Según el informe sobre phishing de Barracuda de 2025, el 48% de los ataques logró evadir la autenticación multifactorial, mientras crecen tácticas como la ofuscación de URLs, el abuso de CAPTCHA y los QR maliciosos.

Las estafas de pagos, firmas digitales y documentos de RR. HH. siguen siendo los ganchos más usados, con millones de ataques basados en marcas de confianza y contenidos generados por IA.

Nuevas amenazas como Whisper 2FA y GhostFrame elevan el nivel del phishing, incorporando técnicas avanzadas de evasión, bloqueo de análisis y uso de IA generativa.

En 2025, el número de kits phishing como servicio (PhaaS) se duplicó, lo que aumentó la presión sobre los equipos de seguridad que intentaban defenderse de esta amenaza en constante evolución, según el informe sobre phishing de Barracuda de 2025.

Los nuevos actores agresivos, como Whisper 2FA y GhostFrame, introdujeron herramientas y tácticas ingeniosas y evasivas, entre ellas un conjunto de técnicas para impedir el análisis de su código malicioso, mientras que grupos consolidados, como Mamba y Tycoon, siguieron evolucionando y prosperando. Cada kit estuvo detrás de millones de ataques.

Según el análisis de Barracuda, las herramientas y técnicas más utilizadas por los kits de phishing en 2025 fueron:

Elusión de la autenticación multifactorial, presente en el 48% de los ataques.

Técnicas de ofuscación de URL, también presentes en el 48%.

El abuso de CAPTCHA para la evasión, presente en el 43% de todos los ataques.

Técnicas de polimórficas y el uso de códigos QR maliciosos, presentes en alrededor de 20% de los ataques.

El abuso de plataformas online de confianza (presente en el 10% de los ataques) y el uso de herramientas de IA generativa, como los sitios de desarrollo sin código (también en el 10%).

Los principales temas utilizados en los correos electrónicos de phishing son muy similares a los de años anteriores, aunque han evolucionado con el tiempo gracias al uso de la inteligencia artificial generativa y otras herramientas.

En 2025, uno de cada cinco (19%) correos electrónicos de phishing estaba relacionado con estafas de pagos y facturas. Los correos electrónicos de firma digital y revisión de documentos representaron el 18% de los ataques, mientras que los documentos relacionados con recursos humanos representaron el 13%. Muchos explotaban marcas de confianza, imitando sitios web y logotipos con una precisión cada vez mayor.

“Los kits de phishing pasaron a otro nivel en 2025, ya que aumentaron en número y sofisticación, lo que proporcionó plataformas de ataque avanzadas y completas incluso a los ciberdelincuentes menos cualificados y les permitió lanzar potentes ataques a gran escala”, afirmó Ashok Sakthivel, director de Ingeniería de Software de Barracuda. “Los kits incorporan técnicas diseñadas para dificultar la detección y prevención del fraude por parte de los usuarios y los equipos de seguridad. Para mantenerse protegidas, las organizaciones deben ir más allá de las defensas estáticas y adoptar estrategias por capas: formación de los usuarios, MFA resistente al phishing, supervisión continua y garantizar que la seguridad del correo electrónico sea el núcleo de una estrategia de seguridad integrada y completa.”