Partner Login

Monthly Threat Report Abril 2025

Actualización de estadísticas del primer trimestre y cómo estamos usando IA para combatir el phishing

Escrito por Security Lab / 22.04.2025 /
Home » Blog » Monthly Threat Report Abril 2025

Introducción

Cada mes, en Hornetsecurity te traemos un resumen con las últimas tendencias en seguridad para Microsoft 365, las amenazas más recientes por correo electrónico y una visión general de lo que se cuece en el mundo de la ciberseguridad. En esta edición, echamos un vistazo a los datos del primer trimestre de 2025.

Resumen Ejecutivo

  • Los ataques por correo electrónico de bajo esfuerzo y gran volumen han subido durante el primer trimestre. Todo apunta a que se debe al uso cada vez más extendido de la inteligencia artificial generativa por parte de los ciberdelincuentes.
  • Los tipos de archivo más usados para distribuir malware han sido, por este orden: PDF, archivos comprimidos y HTML.
  • El índice de amenazas por correo electrónico ha bajado en todos los sectores respecto al trimestre anterior, probablemente porque ya no estamos en plena campaña navideña.
  • DocuSign, DHL y PayPal han sido las marcas más suplantadas por los atacantes.
  • Crear kits de phishing completos con ayuda de la IA sigue siendo increíblemente fácil (y preocupante).
  • Hemos detectado un nuevo ataque a la cadena de suministro que explotaba GitHub Actions a través de tokens de SpotBug comprometidos.
  • Se comenta en el sector que ha habido una brecha en Oracle Cloud. Oracle lo ha confirmado, aunque sin dar demasiados detalles y a regañadientes.

Resumen de amenazas

Correos electrónicos no deseados por categoría

Esta es la tabla con la distribución de correos no deseados por categoría.

Unwanted Emails By Category
Correos electrónicos no deseados por categoría

Durante el primer trimestre de 2025, hemos notado un aumento considerable de los ataques por correo electrónico que son fáciles de ejecutar y se lanzan en masa, en comparación con el último trimestre de 2024. Como suelen utilizar técnicas muy básicas o provienen de fuentes ya conocidas como peligrosas, los detectamos y bloqueamos de forma automática nada más intentar entrar. Esto ha hecho que se reduzca el número de amenazas más avanzadas o sofisticadas. Aun así, el panorama general sigue siendo igual de peligroso.

Una posible explicación a este repunte es el uso cada vez más extendido de la inteligencia artificial generativa. Gracias a esta tecnología, los ciberdelincuentes lo tienen más fácil que nunca para lanzar ataques masivos, y eso se nota en el volumen de intentos que estamos registrando.

NOTA: Recuerda que cuando hablamos de la categoría “Rejected”, nos referimos a los correos que nuestros servicios bloquean directamente durante la fase inicial del envío (el diálogo SMTP). Esto suele ocurrir cuando detectamos señales claras de riesgo, como una dirección IP o una identidad del remitente que ya tenemos fichada como sospechosa. En estos casos, no dejamos que el correo llegue a analizarse más a fondo: el servidor lo bloquea en seco en cuanto intenta establecer conexión.

Otras categorías de la imagen se describen en la siguiente tabla:

CategoríaDescripción
SpamCorreos electrónicos no deseados, a menudo de carácter promocional o fraudulento. Suelen enviarse de forma masiva a un gran número de destinatarios.
ThreatCorreos que contienen contenido perjudicial, como archivos adjuntos o enlaces maliciosos, o que se utilizan para cometer delitos como el phishing.
AdvThreatProtección avanzada contra amenazas ha detectado un riesgo en estos correos. Se emplean para fines ilícitos y recurren a medios técnicos sofisticados que solo pueden contrarrestarse mediante procedimientos dinámicos avanzados.
RejectedNuestro servidor de correo rechaza directamente estos correos durante el diálogo SMTP debido a características externas, como la identidad del remitente, sin proceder a analizarlos.

