Tendencias de amenazas por email: cómo los atacantes reinventan los ataques por email
Las amenazas por correo evolucionan a un ritmo que supera la capacidad de adaptación de muchos equipos de seguridad. Aunque el email ha sido durante décadas el canal silencioso de la comunicación empresarial, hoy es la primera línea de defensa (y ataque) frente a casi todas las amenazas graves de ciberseguridad: desde accesos iniciales para ransomware hasta el robo de credenciales o la exfiltración de datos.
Los atacantes han dejado atrás el spam sin sentido y las tácticas burdas. Ahora usan mensajes escritos con IA, estafas sutiles por email y archivos que parecen inofensivos para generar ataques que imitan el tráfico empresarial hasta que haces clic.
Según los datos de nuestro Cibersecurity Report 2026, estas amenazas evolucionan más deprisa que los mecanismos de defensa tradicionales, como los filtros estáticos o la formación anual de usuarios. El ransomware vuelve a ganar terreno, las campañas multivectoriales se expanden a través de identidades y plataformas SaaS, y los atacantes explotan la falta de detección y respuesta ante amenazas por email.
A continuación, analizaremos las cifras en profundidad, exploraremos cómo se entrelazan las nuevas técnicas, la automatización y el robo de credenciales, y diremos cómo debería ser una estrategia de defensa moderna ante estas amenazas.
Cybersecurity Report 2026
La aceleración de las amenazas globales impulsada por la IA
Nuevas tendencias de amenazas por correo del 2025
El correo electrónico sigue siendo el pilar de la comunicación empresarial y, como reflejan nuestros datos, continúa siendo el principal objetivo de los atacantes. Los cambios en la clasificación y tipos de amenazas observados en 2025 muestran dos realidades, por un lado, los atacantes están probando con nuevos tipos de archivos y métodos de entrega que requieren poco esfuerzo (los archivos TXT y DOC de versiones antiguas han aumentado notablemente); por otro, la ingeniería social sigue siendo una herramienta clave para lograr comprometer a los usuarios.
Para no andarnos con rodeos, están cambiando tanto la cantidad como la calidad de los ataques. Mientras que el volumen de spam tradicional se ha estabilizado tras alcanzar una fase de normalización, las amenazas más peligrosas (malware, estafas, phishing, etc.) están creciendo con fuerza. Esta combinación (contenido más dañino enviado a gran escala) aumenta las posibilidades de que incluso las empresas más preparadas sufran incidentes si no actualizan sus sistemas de detección, si no invierten en la formación de los usuarios y si no adoptan planes de recuperación sólidos.
Spam, malware y métricas de amenazas avanzadas
Los datos son claros: el malware tuvo el mayor incremento (+130,92%), seguido de las estafas (+34,70%) y el phishing (+20,97%). Estas tres categorías concentran la mayor parte del riesgo operativo, ya que pueden provocar robo de datos, cifrado de sistemas o interrupciones del negocio.
Por otro lado, las categorías que históricamente implicaban un menor riesgo (como los mensajes legítimos y los correos transaccionales o comerciales) apenas han cambiado, lo que indica que los atacantes están centrando todos sus esfuerzos en los tipos de ataque que generan mayor impacto.
Implicaciones clave:
- Proliferación de cargas maliciosas. El aumento del 131% en correos con malware indica que hay más mensajes que contienen cargas activas (o señales claras de ellas) y no solo ruido. Las estrategias de detección deben partir de la base de que ambos tipos de mensajes tienen intención maliciosa.
- Aumento de estafas y uso avanzado de ingeniería social. El crecimiento de las estafas (+34,7%) y del phishing (+21,0%) muestra que los atacantes buscan mejorar sus engaños y rentabilidad. Intentan crear fraudes creíbles y mensajes personalizados, seguramente porque usan herramientas de IA generativa.
- El auge de los “correos basura” debilita los filtros heurísticos. El aumento de correos comerciales sospechosos o de baja calidad (+17,72%) muestra que los atacantes están usando plantillas de marketing poco elaboradas como método para eludir filtros básicos de contenido y mezclarse con el tráfico legítimo.
