, por ejemplo, utiliza un algoritmo de generación de dominios (DGA) para poner en marcha miles de dominios desechables. Cloudflare Turnstile también bloquea los escáneres de seguridad y hace que los sitios de phishing parezcan oficiales. Dado que las personas están acostumbradas a ver estas comprobaciones en sitios web reales, es más probable que confíen en la página.

Las páginas de Tycoon 2FA a menudo se distribuyen mediante "Quishing" (phishing con códigos QR). El código QR contiene la URL maliciosa, lo que mantiene la amenaza alejada de los escáneres de seguridad de correo electrónico que no pueden analizar los datos de la imagen. Este vector ha experimentado un aumento del 25 % año tras año, apuntando específicamente a los dispositivos móviles que a menudo carecen de los controles de protección de endpoints de las estaciones de trabajo corporativas.

3. Phishing en la época de la Inteligencia Artificial#

Si PhaaS proporcionó la infraestructura para la explotación masiva, la Inteligencia Artificial ha proporcionado la inteligencia y el contenido. La integración de la IA generativa (GenAI) en el ciclo de vida del cibercrimen ha resuelto los dos mayores desafíos para los atacantes: escala y credibilidad. Los días en que la "mala gramática" y los "saludos genéricos" actuaban como indicadores confiables de phishing han terminado.

3.1 El "Vibe Scamming" y la militarización de herramientas sin código#

Un desarrollo significativo en 2025 es el surgimiento del "vibe scamming". Esta tendencia explota el ideal del "vibe coding", donde los usuarios construyen software utilizando indicaciones de lenguaje natural, para generar activos maliciosos.

Plataformas legítimas como Lovable, diseñadas para democratizar la creación de software, se han convertido en motores para el cibercrimen. Guardio Labs realizó una evaluación de referencia sobre la resistencia de los agentes de IA al abuso, descubriendo que, si bien los modelos establecidos como ChatGPT obtuvieron una puntuación relativamente alta (8/10) al rechazar solicitudes maliciosas, las plataformas más nuevas como Lovable obtuvieron una puntuación alarmantemente baja (1.8/10). Los atacantes simplemente pueden enviar instrucciones a estas herramientas, por ejemplo, "Crea un portal de inicio de sesión que parezca un banco importante, use la marca oficial azul y roja, y tenga campos para números de seguridad social", y la IA genera un código de phishing perfecto a nivel de píxeles y completamente funcional.

Esta capacidad permite a los atacantes eludir la "fatiga de plantilla" de los kits de PhaaS más antiguos. En lugar de usar una plantilla estándar de Microsoft de la que los defensores han tomado huellas, un estafador puede generar una página de inicio de sesión única y adaptada para cada campaña individual, o incluso para cada víctima individual. Proofpoint observó decenas de miles de URL generadas por Lovable que distribuían Tycoon y otros tipos de malware a principios de 2025, lo que confirma que esto no es una amenaza teórica sino un vector masivo y activo.

3.2 La IA agéntica impulsa el espionaje autónomo#

Más allá de la generación de contenido, la IA ahora también se utiliza para ejecutar ataques. Este cambio de la IA generativa a la "IA agéntica" representa un momento clave para la ingeniería social:

A finales de 2024 se produjo un incidente que involucró a un grupo patrocinado por el estado chino. Este adversario utilizó el agente "Claude Code" de Anthropic (destinado al desarrollo de software automatizado) para llevar a cabo una campaña de ciberespionaje a gran escala. Al eludir sus barreras éticas, los atacantes pudieron encargar a la IA objetivos de alto nivel. El agente de IA realizó reconocimientos de forma autónoma, escribió código de explotación personalizado para apuntar a vulnerabilidades específicas, recopiló credenciales y se movió a través de las redes.

Este multiplicador de fuerzas permite que un pequeño equipo de operadores apunte a cientos de organizaciones simultáneamente con la profundidad y persistencia de un equipo rojo humano dedicado.

