Cuando la gente piensa en las ciberamenazas actuales, el ransomware tiende a dominar la conversación. Es llamativo, destructivo y acapara los titulares. Pero el ransomware rara vez llega por sí solo. La mayoría de las veces, se distribuye a través de algo aparentemente sencillo: un correo electrónico.

El spam puede parecer una molestia obsoleta, pero los atacantes lo están convirtiendo en algo mucho más peligroso. Hoy en día, el spam es solo el punto de partida. Las verdaderas amenazas son el phishing y el compromiso del correo electrónico empresarial (BEC), que se aprovechan de la confianza, roban credenciales y cuestan miles de millones a las organizaciones.

La Agencia de Seguridad Cibernética y de Infraestructuras de EE. UU. (CISA) informa de que el 90 % de los ciberataques exitosos comienzan con phishing. Y el Informe sobre el estado del ransomware de Sophos para 2025 recalca que el correo electrónico sigue siendo un vector de ataque importante, ya que el 19 % de las víctimas de ransomware señalan el correo electrónico malicioso como la causa principal y otro 18 % cita el phishing, lo que supone un notable aumento con respecto al 11 % del año pasado.

Los ataques basados en el correo electrónico no son reliquias del pasado. Son activos, sofisticados y cada vez más lucrativos para los atacantes.

El spam no ha desaparecido, está evolucionando

Aunque muchos piensan que el spam está obsoleto, los atacantes actuales lo están convirtiendo en una herramienta de precisión, más difícil de detectar y más fácil de escalar.

El spam existe desde los inicios del correo electrónico, remontándose a la década de 1990, cuando se enviaron a los usuarios de AOL algunos de los primeros correos electrónicos de phishing. Pero los atacantes siguen perfeccionando constantemente sus tácticas.

Los investigadores de Sophos X-Ops han observado un aumento de los esquemas de compromiso del correo electrónico empresarial (BEC) , en los que los actores maliciosos manipulan a los empleados para que transfieran fondos o revelen información confidencial. De hecho, las pérdidas por estafas BEC superan ahora los 3000 millones de dólares al año en todo el mundo.

La CTU de Sophos X-Ops observó que el phishing fue el vector de acceso inicial en el 43 % de las intervenciones de respuesta a incidentes de emergencia del año pasado. En las investigaciones de detección y respuesta gestionadas (MDR) de X-Ops, en las que los analistas investigan de forma proactiva las actividades sospechosas antes de que se conviertan en una crisis en toda regla, el phishing desempeñó un papel en el 65 % de los casos.

La conclusión es clara: ya se trate de una brecha activa o de una alerta temprana, las amenazas basadas en el correo electrónico siguen siendo una de las formas más comunes que tienen los atacantes para hacerse con un punto de apoyo. Ignorarlas supone un grave riesgo para las organizaciones.

El auge del phishing mejorado con IA

Los atacantes están aprovechando las herramientas de IA generativa para crear correos electrónicos de phishing y mensajes de spam más convincentes. Aunque los actores maliciosos aún no dominan completamente la IA, cada vez experimentan más con GPT y modelos de lenguaje grandes (LLM) para ampliar sus campañas de phishing.

Algunos actores maliciosos están creando sus propios GPT para generar correos electrónicos de phishing y malware. Como X-Ops informó a principios de este año, «Algunos actores maliciosos… parecen cada vez más interesados en utilizar la IA generativa para enviar spam y estafar. Hemos observado algunos ejemplos de ciberdelincuentes que ofrecen consejos y piden asesoramiento sobre este tema, incluido el uso de GPT para crear correos electrónicos de phishing y mensajes SMS de spam».

El Informe anual sobre amenazas de Sophos 2025 también destacó el uso emergente de la IA generativa en los correos electrónicos de phishing. Estos ataques generados por IA están remodelando el panorama de las amenazas y poniendo en riesgo todas las bandejas de entrada.