- El spear phishing dirigido ha bajado, pero está ahí. El spear phishing o mensajes sospechosos ha descendido (-9,75%), lo que apunta al uso de técnicas de phishing más automatizadas o masivas, así como métodos de robo de credenciales que esquivan los sistemas clásicos de detección. Aun así, no bajes la guardia, los ataques dirigidos siguen teniendo un gran impacto.
Categorías de clasificación de correos electrónicos
| Categoría | Variación interanual ajustada 2025 vs. 2024 |
|---|---|
| Malware | +130,92% |
| Estafa (Scam) | +34,70% |
| Phishing | +20,97% |
| Correos comerciales sospechosos | +17,72% |
| Correo comercial | +2,37% |
| Mensajes legítimos | +3,38% |
| Transaccional | +3,19% |
| Spam | +0,03% |
| Social | -8,05% |
| Spear Phishing | -9,75% |
| Correos comerciales profesionales | -13,73% |
| Rebotes (Bounce) | -18,69% |
Descripciones de las categorías de clasificación:
- Spam: Correos masivos no solicitados enviados a muchos destinatarios, normalmente con fines publicitarios o maliciosos.
- Phishing: Correos fraudulentos diseñados para engañar al receptor y obtener información sensible, como contraseñas, datos personales o números de tarjeta de crédito.
- Correo comercial: Correos legítimos de marketing o promoción enviados por empresas a clientes o potenciales clientes, generalmente para anunciar productos u ofertas.
- Mensajes legítimos: Correos auténticos y no promocionales, intercambiados entre personas u empresas como parte de su comunicación habitual.
- Correos comerciales profesionales: Correos de marketing profesionales, normalmente muy personalizados y dirigidos, utilizados en la mayoría de los casos en campañas entre empresas (B2B).
- Transaccional: Correos generados por acciones del usuario o eventos del sistema, como confirmación de pedidos, restablecimiento de contraseñas o notificaciones de cuenta.
- Social: Correos procedentes de redes sociales, como notificaciones, solicitudes de amistad o alertas de actividad.
- Rebote (Bounce): Correos que no se entregan al destinatario por motivos como direcciones incorrectas, buzones llenos o fallos en el servidor.
- Correos comerciales sospechosos: Correos de marketing que no cumplen con normas de buenas prácticas o de cumplimiento, muchas veces mal redactados o engañosos.
- Estafa (Scam): Correos diseñados para engañar y estafar al destinatario, normalmente con ofertas falsas, premios inexistentes o suplantación de identidad.
- Malware: Correos que incluyen archivos adjuntos o enlaces maliciosos, diseñados para instalar software dañino en el dispositivo del destinatario.
- Spear Phishing: Ataques de phishing muy específicos, dirigidos a personas o empresas concretas, que usan información personalizada para parecer legítimos.
Técnicas de ataque utilizadas en los correos electrónicos en 2025
El panorama de ataques por correo electrónico en 2025 muestra una clara preferencia por tácticas diseñadas para pasar desapercibidas. Los atacantes se centran menos en incluir cargas maliciosas evidentes y más en intentar que ni los filtros ni los usuarios las detecten.
Las técnicas usadas (falsificación de cabeceras, trucos sutiles en HTML, uso de servicios de alojamiento legítimos y ofuscación de URLs) esconden intenciones maliciosas dentro de correos que parecen inofensivos.
Este cambio refleja por qué hay menos casos evidentes de spear phishing y más robos de credenciales y ataques en varias fases: el correo ya no es el ataque; es el primer paso de una intrusión compleja.
Observaciones:
- Manipulación de cabeceras y metadatos en primer plano. El uso de cabeceras falsas en el campo «De» y la alteración de metadatos relacionados con el spam encabezan la lista de técnicas. Esto muestra que la suplantación de identidad (spoofing) y la manipulación de cabeceras siguen siendo métodos baratos pero efectivos para esquivar filtros poco avanzados y dar confianza.
- Mayor uso indebido de infraestructuras legítimas. Enviar campañas desde plataformas de alojamiento conocidas hace que los correos maliciosos parezcan venir en realidad de fuentes fiables. Esta estrategia mejora la capacidad de entrega y reduce la sospecha durante los primeros controles.
