La seguridad digital se enfrenta a una nueva y creciente amenaza: el uso malintencionado de archivos SVG (Scalable Vector Graphics) para orquestar ataques de phishing. Expertos en ciberseguridad han identificado una tendencia alarmante donde estos archivos, comúnmente asociados a imágenes, son empleados para dirigir a los usuarios hacia páginas fraudulentas, con el objetivo final de sustraer información sensible como contraseñas.
El Engaño Detrás de los Archivos SVG
En marzo de 2025, se registró un incremento de casi seis veces en los ataques de phishing que involucran archivos SVG en comparación con el mes anterior. Desde el inicio del año, se han detectado más de 4.000 de estos correos electrónicos maliciosos a nivel global, incluyendo una presencia significativa en América Latina.
A pesar de que el formato SVG es ampliamente utilizado para la visualización de imágenes, su particularidad reside en la capacidad de incluir código interactivo, como enlaces o scripts. Esta característica, ventajosa para el diseño web, ha sido lamentablemente explotada por los ciberdelincuentes. Insertan enlaces maliciosos dentro de estos archivos SVG, lo que provoca que, al abrirlos, el usuario sea redirigido a una página falsa diseñada para capturar sus datos.
Cómo Operan las Estafas con Archivos SVG
Una de las técnicas observadas consiste en enviar archivos SVG adjuntos que, al ser abiertos en un navegador, se comportan como una página web. Esta página, desprovista de contenido gráfico aparente, presenta un enlace que supuestamente dirige a un archivo de audio. Al hacer clic, el usuario es redirigido a una página de phishing que imita una grabación de voz de Google Voice. Aunque la pista de audio es meramente una imagen estática, al intentar «reproducirla», se conduce al usuario a una falsa página de inicio de sesión de correo corporativo. Esta estrategia permite a los atacantes apoderarse de las credenciales de acceso, aprovechando la confianza generada por la inclusión de logotipos empresariales y referencias a servicios conocidos como Google Voice.
No dejes de leer: Chats de audio en WhatsApp: Conversaciones de audio para grupos de todos los tamaños
En otro caso, los atacantes simulan una notificación de un servicio de firma electrónica, presentando el archivo SVG como un documento pendiente de revisión y firma. A diferencia del ejemplo anterior, este archivo SVG contiene un script en JavaScript. Al ser ejecutado, lanza una nueva ventana del navegador que imita una página de inicio de sesión de Microsoft, con la misma intención de robar credenciales.
Leandro Cuozzo, analista de Seguridad en el Equipo Global de Investigación y Análisis para América Latina en Kaspersky, destaca la constante búsqueda de nuevas técnicas por parte de los ciberatacantes para evadir la detección. «Los ataques con archivos SVG están mostrando una tendencia clara al alza», afirma Cuozzo, subrayando que, si bien las amenazas actuales pueden parecer relativamente simples, el potencial de los archivos SVG como contenedores de contenido malicioso podría derivar en ataques mucho más sofisticados.
Medidas Preventivas para Protegerse
Para evitar ser víctima de estas estafas y mensajes maliciosos, los expertos en ciberseguridad ofrecen las siguientes recomendaciones:
- Verificación del remitente: Solo se deben abrir correos electrónicos y hacer clic en enlaces cuando se tiene total certeza de la fiabilidad del remitente.
- Confirmación alternativa: Si el remitente es legítimo, pero el contenido del mensaje resulta sospechoso, es crucial confirmar la información a través de un canal de comunicación diferente.
- Inspección de URL: Ante la sospecha de una página de phishing, se debe verificar cuidadosamente la ortografía de la URL. Las direcciones fraudulentas a menudo contienen errores sutiles, como el uso de «1» en lugar de «I» o «0» en lugar de «O», que pueden pasar desapercibidos a simple vista.
- Uso de soluciones de seguridad: Contar con una solución de seguridad confiable al navegar por internet es fundamental. Estas herramientas ofrecen protección en tiempo real contra correos maliciosos, archivos infectados y sitios de phishing, detectando las amenazas antes de que puedan causar daño.
La vigilancia y la precaución son clave para salvaguardar la información personal y corporativa en un panorama digital en constante evolución.
