Microsoft ha alertado sobre la detección de 8.300 millones de intentos de ataques 'phishing' a través del correo electrónico durante el primer trimestre de este año, liderados por el uso de códigos QR y el 'captcha', consolidando esta técnica como una de las puertas de entrada más utilizadas por los ciberdelincuentes.
Así lo ha compartido el equipo de expertos en ciberseguridad Microsoft Threat Intelligence, que ha analizado los intentos de 'phishing' desde enero hasta marzo de este año y cómo ha evolucionado el panorama de amenazas por correo electrónico, incluyendo los cambios tácticos en la forma de operar de los atacantes para esquivar la detección y robar credenciales.
Concretamente, se han detectado aproximadamente 8.300 millones de amenazas de 'phishing' por correo electrónico durante los tres primeros meses de 2026, con volúmenes mensuales que disminuyeron ligeramente, pasando de 2.900 millones de intentos identificados en enero a 2.600 millones en marzo, como ha especificado en su blog.
Dentro de los intentos identificados, los expertos han matizado que el 'phishing' mediante el uso de códigos QR se ha consolidado como «el vector de ataque de mayor crecimiento». Esto se debe a que su uso se ha duplicado durante estos tres meses, pasando de 7,6 millones de ataques en enero a 18,7 millones en marzo, un aumento del 146 por ciento.
Estos ataques se basan en insertar URL maliciosas dentro de códigos QR basados en imágenes, ya sea en el cuerpo del correo electrónico o en el contenido de un archivo adjunto, para redirigir a las víctimas a sitios de 'phishing' en dispositivos móviles.
Asimismo, se ha identificado un cambio en el modus operandi, dado que, para evitar la detección de este método de 'phishing' mediante códigos QR en los 'emails', los ciberdelincuentes han pasado a incrustar estos códigos en archivos adjuntos en formato PDF. Esta práctica ha pasado de representar el 65 por ciento de los ataques en enero al 70 por ciento en marzo.
Aumento de ataques 'phishing' con 'captcha'
Los actores maliciosos también han apostado por llevar a cabo ataques de 'phishing' con procesos 'captcha', es decir, el sistema de seguridad utilizado para diferenciar humanos de bots, que cada vez se ha utilizado en más campañas con un repunte del 125 por ciento en marzo.
Este método funciona como un señuelo visual, simulando hacer una comprobación de seguridad legítima mientras realmente está ocultando el acceso a contenido malicioso. «Al obligar a los usuarios a completar el 'captcha' antes de acceder al 'malware', reducen la probabilidad de que las herramientas de escaneo automatizadas identifiquen la amenaza y aumentan las posibilidades de obtener credenciales o distribuir 'malware' con éxito», ha asegurado Microsoft.
Según ha detallado la tecnológica, se han hallado un total de 11,9 millones de ataques 'phishing' por medio de sistemas 'captcha' y, para evitar ser detectados manipulando a los usuarios y esquivando los sistemas automatizados, los ciberdelincuentes han optado por incluir pasos de verificación que parecen legítimos en el proceso.
'phisihng' para el robo de credenciales
En general, el informe compartido en su blog detalla que el 78 por ciento de las amenazas por correo electrónico identificadas estos meses se han basado en enlaces maliciosos, mientras que las cargas útiles maliciosas han representado el 19 por ciento de los ataques en enero, impulsadas por campañas de HTML y archivos ZIP. No obstante, estos ataques disminuyeron a un 13 por ciento tanto en febrero como en marzo.
Con todo ello, el objetivo principal de los ataques con 'malware' sigue siendo el robo de credenciales, lo que indica un avance del 'malware' tradicional hacia el compromiso de la identidad de los usuarios, que ha representado entre el 89 y 95 por ciento del objetivo de los ataques este trimestre.
Este comportamiento refleja una preferencia por parte de los actores maliciosos hacia los ataques de 'phishing' de credenciales «alojada en la nube en lugar de las cargas útiles generadas localmente», como ha explicado Microsoft.
Desarticular la plataforma de 'phishing' tycoon2fa
En el marco de esta investigación, la Microsoft Digital Crimes Unit lideró una acción coordinada junto a Europol y socios de la industria durante el mes de marzo para desarticular la plataforma de 'phishing' como servicio (PhaaS) Tycoon2FA, lo que redujo la actividad de ataques asociada en un 15 por ciento durante el resto del mes.
Igualmente, también se produjo una reducción significativa en el acceso de páginas de 'phishing' activas, lo que limitó la eficacia de la plataforma.
Activo desde agosto de 2023, Tycoon2FA se ha convertido rápidamente en una de las plataformas PhaaS más extendidas, utilizando técnicas de ataque en el medio (AiTM) para intentar burlar las defensas de autenticación multifactor (MFA) que no son resistentes al 'phishing'.
Así, el grupo responsable de la plataforma, identificado como Storm-1747, alquilaba la infraestructura maliciosa y vendía kits de 'phishing' que imitan páginas de inicio de sesión de diversas aplicaciones empresariales e incorporan tácticas de evasión, como páginas 'chaptcha' falsas.
A pesar de estos los esfuerzos de Microsoft para desarticular la plataforma, se ha de tener en cuenta que Tycoon2FA se ha adaptado posteriormente para seguir actuando a través de otros proveedores de alojamiento, dejando de utilizar Cloudflare, y otros patrones de registro de dominios.
Sin embargo, Microsoft ha subrayado que se trata de «una recuperación parcial» del servicio malicioso en lugar de una restauración completa de sus capacidades.