- La ofuscación de URLs está en todas partes. Los acortadores de enlaces, caracteres no ASCII, dominios poco comunes (TLD exóticos) y técnicas de manipulación de nombres de dominio (fuzzing) son métodos simples y eficaces que ocultan el destino real del enlace y esquivan bloqueos y revisiones visuales.
- Trucos HTML/MIME que engañan a los sistemas, no a los usuarios. El uso de etiquetas <a> vacías, mensajes en varios formatos y texto invisible (con tamaño de fuente cero) confunde a los motores de detección por firmas o palabras clave, manteniendo a la vez la legibilidad para quien recibe el correo.
- La evasión automática supera al ataque dirigido. Estas técnicas se pueden aplicar a gran escala: los atacantes pueden lanzar muchas campañas pequeñas que, por separado, parecen inofensivas, pero que en conjunto logran robar credenciales, comprometer cuentas o activar descargas encadenadas.
Top 10 técnicas de ataque utilizadas en correos electrónicos en 2025
| Rango | Técnica |
|---|---|
| 1 | Alteración del encabezado «De» |
| 2 | Alteración del encabezado «Spamcause» |
| 3 | Uso de plataformas legítimas de alojamiento para enviar campañas |
| 4 | Uso de TLDs exóticos o inexistentes |
| 5 | Acortamiento de URLs |
| 6 | Etiqueta HTML <a> vacía |
| 7 | Correos electrónicos multiparte |
| 8 | URLs con caracteres no ASCII |
| 9 | Dominios aleatorios / Fuzzing de URLs |
| 10 | Técnica ZeroFont |
Descripción de las técnicas:
- Alteración del encabezado «De»: Los atacantes modifican el campo «De» en los correos para hacerse pasar por remitentes de confianza y engañar al destinatario. El mensaje parece legítimo.
- Alteración del encabezado «Spamcause»: Manipulación de cabeceras relacionadas con el spam para esquivar filtros y hacer que correos maliciosos parezcan inofensivos.
- Uso de plataformas legítimas de alojamiento para enviar campañas: Uso de servicios conocidos de alojamiento o correo (como plataformas en la nube) para distribuir campañas de phishing o malware, dificultando su detección.
- Uso de TLDs exóticos o inexistentes: Empleo de dominios poco comunes o falsos (como .xyz o .club) para crear URLs engañosas que parecen fiables.
- Acortamiento de URLs: Uso de acortadores de enlaces (como bit.ly) para ocultar el destino real de los enlaces maliciosos, dificultando su detección y análisis.
- Etiqueta HTML <a> vacía: Inserción de etiquetas de enlace vacías en correos en formato HTML para confundir filtros de spam o esconder enlaces maliciosos.
- Correos electrónicos multiparte: Envío de mensajes con varias versiones (por ejemplo, texto y HTML) para eludir sistemas de seguridad que solo analizan una de ellas.
- URLs con caracteres no ASCII: Uso de caracteres especiales o Unicode en enlaces para crear direcciones visualmente engañosas (por ejemplo, en ataques por homógrafos).
- Dominios aleatorios / Fuzzing de URLs: Creación de dominios aleatorios o con pequeñas variaciones para evitar los filtros y sistemas que detectan dominios conocidos de ataques.
- Técnica ZeroFont: Inserción de texto con tamaño de fuente cero en el correo para esquivar filtros que detectan palabras clave, sin afectar la legibilidad para el usuario.
Uso de archivos adjuntos y tipos en ataques
Las tendencias de 2025 muestran un cambio claro en la forma de distribuir malware en archivos adjuntos. Los tipos de archivo que más han aumentado como portadores son los TXT (+181,39%) y los DOC antiguos (+118,25%). También se ha observado el uso de archivos comprimidos como ZIP y documentos de Office modernos (DOCX, XLSX), aunque con un crecimiento más moderado.
Por el contrario, algunos formatos antes comunes, como HTML, RAR, HTM y XLS, han perdido presencia. En cambio, hemos encontrado los formatos ICS y SHTML entre los diez más utilizados. Esto sugiere que los atacantes buscan archivos menos vigilados o con poca atención, especialmente aquellos relacionados con calendarios o elementos incluidos desde el servidor.