Tipos de archivos utilizados en ataques por correo electrónico

En la siguiente tabla puedes ver cómo se repartieron los distintos tipos de archivo que se usaron para lanzar ataques por correo electrónico durante el periodo analizado.

Top File Types in Email Attacks
Principales tipos de archivo en ataques por correo

En general, la mayoría de los tipos de archivo se usaron menos en el primer trimestre de 2025 para distribuir malware o cargas maliciosas. Sin embargo, hay algunas excepciones: los archivos PDF, las imágenes de disco y los XLSX (de Excel) han visto un repunte en su uso. Este descenso general sugiere que, últimamente, los ciberdelincuentes están teniendo más éxito con herramientas de ingeniería social y robo de credenciales, como Evilginx, que con los clásicos archivos adjuntos maliciosos. Todo apunta a que esta tendencia seguirá en los próximos meses.

Índice de amenazas por correo electrónico, por sector

La siguiente tabla muestra nuestro índice de amenazas de correo electrónico dividido por sectores. Lo calculamos comparando la cantidad de correos peligrosos frente a los correos legítimos que recibe cada empresa, de media. Cada una recibe un volumen distinto de correos, así que para poder comparar, sacamos el porcentaje de correos maliciosos frente al total (maliciosos + legítimos) para cada una. Luego, calculamos la media de esos porcentajes dentro de cada sector, y con eso sacamos el índice final.

Industry Email Threat Index
Índice de amenazas por sector

Todos los sectores han experimentado una bajada en la proporción de correos maliciosos respecto al total en este primer trimestre. Esto es bastante habitual en estas fechas, ya que tras las fiestas navideñas disminuyen los típicos ataques que se disfrazan de felicitaciones, promociones o avisos festivos.

Marcas y empresas suplantadas

En la siguiente tabla te mostramos las marcas y empresas que nuestros sistemas detectaron con más frecuencia en ataques de suplantación de identidad.

Impersonated Brands
Marcas más suplantadas

Aunque en general los ataques de phishing han bajado, DocuSign, DHL y PayPal siguen liderando la lista de las marcas más suplantadas. Que DocuSign esté en cabeza no es ninguna sorpresa, sobre todo teniendo en cuenta que en Estados Unidos están en plena campaña de la declaración de la renta. DHL y PayPal suelen aparecer siempre entre los primeros puestos: DHL por ser una de las principales empresas de mensajería a nivel mundial, y PayPal porque, al estar en el sector financiero, resulta muy atractiva para los ciberdelincuentes.

Actualización sobre nuestra investigación de kits de phishing creados con IA

En el informe del mes pasado, te contamos cómo usamos algunos de los modelos de inteligencia artificial más avanzados para crear desde cero un kit de phishing funcional. Lo hicimos prácticamente sin necesidad de aplicar técnicas complejas de “jailbreak”, y el resultado fue un sistema que podía generar páginas de inicio de sesión falsas, como la de Netflix, bastante creíbles y capaces de robar datos de acceso y detalles de pago.

Nuestros investigadores han seguido tirando del hilo para ver hasta qué punto alguien con pocos conocimientos técnicos podría desarrollar un proyecto parecido. Aunque las páginas falsas eran bastante convincentes, un usuario atento podría haberlas detectado. En la siguiente fase, nos propusimos mejorar el aspecto visual de esas páginas y hacer que el modelo de IA ofreciera versiones en varios idiomas. Esto tiene todo el sentido del mundo: si una persona en Alemania recibe un enlace que le lleva a una página en francés, es muy probable que desconfíe. Así que, guiando al modelo con indicaciones concretas, conseguimos que adaptara la página de inicio de sesión a distintos idiomas y ubicaciones, incluyendo imágenes actualizadas y elementos visuales específicos.

Por ejemplo, aquí tienes una versión en alemán de la pantalla de inicio de sesión de Netflix.

