Los ataques de correo electrónico malicioso crecieron un 15% en 2025
- Seguridad
Casi uno de cada dos emails enviados en el mundo el pasado año fue spam o contenía amenazas como phishing, estafas o malware. Kaspersky identifica nuevas tácticas, desde QR-phishing hasta abusos de plataformas legítimas, que marcarán el panorama en 2026.
Kaspersky ha publicado su análisis anual de spam y phishing, en el que confirma un repunte notable de los ataques basados en correo electrónico. Según sus datos, el 44,99% del tráfico global fue spam en 2025. Además, los usuarios, tanto particulares como corporativos, se enfrentaron a más de 144 millones de adjuntos maliciosos o potencialmente no deseados, un 15% más que el año anterior.
La región de APAC concentró el mayor volumen de detecciones (30%), seguida de Europa con un 21% del total. En el ranking por países, China encabezó la lista con un 14% de los adjuntos maliciosos detectados, seguida de Rusia (11%), México (8%), España (8%) y Turquía (5%).
Los picos de actividad se registraron en junio, julio y noviembre, meses en los que los atacantes intensificaron campañas dirigidas tanto a consumidores como a empresas.
Según el informe, uno de cada diez ataques a empresas comienza con phishing, y una parte importante corresponde a amenazas avanzadas (APT), lo que subraya la necesidad de reforzar la protección del correo corporativo.
Multicanalidad, evasión y abuso de plataformas legítimas
El informe identifica varias tácticas que se consolidarán en 2026:
- Ataques multicanal: los ciberdelincuentes inducen al usuario a abandonar el email para continuar la estafa por mensajería o teléfono.
- Técnicas avanzadas de evasión: proliferan los enlaces disfrazados mediante servicios de protección de URL y el uso de QR codes incrustados en el cuerpo del correo o en PDF, aprovechando la menor protección de los móviles.
- Abuso de plataformas legítimas: Kaspersky detectó campañas que explotaban funciones de creación de organizaciones e invitaciones de equipo de OpenAI para enviar spam desde direcciones auténticas de la plataforma.
- Phishing basado en calendarios: un viejo vector que resurge con foco en usuarios corporativos.
- BEC más sofisticado: los atacantes incorporan falsos correos reenviados sin cabeceras verificables para dificultar la detección.
Roman Dedenok, experto anti-spam de Kaspersky, advierte que “la comoditización de la IA generativa ha amplificado significativamente esta amenaza, permitiendo crear mensajes altamente personalizados, convincentes y adaptados al contexto de cada víctima con un esfuerzo mínimo”.
Kaspersky aconseja extremar la precaución ante invitaciones inesperadas, revisar cuidadosamente las URL, evitar llamar a números incluidos en correos sospechosos y asegurar que todos los dispositivos cuenten con protección actualizada. Para entornos corporativos, la compañía destaca soluciones como Kaspersky Security for Mail Server, que incorpora defensa multicapa basada en machine learning.