Puntos clave:
- TXT y DOC antiguos son señales de alerta. Los archivos TXT, normalmente considerados de bajo riesgo, se están usando como preparativos del ataque, ya que permiten incluir URLs ofuscadas o scripts. Los DOC antiguos, que aceptan el uso de macros, siguen siendo atractivos para los atacantes porque aún hay entornos que no bloquean ni analizan a fondo estos elementos.
- Los archivos comprimidos SIGUEN siendo relevantes. Los archivos ZIP (+29,82%) siguen siendo una forma de agrupar malware y evitar su detección. El uso de archivos comprimidos es aún una técnica efectiva para los atacantes.
- La aparición de ICS y SHTML es destacable. Los archivos ICS (invitaciones de calendario) y SHTML (con contenido incluido desde el servidor) son vectores menos comunes que pueden esquivar filtros y no levantar sospechas, sobre todo si el destinatario acepta invitaciones o previsualiza contenido HTML.
- El descenso de HTML/HTM/RAR/XLS refleja mejoras defensivas, aunque ahora, en lugar de dejar de usar el correo como vía de ataque, los atacantes están empezando a cambiar a métodos menos controlados y más inesperados.
Tipos de archivos para cargas maliciosas en 2025
| Tipo de archivo | Variación interanual ajustada 2025 vs. 2024 |
|---|---|
| TXT | +181.39% |
| DOC | +118.25% |
| ZIP | +29.82% |
| DOCX | +11.69% |
| XLSX | +7.85% |
| -3.32% | |
| HTML | -27.44% |
| RAR | -36.93% |
| HTM | Fuera del top 10 |
| XLS | Fuera del top 10 |
| ICS | Nueva entrada en 2025 |
| SHTML | Nueva entrada en 2025 |
Definiciones de tipos de archivo:
- PDF: Formato comúnmente usado para documentos; los atacantes suelen insertar enlaces o scripts maliciosos en su interior.
- DOC: Documento Microsoft Word (antiguo): formato antiguo de Word que puede contener macros capaces de ejecutar código malicioso.
- DOCX: Documento Microsoft Word (moderno): formato actual de Word; permite incrustar macros o scripts que pueden ser aprovechados por atacantes.
- XLS: Microsoft Excel (antiguo): formato antiguo de Excel; suele ser utilizado en ataques que explotan macros.
- XLSX: Microsoft Excel (moderno) – formato actual de Excel; puede incluir macros o enlaces maliciosos.
- TXT: Archivo de texto plano: archivo de texto simple; usado por atacantes para entregar scripts o contenido de phishing disfrazado de texto inofensivo.
- HTML: Archivo HyperText Markup Language: formato de páginas web; se usa con frecuencia en correos de phishing que contienen enlaces maliciosos.
- HTM: Archivo HyperText Markup Language (variante): extensión antigua de HTML; también se utiliza para contenido web y ataques de phishing.
- SHTML: Extensión de archivo HTML: versión de HTML con capacidad para incluir contenido desde el servidor; puede ser explotada para redirecciones maliciosas.
- ZIP: Archivo comprimido: archivo comprimido que agrupa varios ficheros; los atacantes lo usan para esconder malware.
- RAR: Archivo comprimido (alternativo): similar al ZIP, pero con un método de compresión distinto; también se usa habitualmente para distribuir malware.
- ICS: Archivo de calendario: formato de invitaciones de calendario; puede incluir enlaces o archivos maliciosos en eventos aparentemente legítimos.
Protege tu entorno de Microsoft 365 frente a las crecientes amenazas por correo electrónico
El resurgimiento del ransomware y la rápida evolución de las amenazas por correo electrónico ponen de manifiesto que los controles nativos de Microsoft 365 ya no bastan. Necesitas una solución específica capaz de ir un paso por delante de tácticas evasivas, suplantaciones de identidad y campañas multivectoriales.
365 Total Protection de Hornetsecurity refuerza Microsoft 365 con una capa avanzada de seguridad frente a amenazas por email, combinando filtrado inteligente y análisis en sandbox impulsados por IA para detener los mensajes maliciosos a tiempo.