Los experimentos realizados por Hoxhunt entre 2023 y 2025 revelan la rápida evolución de las capacidades de la IA. Como se muestra en la línea de tiempo a continuación, los agentes de IA cruzaron el umbral de efectividad humana a principios de 2025, pasando de ser un 31 % menos efectivos a un 24 % más efectivos que los ingenieros sociales de élite.

Además, los estudios indican que las campañas de spear phishing respaldadas por IA pueden alcanzar tasas de clics que superan el 50 %, en comparación con tasas mucho más bajas para las campañas genéricas. La reducción de costos también es igualmente dramática. Las campañas impulsadas por IA cuestan aproximadamente 1/30 parte de las campañas manuales y ofrecen resultados superiores.

3.3 Estudio de caso: Deepfakes en el "robo de Arup"#

Uno de los impactos más directos de la IA en la seguridad es el auge de los deepfakes, audio y video generados por computadora altamente realistas. Estas herramientas están diseñadas para engañar a nuestros sentidos, lo que dificulta que las personas confíen en sus propios ojos y oídos al intentar verificar la identidad de una persona. El robo en 2024 de 25 millones de USD de la firma de ingeniería Arup sirve como el estudio de caso definitivo para esta nueva era del fraude.

El incidente de Arup (Pérdida de 25 millones de USD)

• La preparación: Un empleado de la oficina de Arup en Hong Kong recibió un correo electrónico fingiendo ser del director financiero (CFO) con sede en el Reino Unido, solicitando una transacción financiera confidencial. El empleado, sospechando de la solicitud, hizo una pausa. Este es el procedimiento correcto en un modelo estándar de concienciación sobre seguridad.

• La elusión: Para aliviar las preocupaciones del empleado, los atacantes iniciaron una videollamada.

• El engaño: El empleado se unió a la llamada y se encontró no solo con el director financiero, sino con varios otros colegas conocidos. Todos ellos eran deepfakes, avatares generados por IA impulsados por la clonación de voz en tiempo real y la tecnología de recreación facial. La confirmación visual y auditiva proporcionada por el "CFO" y la prueba social de los otros "colegas" abrumaron por completo las defensas del empleado.

• El resultado: Convencido de que estaba actuando bajo órdenes legítimas, el empleado autorizó 15 transferencias bancarias por un total de 200 millones de dólares de Hong Kong (25,6 millones de dólares estadounidenses) a cuentas fraudulentas.

La tecnología deepfake se ha mercantilizado. Los mercados de la dark web ahora ofrecen "Deepfake-as-a-Service" por tan solo 50 USD para videos y 30 USD para clonación de voz. La tecnología ha avanzado para admitir interacciones en tiempo real con baja latencia, lo que hace factibles las llamadas de phishing en vivo. Los ataques de phishing con deepfake aumentaron un 1.633 % solo en el primer trimestre de 2025.

4. Quishing (Phishing de códigos QR)#

Aunque a menudo se ve eclipsado por la IA, el "Quishing" (phishing de códigos QR) ha crecido en paralelo, aprovechando la brecha de seguridad móvil. Los ataques mediante códigos QR maliciosos aumentaron un 25 % año tras año.

La mecánica del Quishing está diseñada para eludir las defensas corporativas. Como se ilustra en el flujo de proceso a continuación, el ataque aprovecha una "brecha de seguridad" donde el usuario escanea un código QR incrustado con su dispositivo personal, eludiendo la pasarela de correo electrónico seguro (SEG) y las protecciones de endpoints corporativos antes de ejecutar el ataque en el navegador móvil.

Los atacantes utilizan cada vez más la IA para generar códigos QR "artísticos" que se mezclan con los materiales de marketing, lo que reduce aún más la sospecha de los usuarios.

5. Análisis de amenazas de la industria y regiones#

El impacto de estas amenazas no es uniforme. Los diferentes sectores enfrentan distintas variaciones de PhaaS y ataques impulsados por IA en función del valor de sus activos y su cadencia operativa.

5.1 Phishing-as-a-Service en banca y finanzas#

El sector financiero sigue siendo la industria más atacada, representando el mayor volumen de ataques de phishing.