A German Netflix Login Page
Pantalla de inicio de sesión de Netflix en alemán

Es importante mencionar que muchas APIs de traducción, como la de Google Translate, son de pago. Por eso, en nuestras pruebas, decidimos usar únicamente el modelo de lenguaje (LLM) para encargarse de todas las traducciones, basándose en la IP y la ubicación de la víctima.

A partir de ahí, seguimos el mismo enfoque para comprobar si se podían aplicar técnicas similares para suplantar una web de impuestos francesa bastante popular. El objetivo era crear una versión alfa funcional de un kit de phishing. A continuación, te contamos los pasos que seguimos y el resultado:

  • Proceso
    • Creación de la página de inicio de sesión
      • Tarea: Pedimos a la IA que generara una pantalla de inicio de sesión con el diseño típico de la web de impuestos francesa.
      • Tiempo necesario: Unos 30 segundos de interacción con la IA.
      • Cómo lo hicimos: Le pedimos al modelo que escribiera código HTML, CSS y JavaScript para una página genérica. Para ayudarle, le enviamos una captura de la web real.
    • Implementación técnica
      • HTML: Creamos un formulario sencillo con los campos habituales de la web original.
      • CSS: Lo diseñamos para que imitara al máximo el estilo visual de impots.gouv.fr.
      • JavaScript: Añadimos funciones básicas para enviar el formulario (sin recopilar aún datos confidenciales).
    • Resultado
      • Conseguimos generar una página de inicio de sesión completamente funcional, que luego usamos como base para seguir avanzando en el proyecto. El progreso fue fluido, y la IA demostró bastante soltura tanto a la hora de afinar el código como de ajustar el idioma y los textos según la localización.
AI Built Phishing Kit Creates French Tax Site Lookalike
Un kit de phishing creado con IA clona una web de impuestos francesa

Este experimento demuestra que la inteligencia artificial sigue siendo una herramienta muy útil para atacantes novatos. Y lo preocupante es que, pese a los intentos de los grandes proveedores de modelos de lenguaje por limitar su uso malicioso, todavía es sencillo crear herramientas peligrosas con modelos disponibles públicamente.

Incidentes destacados y novedades del sector

Nuevo ataque a la cadena de suministro a través de GitHub

En marzo de 2025 se produjo un ataque importante a la cadena de suministro utilizando GitHub Actions. Todo empezó con un token comprometido de SpotBugs, que permitió a los atacantes colarse en varios repositorios. Aprovechando un token de acceso personal (PAT) filtrado, los ciberdelincuentes se hicieron con el control de la herramienta de análisis de seguridad y, desde ahí, fueron moviéndose lateralmente para comprometer otros proyectos, entre ellos Reviewdog, una herramienta muy usada para automatizar revisiones de código. Manipulando etiquetas de GitHub, consiguieron que muchos desarrolladores sin saberlo descargaran versiones contaminadas de tj-actions/changed-files, una pieza clave en muchos flujos de trabajo. Como resultado, se filtraron credenciales sensibles en 218 repositorios, lo que ha puesto en alerta a toda la comunidad sobre los riesgos cada vez mayores en la cadena de suministro del software.

Aunque no consiguieron acceder a Coinbase (uno de sus objetivos iniciales), este incidente ha puesto el foco sobre puntos críticos de seguridad en GitHub Actions y en cómo se gestionan los tokens de acceso de terceros. Los expertos recomiendan rotar inmediatamente todos los secretos comprometidos, revisar los repositorios en busca de cambios no autorizados y, sobre todo, evitar el uso de etiquetas “latest” en los scripts de automatización, apostando mejor por versiones fijas. Este caso nos recuerda lo importante que es revisar constantemente la seguridad en entornos de desarrollo, incluso en proyectos de código abierto muy conocidos.

