El 30% del tráfico malicioso ya es phishing en la nueva generación de ciberataques por fases
- Seguridad
EfficientIP alerta de un cambio profundo en el modelo del cibercrimen, que evoluciona hacia ataques por fases basados en una preparación masiva e industrializada. Los ciberdelincuentes generan cientos de miles de dominios antes de activar solo una fracción.
El informe “The Era of Staged Attacks: How 2025 DNS Threat Intelligence Shapes 2026” de EfficientIP confirma que los ataques actuales siguen un patrón cada vez más estructurado, consistente en largas fases de preparación y ejecuciones casi instantáneas.
El análisis, basado en más de 150.000 millones de transacciones DNS y el seguimiento de 500.000 nuevos dominios diarios, muestra que los atacantes construyen infraestructuras masivas que permanecen inactivas hasta el momento preciso. En campañas recientes, se han llegado a generar hasta 580.000 dominios potenciales de comando y control, de los cuales solo una pequeña parte se activa.
El phishing domina el tráfico malicioso
El phishing representa ya el 30% del tráfico DNS malicioso, consolidándose como la amenaza más visible. Le siguen los dominios sospechosos (23%), los vinculados a malware (11%), los recién registrados (11%) y los recién observados (8%), estos últimos clave para detectar campañas en fases tempranas.
Diego Solís, Sales Director Iberia & LATAM de EfficientIP, advierte que “el mayor error hoy es pensar que un ciberataque empieza cuando se detecta. En realidad, comienza mucho antes, cuando los atacantes están construyendo y ocultando su infraestructura.”
El informe destaca que el malware opera de forma cada vez más discreta. Durante 2025, la actividad DNS asociada a malware se mantuvo estable, con un repunte a final de año, coincidiendo con campañas diseñadas para activarse tras largos periodos de inactividad. Algunas amenazas utilizan consultas DNS para entregar código malicioso directamente en memoria, sin archivos, dificultando la detección por soluciones tradicionales.
Los llamados “dominios recién observados”, que representan el 8% del total, suelen aparecer discretamente antes de campañas de malware o phishing. Generan poco tráfico, permanecen latentes y se activan de forma coordinada, lo que los convierte en un indicador clave para anticipar ataques.
El informe subraya que la capacidad de anticipación es ya tan crítica como la respuesta. El análisis del tráfico DNS permite identificar señales de preparación, mientras que la inteligencia basada en IA ayuda a detectar patrones ocultos en grandes volúmenes de datos. “Si no somos capaces de ver esa fase de preparación, siempre llegaremos tarde”, concluye Solís.