• Portales de VibeScamming: Los atacantes usan herramientas como Lovable para crear clones efímeros de alta fidelidad de portales de inicio de sesión de bancos regionales. Estos sitios suelen estar activos durante menos de 24 horas, lo que hace que las eliminaciones sean ineficaces.

• Fraude de verificación con Deepfake: Una tendencia creciente involucra a los atacantes que usan la clonación de voz para pasar la verificación de seguridad bancaria telefónica. Al hacerse pasar por el titular de la cuenta, autorizan transferencias o restablecen contraseñas. Las personas mayores han visto un aumento del 40 % en los ataques de vishing, lo que destaca la naturaleza depredadora de estas campañas.

5.2 Phishing-as-a-Service en atención médica#

Para la atención médica, el phishing es principalmente un vector de acceso inicial para el ransomware.

• Impacto de costos: El costo promedio de una brecha en la atención médica es de 9,77 millones de USD, el más alto de cualquier industria.

• Señuelos operativos: Los atacantes apuntan al personal del hospital con señuelos relacionados con la "Programación de turnos", "Administración del portal de pacientes" o "Actualizaciones de nómina". La urgencia de los entornos clínicos hace que el personal sea altamente susceptible a estos señuelos operativos.

• Cadena de suministro: Los ataques a menudo se originan a partir de cuentas de proveedores comprometidas (por ejemplo, proveedores de dispositivos médicos), aprovechando la relación de confianza para evitar sospechas.

5.3 Phishing-as-a-Service en comercio minorista y manufactura#

Las organizaciones de manufactura experimentaron la mayor cantidad de incidentes de ransomware en 2024, desafiando la tendencia mundial a la baja.

• Tecnología heredada: La manufactura a menudo depende de la tecnología operativa (OT) heredada y de sistemas Windows más antiguos, lo que los hace vulnerables a vulnerabilidades conocidas una vez que se obtiene el acceso inicial mediante el phishing.

• Suplantación de marca: Los minoristas enfrentan el "Brandjacking", donde los atacantes usan la IA para generar reseñas de productos falsas, facturas fraudulentas y notificaciones de envío falsificadas (por ejemplo, "Su paquete se ha retrasado") para realizar phishing a los consumidores.

• El aumento en APAC: La región de Asia-Pacífico experimentó un aumento del 13 % en los ataques en 2024, impulsado en gran medida por ataques a los centros de fabricación cruciales para la cadena de suministro global.

6. Defensa estratégica y resiliencia frente al PhaaS#

Las defensas de la última década (detección basada en firmas, listas negras y capacitación básica de usuarios) están fracasando frente a ataques basados en proxy e impulsados por IA. Se requiere un cambio hacia la defensa centrada en la identidad y el análisis del comportamiento.

6.1 Controles técnicos contra el Phishing-as-a-Service#

Para abordar los problemas del phishing, se deben abordar varios vectores al mismo tiempo.

1. MFA resistente al phishing#

• Defensa: Los administradores deben aplicar Políticas de Acceso Condicional que bloqueen los métodos de autenticación heredados. Si el navegador de un usuario intenta cambiar a un flujo de contraseña/SMS, el inicio de sesión debe ser bloqueado.

• Máximo cifrado: Las claves de acceso FIDO (passkeys) ofrecen la máxima protección, ya que vinculan físicamente la credencial al dispositivo, lo que hace que los ataques de reproducción remota sean casi imposibles.

2. IA visual y de comportamiento:#

• Visión por computadora: Las herramientas de seguridad deben analizar la apariencia renderizada de una página web. Incluso si el código está ofuscado con cifrados César, la página renderizada se parece al inicio de sesión de Microsoft. Los modelos de visión por computadora pueden identificar esta similitud visual y bloquear el sitio.

• Líneas base de comportamiento: Plataformas como Check Point y Proofpoint se están moviendo hacia líneas base de comportamiento. Analizan la intención y el contexto de los correos electrónicos (por ejemplo, "¿Es normal que el director financiero pida una transferencia bancaria a las 11 p. m. un domingo?"). Las anomalías activan alertas independientemente de la reputación del remitente.

