Los atacantes utilizan cada vez más la IA
Los kits de phishing como servicio (PhaaS) reducen la barrera de entrada, lo que permite a los atacantes menos capacitados ejecutar campañas de phishing dirigidas a gran escala que se hacen pasar por servicios e instituciones legítimos, según Barracuda Networks.
Los kits de phishing se vuelven más sofisticados y escalables
Los analistas de amenazas de Barracuda descubrieron que en 2025 los temas de phishing más comunes fueron diseñados para engañar a los usuarios para que hicieran clic en enlaces, escanearan códigos QR, abrieran archivos adjuntos o compartieran información personal con atacantes.
Estas técnicas siguen siendo eficaces a pesar de años de controles de seguridad y esfuerzos de concienciación de los usuarios. Los atacantes utilizan cada vez más la IA, nuevos métodos de evasión y ofuscación, y una gama cada vez mayor de plataformas confiables para alojar y distribuir contenido malicioso.
Las innovaciones relacionadas con el tema observadas en 2025 incluyeron fraudes en pagos y facturas, vishing, estafas basadas en documentos y engaños relacionados con RR.HH.
"Los kits de phishing avanzaron a otro nivel en 2025 a medida que aumentaron en número y sofisticación, brindando plataformas de ataque avanzadas y de servicio completo incluso a los ciberdelincuentes menos capacitados y permitiéndoles lanzar poderosos ataques a escala", dijo Ashok Sakthivel , Director de Ingeniería de Software en Barracuda.
Los kits incluyen técnicas diseñadas para dificultar que los usuarios y los equipos de seguridad detecten y prevengan el fraude. Para mantenerse protegidas, las organizaciones deben superar las defensas estáticas y adoptar estrategias estratificadas: capacitación de usuarios, MFA resistente al phishing, monitoreo continuo y garantizar que la seguridad del correo electrónico sea el núcleo de una estrategia de seguridad integral de extremo a extremo, continuó Sakthivel.
Las técnicas más comunes utilizadas en los kits de phishing incluían la ofuscación de URL, la omisión de MFA y el abuso de CAPTCHA. Los atacantes también utilizaban códigos QR y archivos adjuntos maliciosos, ingeniería social y ataques polimórficos.
Nuevos jugadores
En 2025, el número de kits PhaaS activos se duplicó. Kits consolidados como Tycoon 2FA y Mamba 2FA se enfrentaron a la creciente competencia de nuevos participantes, como Cephas, Whisper 2FA y GhostFrame, que se centran en el antianálisis avanzado, la omisión de MFA y la implementación sigilosa.
2FA furtivo
La autenticación de dos factores (A2FA) furtiva evade la A2FA mediante técnicas de intermediario (AitM). Valida las credenciales robadas mediante API legítimas de Microsoft, evade bots y entornos aislados, utiliza falsas ventanas de inicio de sesión dentro del navegador y redirige a las víctimas a páginas relacionadas con Microsoft para reducir las sospechas.
CoGUI
CoGUI es un kit de phishing con capacidades avanzadas de evasión y antidetección, comúnmente utilizado por actores de amenazas de habla china. Emplea geofencing, header fencing y huellas digitales de dispositivos para evadir el análisis automatizado. Las campañas de CoGUI no capturan credenciales MFA y suplantan la identidad de plataformas como Amazon, PayPal, Rakuten y Apple.
Cephas
Cephas es un kit de phishing ofuscado con técnicas antibots y antianálisis, integrado en las API de Microsoft. Valida las credenciales robadas y los tokens de sesión durante el envío para confirmar su usabilidad e incluye comentarios inusuales en las páginas que pueden facilitar la evasión de huellas digitales o la diversificación de contenido.
Whisper 2FA
Whisper 2FA es un kit de phishing ligero, diseñado para una rápida implementación y eludir la autenticación multifactor (MFA), que utiliza exfiltración basada en AJAX en lugar de complejos proxies inversos. Ofrece una potente ofuscación antianálisis y admite múltiples métodos de elusión de MFA, como notificaciones push, SMS, llamadas de voz y códigos basados en aplicaciones.
GhostFrame
GhostFrame es un kit de phishing de sigilo que prioriza la ofuscación y la ocultación de URL. Utiliza una arquitectura iframe de dos etapas para ocultar contenido malicioso, valida a los visitantes antes de cargar las páginas, rota subdominios aleatorios por visita y envía formularios de phishing mediante streaming de imágenes basado en blobs para evadir la detección y el análisis estático.
