Resumen de buceo:
- Los ataques de phishing que utilizan códigos QR para dirigir a las víctimas a enlaces maliciosos aumentaron en el primer trimestre de 2026. Microsoft dijo en un informe de amenazas. publicado el jueves.
- Los ataques de phishing basados en correo electrónico utilizaron abrumadoramente enlaces maliciosos en lugar de archivos adjuntos durante los primeros tres meses del año, lo que refleja la mayor variedad de opciones de entrega para amenazas alojadas externamente.
- Una importante plataforma de phishing como servicio (PhaaS) disminuye significativamente después intentos recientes para asfixiar su infraestructura, dijo la compañía.
Información de buceo:
El crecimiento de los ataques de phishing con códigos QR es uno de los hallazgos más sorprendentes del informe del primer trimestre de 2026 de Microsoft Threat Intelligence, que analiza los 8.300 millones de ataques de phishing basados en correo electrónico que la compañía detectó entre enero y marzo.
En enero, 7,6 millones de amenazas utilizaron códigos QR, pero en marzo eran 18,7 millones, un aumento del 146%. Ese salto convirtió al phishing con códigos QR en “el vector de ataque de más rápido crecimiento” durante el trimestre, dijo Microsoft.
«Al incorporar URL maliciosas en códigos QR basados en imágenes en el cuerpo de un correo electrónico o en el contenido de un archivo adjunto», explicaron los investigadores, «los actores de amenazas intentan explotar las limitaciones de los motores de escaneo basados en texto y redirigir a las víctimas a sitios de phishing en dispositivos móviles no administrados».
Las páginas web de entrega de malware que utilizan controles de seguridad CAPTCHA falsos también aumentaron en el primer trimestre, impulsado en gran medida por un aumento masivo en marzo después de caídas mensuales en enero y febrero. Los 11,9 millones de ataques que utilizaron CAPTCHA en marzo representaron «el mayor volumen observado durante el último año», dijo Microsoft.
La plataforma PhaaS Tycoon2FA solía dominar los ataques basados en CAPTCHA, pero después de una eliminación global que involucró a agencias de aplicación de la ley, empresas de tecnología y proveedores de seguridad, su influencia ha disminuido significativamente. «A finales de 2025, más de las tres cuartas partes de los sitios de phishing controlados por CAPTCHA estaban alojados en la infraestructura Tycoon2FA», dijo Microsoft en su informe. «Esta proporción disminuyó significativamente en el transcurso de los primeros tres meses de 2026, cayendo a solo el 41% en marzo».
Pero Microsoft atribuyó el declive de Tycoon2FA a algo más que a la campaña coordinada de eliminación. «La ampliación de los sitios de phishing controlados por CAPTCHA que utilizan un número cada vez mayor de actores de amenazas y kits de phishing, combinado con el aumento general del volumen, indica que esta técnica se está convirtiendo en un componente más arraigado del manual de phishing en lugar de una especialidad de un pequeño número de herramientas».
Con diferencia, el objetivo más común de los ataques de phishing basados en correo electrónico en el primer trimestre fue robar las credenciales de inicio de sesión. Esto ha sido así durante meses, pero la proporción de ataques centrados en el robo de credenciales creció en el primer trimestre, del 89% en enero al 94% en marzo.
Al mismo tiempo, la entrega tradicional de malware basado en archivos adjuntos casi se ha convertido en una idea de último momento: representó sólo entre el 5 % y el 6 % de los ataques en el primer trimestre, y la gran mayoría de los ataques utilizaron sitios web de phishing o “pantallas de inicio de sesión falsas cargadas localmente”.
Fuente