6.2 Gestión de riesgos humanos (HRM)#

• Simulacros de Deepfake: La capacitación de concienciación sobre seguridad ahora debe incluir la exposición a audios y videos de deepfake. Los empleados necesitan experimentar la calidad de estas falsificaciones en un entorno seguro para comprender la amenaza.

• El protocolo de "Desafío-Respuesta": Las organizaciones deben implementar un protocolo de verificación fuera de banda para las transacciones financieras. Si una videollamada solicita una transferencia de fondos, el empleado debe verificarla a través de un canal secundario (por ejemplo, una aplicación de chat cifrada o una llamada telefónica a un número interno conocido).

• Cultura de informes: La métrica más eficaz para la cultura de seguridad es la tasa de informes. Las organizaciones de clase mundial logran tasas de informes superiores al 20 %. Las organizaciones con programas de capacitación eficaces pueden reducir la susceptibilidad al phishing en un 86 % en el transcurso de un año.

6.3 Política y gobernanza#

• Divulgación a la SEC: Las nuevas reglas de divulgación de ciberseguridad de la SEC (Formulario 8-K) requieren el informe rápido de incidentes importantes. La brecha de F5 Networks en 2024/2025, atribuida a un actor de un estado-nación, destacó la complejidad de estas divulgaciones, donde el Departamento de Justicia puede solicitar retrasos por razones de seguridad nacional.

• Directiva NIS2: En Europa, la directiva NIS2 exige la presentación estricta de informes de incidentes y medidas de gestión de riesgos, lo que obliga a las organizaciones a asumir la responsabilidad de los riesgos de la cadena de suministro, incluidos los introducidos por el phishing.

7. Cómo puede ayudar Corbado#

Al reemplazar las contraseñas y la MFA basada en OTP con claves de acceso basadas en FIDO resistentes al phishing, Corbado garantiza que la autenticación esté vinculada criptográficamente al dispositivo y origen del usuario, haciendo ineficaces los ataques de adversario en el medio y la repetición de sesiones. Las claves de acceso no se pueden reutilizar, dirigir a un proxy ni exfiltrar, incluso con kits de PhaaS altamente sofisticados como Tycoon 2FA.

Corbado está diseñado para entornos empresariales del mundo real: se integra en las pilas de autenticación existentes, admite implementaciones graduales y habilita una MFA sólida sin agregar fricción para el usuario. El resultado es una seguridad mensurablemente mayor, mejores tasas de éxito de inicio de sesión y una defensa duradera contra el phishing impulsado por la IA a escala.

8. Conclusión: Phishing-as-a-Service#

La trayectoria del panorama de amenazas de phishing apunta hacia una adaptación autónoma. Nos estamos moviendo más allá de los ataques "automatizados" hacia los ataques "autónomos". Los futuros agentes de IA no solo ejecutarán un script predefinido; aprenderán de la respuesta del defensor. Si un defensor bloquea una IP, la IA la rotará. Si un defensor parchea una vulnerabilidad, la IA reescribirá el exploit.

En este artículo también respondimos a las siguientes preguntas clave:

1. ¿Qué es Phishing-as-a-Service (PhaaS)? Phishing-as-a-Service es un ecosistema de estilo SaaS criminal en el que se venden kits de phishing listos para usar, infraestructura y soporte a través de suscripciones, lo que permite incluso a atacantes poco calificados lanzar ataques altamente efectivos y escalables, a menudo capaces de eludir la MFA mediante técnicas de adversario en el medio.

2. ¿Qué papel juega la inteligencia artificial en los ataques de phishing modernos? La inteligencia artificial permite que el phishing se amplíe y se adapte generando señuelos personalizados altamente creíbles ("vibe scamming"), impulsando ataques agénticos autónomos y habilitando el fraude con audio y video deepfake en tiempo real que puede derrotar la verificación humana y los controles de seguridad tradicionales.

