Kaspersky ha identificado una preocupante escalada en el uso de archivos Scalable Vector Graphics (SVG) como vector de ataque en campañas de phishing dirigidas a usuarios individuales y corporativos. Esta nueva tendencia representa una evolución en las tácticas de los ciberdelincuentes, aprovechando las capacidades interactivas del formato SVG para redirigir a las víctimas a páginas de phishing sofisticadas que imitan servicios legítimos de Google y Microsoft, con el objetivo primordial de sustraer credenciales de acceso.

Análisis de la Tendencia y Detecciones

Durante el mes de marzo de 2025, se registró un incremento de casi seis veces en la incidencia de ataques de phishing que utilizan archivos SVG en comparación con el mes anterior. A nivel global, se han detectado más de 4,000 correos electrónicos maliciosos de este tipo desde el inicio del año, con una presencia notable en América Latina.

La particularidad del formato SVG radica en su capacidad para contener no solo elementos gráficos, sino también código interactivo, como enlaces o scripts. Esta funcionalidad, que lo hace valioso para diseñadores, es precisamente lo que ha sido explotado por los atacantes para insertar enlaces maliciosos. Al abrir un archivo SVG comprometido, aparentemente inofensivo, los usuarios son redirigidos sin consentimiento a sitios web fraudulentos.

Modus Operandi de los Ataques

Los vectores de ataque observados presentan variaciones en su ejecución:

• Simulación de Grabaciones de Voz: En un escenario común, el archivo SVG adjunto se presenta como una página HTML minimalista que contiene un enlace, supuestamente a un archivo de audio. Al hacer clic, el usuario es dirigido a una página de phishing que imita una grabación de voz de Google Voice. Una interacción posterior, al intentar “reproducir el audio”, conduce a un formulario de inicio de sesión falso que suplanta plataformas de correo corporativo, incorporando el logotipo de la empresa objetivo y referencias a Google Voice para generar una falsa sensación de confianza.

• Suplantación de Servicios de Firma Electrónica: Otra táctica detectada involucra la simulación de notificaciones de servicios de firma electrónica. En estos casos, el archivo SVG se presenta como un documento pendiente de revisión y firma. A diferencia del ejemplo anterior, estos archivos SVG pueden contener scripts en JavaScript que, al ser ejecutados, abren directamente ventanas del navegador con sitios de phishing que imitan entornos de Microsoft.

Leandro Cuozzo, analista de Seguridad en el Equipo Global de Investigación y Análisis para América Latina en Kaspersky, subraya la adaptabilidad de los atacantes: “Los atacantes de phishing exploran constantemente nuevas técnicas para evadir la detección. Varían sus tácticas, a veces utilizando redirecciones para confundir al usuario, y otras experimentando con diferentes formatos de archivo adjunto. Los ataques con archivos SVG están mostrando una tendencia clara al alza. Aunque por ahora estas amenazas son relativamente simples, con archivos SVG que contienen una página de enlace o un script de redirección a un sitio fraudulento, el uso de SVG como contenedor de contenido malicioso también puede emplearse en ataques dirigidos mucho más sofisticados.”

Recomendaciones para la Prevención

Para mitigar el riesgo de ser víctima de estas campañas de phishing, Kaspersky recomienda las siguientes medidas de seguridad proactivas:

• Verificación Rigurosa del Remitente: Abstenerse de abrir correos electrónicos o hacer clic en enlaces si no existe una certeza absoluta sobre la legitimidad del remitente.
• Confirmación por Canales Alternos: Si el remitente es conocido, pero el contenido del mensaje genera sospechas, validar la autenticidad del comunicado a través de un canal de comunicación independiente y seguro (e.g., llamada telefónica, mensajería instantánea verificada).
• Inspección Detallada de URL: Realizar una revisión minuciosa de la ortografía y estructura de la URL de cualquier sitio web, especialmente en casos donde se sospeche de una página de phishing. Los ciberdelincuentes suelen incorporar errores sutiles o sustituciones de caracteres (ej., “1” por “l”, “0” por “O”) que pueden pasar desapercibidos a primera vista.