Los LLM pueden utilizarse para crear contenido gramaticalmente correcto en un formato que varía de un objetivo a otro, lo que permite burlar eficazmente los filtros de contenido que identifican las firmas en los correos electrónicos de spam y phishing. Esto significa que los filtros tradicionales por sí solos no son suficientes; las organizaciones necesitan una protección adaptativa que evolucione tan rápido como las amenazas.

En octubre de 2024, Sophos AI demostró que se podía crear toda una campaña de correos electrónicos dirigidos utilizando procesos orquestados por IA que aprovechaban las herramientas existentes y la información recopilada de los perfiles de redes sociales de las personas objetivo. Esta demostración pone de relieve la creciente sofisticación de los ataques de phishing y subraya la necesidad de medidas de seguridad avanzadas para protegerse contra este tipo de amenazas.

Otra táctica popular es el phishing con códigos QR (también conocido como « quishing »), que consiste en incrustar códigos QR maliciosos en los correos electrónicos para redirigir a los usuarios a sitios de phishing. Los ataques de quishing están evolucionando rápidamente, con diseños pulidos que eluden los filtros tradicionales y atraen a los usuarios para que abran archivos o páginas web maliciosos.

Ingeniería social: el factor humano

El spam y el phishing no se basan en fallos técnicos, sino que se dirigen a las personas. Y en entornos de ritmo rápido, incluso los empleados más vigilantes pueden ser engañados. La concienciación y la protección por capas son fundamentales.

La unidad Sophos X-Ops Counter Threat Unit observó un aumento de los ataques innovadores de ingeniería social a lo largo de 2024, en los que los autores de las amenazas se dirigían cada vez más al personal de asistencia técnica y aprovechaban la confianza humana en lugar de las vulnerabilidades técnicas.

Por ejemplo, el grupo de amenazas GOLD HARVEST ha utilizado falsas solicitudes de verificación humana dirigidas a empleados que buscaban contenido en streaming en dispositivos corporativos. A las víctimas se les pedía que completaran secuencias de teclado para «demostrar» que eran humanos, pero estas acciones activaban silenciosamente un código PowerShell malicioso para instalar malware de robo de información.

Esta táctica es un claro ejemplo de cómo los atacantes se aprovechan de la curiosidad y la comodidad, eludiendo los métodos tradicionales de phishing y aprovechando la manipulación del comportamiento.

Ni siquiera las empresas de ciberseguridad son inmunes. La propia Sophos fue recientemente objeto de un ataque de phishing, lo que pone de relieve lo generalizadas y eficaces que pueden ser estas amenazas. En este caso, un empleado senior de Sophos fue víctima de un correo electrónico de phishing e introdujo sus credenciales en una página de inicio de sesión falsa, lo que provocó el bypass de la autenticación multifactorial (MFA) y que un actor malicioso intentara acceder a nuestra red. Varios equipos de Sophos trabajaron juntos para eliminar esta amenaza y han puesto en marcha nuevas iniciativas para mejorar la recopilación de información y reforzar los bucles de retroalimentación.

Cómo Sophos Email protege contra el phishing, el spam y el BEC

Sophos Email no solo se mantiene al día con las amenazas en constante evolución, sino que las anticipa. Con análisis basados en inteligencia artificial y una integración perfecta, está diseñado para detener el phishing, el spam y el BEC antes de que lleguen a tu bandeja de entrada.

Sophos Email ofrece:

Opciones de implementación flexibles.

Controles de políticas intuitivos.

Análisis avanzado de amenazas basado en más de 20 modelos de IA y ML.

Integración perfecta con Sophos Central, Microsoft 365 y Google Workspace.

La plataforma Sophos analiza los mensajes en busca de URL y códigos QR maliciosos, protegiendo a los usuarios contra el phishing, el malware, el ransomware y los sitios web inseguros. Se trata de una solución robusta diseñada para proteger a las organizaciones contra la creciente amenaza del BEC y el phishing.