3. ¿Cómo pueden las organizaciones defenderse contra el phishing moderno (controles técnicos, gestión de riesgos humanos y gobernanza/política)? Las organizaciones deben combinar la autenticación respaldada por hardware resistente al phishing (por ejemplo, claves de acceso FIDO) y la detección de IA visual y de comportamiento con la gestión de riesgos humanos, como la concienciación sobre los deepfakes y los protocolos de verificación fuera de banda, respaldados por una sólida gobernanza y el cumplimiento de las normativas de informes de incidentes y riesgos de la cadena de suministro (por ejemplo, reglas de la SEC y NIS2).

Acerca de Corbado

Corbado es la Passkey Intelligence Platform para equipos de CIAM que gestionan autenticación de consumidores a gran escala. Te ayudamos a ver lo que los logs de tu IDP y las herramientas de analytics genéricas no muestran: qué dispositivos, versiones de SO, navegadores y gestores de credenciales soportan passkeys, por qué los registros no se convierten en inicios de sesión, dónde falla el flujo de WebAuthn y cuándo una actualización de SO o navegador rompe el login en silencio — todo sin reemplazar Okta, Auth0, Ping, Cognito o tu IDP propio. Dos productos: Corbado Observe aporta observabilidad para passkeys y cualquier otro método de login. Corbado Connect añade passkeys gestionados con analytics integrado (junto a tu IDP). VicRoads ejecuta passkeys para más de 5M de usuarios con Corbado (+80 % de activación de passkey). Habla con un experto en Passkeys →

Preguntas frecuentes#

¿Qué es el vibe scamming y por qué es una amenaza para la seguridad empresarial?#

El vibe scamming explota plataformas de IA sin código como Lovable para generar páginas de phishing completamente funcionales a partir de simples instrucciones de lenguaje natural. Guardio Labs descubrió que Lovable solo obtuvo 1.8/10 al rechazar solicitudes maliciosas, en comparación con el 8/10 de ChatGPT. Proofpoint observó decenas de miles de URL de phishing generadas por Lovable que distribuían malware activo a principios de 2025.

¿Cómo el Quishing elude las pasarelas de seguridad de correo electrónico corporativo?#

El quishing incrusta URL maliciosas dentro de imágenes de códigos QR en correos electrónicos o archivos PDF, que las pasarelas de correo electrónico seguro no pueden analizar. La víctima escanea el código con un teléfono inteligente personal, eludiendo las protecciones de endpoints corporativos antes de que el sitio de phishing se cargue en el navegador móvil. Este vector de ataque creció un 25 % año tras año y es cada vez más difícil de detectar.

¿Qué sucedió en el caso de fraude con deepfake de Arup y qué significa para la verificación de identidad?#

En 2024, los atacantes convencieron a un empleado de Arup para que autorizara 15 transferencias bancarias por un total de 200 millones de HKD (25,6 millones de USD) mediante la organización de una videollamada en la que el director financiero y varios colegas eran deepfakes en tiempo real. El incidente demuestra que la confirmación visual y auditiva en videollamadas ya no puede servir como un método de verificación confiable sin un canal de confirmación secundario fuera de banda.

¿Por qué las claves de acceso FIDO son más resistentes a los ataques de PhaaS que la MFA por SMS o aplicaciones de autenticación?#

Las claves de acceso FIDO están vinculadas criptográficamente al dispositivo específico del usuario y al dominio de origen legítimo, por lo que un proxy inverso en un ataque AiTM no puede capturarlas ni reproducirlas. A diferencia de los códigos SMS o los tokens OTP, las claves de acceso nunca transmiten un secreto compartible, lo que las hace ineficaces de interceptar incluso para plataformas sofisticadas como Tycoon 2FA.

¿A qué tasa de informes de phishing debería aspirar una organización para medir una cultura de seguridad sólida?#

Según el artículo, las organizaciones de clase mundial logran tasas de informes de phishing superiores al 20 %. Las organizaciones con programas de capacitación efectivos también pueden reducir la susceptibilidad general al phishing en un 86 % durante un año, lo que convierte a la cultura de informes en un indicador principal de la postura de seguridad junto con los controles técnicos.