Brecha de seguridad en Oracle Cloud

Hace unas semanas, un ciberdelincuente que se hace llamar “rose87168” afirmó haber hackeado Oracle Cloud. Según él, logró robar seis millones de registros con contraseñas cifradas, archivos Java KeyStore (JKS) y claves de autenticación. Publicó muestras de los datos en foros del mercado negro, pidió ayuda para descifrar los archivos y exigió un rescate a las empresas afectadas. Aunque varios investigadores confirmaron que parte de la información era real, Oracle no comunicó nada durante días. Este silencio dejó a muchas empresas sin saber si estaban afectadas o no. Al final, y solo después de que la presión aumentara, Oracle reconoció el ataque , pero lo hizo minimizando la gravedad del asunto y diciendo que los datos robados pertenecían a “dos servidores antiguos”, no a su infraestructura principal en la nube.

La respuesta no gustó nada. Los expertos en ciberseguridad aseguraron que entre los datos filtrados había credenciales LDAP, contraseñas cifradas y archivos críticos de gestión de claves. La falta de transparencia y la lentitud en dar explicaciones hicieron que muchos clientes perdieran la paciencia. Algunas empresas incluso han iniciado acciones legales por no haber sido informadas a tiempo. Este incidente vuelve a poner sobre la mesa las dudas sobre la seguridad en la nube y deja claro que, ante una brecha, la rapidez y la claridad en la comunicación son claves para mitigar daños.

Predicciones para los próximos meses

  • Con la temporada de impuestos activa en muchos países, es bastante probable que veamos un repunte en correos de spam e intentos de suplantación relacionados con temas fiscales cuando analicemos los datos del segundo trimestre.
  • Además, todo apunta a que habrá más vigilancia sobre los servicios en la nube, sobre todo dependiendo de cómo termine resolviéndose el supuesto incidente de seguridad en Oracle Cloud.

Recomendaciones del mes

  • Refuerza la seguridad del correo electrónico – Con el aumento de ataques sencillos pero masivos impulsados por IA generativa, es un buen momento para revisar tu estrategia de protección. Apuesta por un buen sistema de filtrado, forma a tu equipo y usa herramientas que detecten comportamientos sospechosos.
  • Revisa los puntos de entrada de archivos maliciosos – PDFs, imágenes de disco y archivos de Excel están ganando protagonismo en los ataques por correo. Asegúrate de que tu solución de seguridad los analice bien antes de que lleguen a los usuarios.
  • Mejora la defensa frente a la suplantación de marcas – DocuSign, DHL y PayPal siguen siendo las marcas favoritas de los ciberdelincuentes. Enseña a tu equipo a detectar correos falsos y considera implementar DMARC en tu propio dominio para protegerte aún más.
  • Mantente alerta ante el phishing con IA – La IA generativa ya es capaz de crear kits de phishing en varios idiomas y con un diseño muy logrado. Haz simulacros de phishing periódicos con tu equipo de IT y valora el uso de herramientas con detección basada en IA para ir un paso por delante.
  • Cuida la seguridad en la nube y la cadena de suministro – Los últimos incidentes con GitHub Actions y Oracle Cloud dejan claro lo importante que es tener una buena gestión de tokens, rotar credenciales con frecuencia y no fiarse ciegamente de las etiquetas “latest” en procesos automáticos.

Acerca de Hornetsecurity

Hornetsecurity es un proveedor líder mundial de soluciones de seguridad, cumplimiento normativo, backup y concienciación sobre seguridad de última generación, basadas en la nube y que ayuda a empresas y organizaciones de todos los tamaños en todo el mundo. Su producto estrella, 365 Total Protection, es la solución de seguridad en la nube para Microsoft 365 más completa del mercado. Impulsada por la innovación y la excelencia en ciberseguridad, Hornetsecurity está construyendo un futuro digital más seguro y una cultura de seguridad sostenible gracias a su galardonado portfolio. Hornetsecurity opera en más de 120 países a través de su red de distribución internacional de más de 12.000 partners y MSPs. Sus servicios premium son utilizados por más de 125.000 clientes. Para más información, visite hornetsecurity.com 

También le puede interesar