Cuenta con un escáner de amenazas por correo basado en IA que examina:
- encabezados falsos,
- archivos TXT manipulados,
- y URLs ofuscadas
antes de que puedan representar un riesgo.
Respaldado por inteligencia global sobre amenazas, este servicio aprende de forma continua de nuevas campañas, así garantizamos que tus políticas y sistemas de detección se mantengan siempre por delante de los atacantes.
Gracias a esta protección automatizada frente a amenazas por correo, podrás mantener a raya los ataques más sofisticados y proteger eficazmente tu entorno de Microsoft 365. Descubre 365 Total Protection.
Conclusión: de las tendencias de amenazas en el correo electrónico a la acción
En general, los datos de este año dibujan un panorama claro e inquietante: los ataques por correo son cada vez más discretos, sofisticados y eficaces a la hora de esquivar los controles tradicionales. Las amenazas más peligrosas son aquellas que se camuflan dentro de conversaciones que a primera vista parecen legítimas, con intercambios de archivos y rutinas laborales diarias, en lugar de que destaquen de forma evidente.
Desde encabezados falsos y servicios de alojamiento comprometidos hasta archivos TXT manipulados o invitaciones de calendario alteradas, los atacantes optimizan cada eslabón de la cadena de entrega para sortear los filtros y abusar de la confianza del usuario. Las empresas que aún usan soluciones heredadas o tienen poca formación están, sin saberlo, dando al atacante margen para probar y perfeccionar sus técnicas.
Cerrar esa brecha requiere tratar el correo como parte integral de un ecosistema más amplio, donde convergen el ransomware y la gestión de identidades: con controles multicapas, autenticación robusta, supervisión continua y una concienciación del usuario alineada con la realidad actual, no con los esquemas de fraude de hace años.
El correo electrónico no va a desaparecer. Los atacantes, tampoco. Pero no estamos indefensos. Con la combinación adecuada de políticas, formación y tecnologías modernas de protección frente a amenazas por email, los equipos de seguridad pueden transformar el conocimiento sobre tendencias en medidas efectivas que salvaguarden la continuidad del negocio, incluso ante la evolución constante de los ataques.
Preguntas frecuentes: nuevas amenazas por correo y ransomware moderno
¿Por qué los archivos TXT y los documentos DOC heredados se han vuelto tan prominentes en las recientes tendencias de amenazas por email?
Porque los atacantes usan archivos que muchos sistemas de seguridad ven de bajo riesgo. Los archivos TXT, que se interpretan como texto plano, ocultan URLs ofuscadas o scripts que activan amenazas por correo en varias fases. Y los documentos DOC heredados aún permiten la ejecución de macros en muchos entornos. Eso los convierte en vehículos eficaces para cargas maliciosas que pasan desapercibidas.
¿Qué hace que estos nuevos ataques por correo y las tendencias actuales sean más difíciles de detectar?
Las campañas modernas están hechas para pasar inadvertidas, no para destacar por un contenido que es claramente malicioso. Los atacantes usan encabezados falsos, servicios legítimos de alojamiento, mensajes con varias partes, dominios de nivel superior poco comunes, técnicas como ZeroFont y otros métodos que confunden los filtros y herramientas de análisis. Así, el mensaje aparenta ser inofensivo, pero facilita el robo de credenciales, la instalación de ransomware o el acceso en fases posteriores.
Si los ataques de spear-phishing parecen estar disminuyendo en los datos, ¿significa eso que los ataques dirigidos por email están desapareciendo?
Para nada. El descenso del spear-phishing tradicional muestra simplemente una transición hacia el robo automatizado de credenciales y campañas de phishing masivo impulsadas por herramientas de IA avanzadas. Los ataques dirigidos, cuidadosamente elaborados de forma manual, siguen activos; la diferencia es que ahora conviven con un volumen mucho mayor de campañas automatizadas y escalables. Por ello, es fundamental que las empresas mantengan una visibilidad constante sobre las tendencias en amenazas por correo electrónico y cuenten con controles eficaces para identificar esos pocos ataques críticos que pueden tener un gran impacto.
