Idioma
ARTICLES
12 Sept. 2025
Ciberseguridad

¿Sabías que en el primer trimestre de 2025, el APWG registró 1,003,924 ataques de phishing, ¿cuál es la cifra más alta reportada desde finales de 2023? A medida que el verano de 2025 se acerca a su fin, el phishing continúa dominando el panorama de las amenazas cibernéticas, pero las cifras ahora revelan un aumento aún más agudo en su impacto.

En 2024, los investigadores observaron un 84% aumento de infostealers entregados a través de correos electrónicos de phishing cada semana en comparación con 2023. Los primeros datos de 2025 son aún más alarmantes, mostrando un 180% saltar en los volúmenes semanales de phishing frente a 2023.

Un informe de una empresa de ciberseguridad agrega otra capa a este panorama: ha habido un aumento del 160% en las credenciales comprometidas en lo que va de 2025 en comparación con el año pasado. A finales de 2024, la compañía registró 14 mil casos en un solo mes donde las credenciales de los empleados fueron expuestas en brechas a pesar de cumplir con las políticas internas de contraseñas.

La tendencia subraya que el phishing ya no es solo una molestia; es una ruta directa hacia el robo de credenciales, el compromiso de cuentas y la interrupción del negocio a gran escala. Entonces, en este artículo, el líder de seguridad de la información de Atlaslive, Maksym Shapoval, comparte los últimos ataques de phishing y cómo proteger su negocio de uno.

El auge del phishing en 2025

El phishing ha demostrado de nuevo ser el arma favorita del atacante. El método es simple pero devastador: los delincuentes se hacen pasar por un remitente de confianza y engañan a las víctimas para que entreguen información confidencial como contraseñas, datos de tarjetas de crédito u otros datos personales.

Lo que hace que el phishing sea tan persistente es su versatilidad. Viene no solo a través del correo electrónico sino también a través de SMS (“smishing”) o incluso llamadas de voz (“vishing”), dando a los atacantes múltiples rutas hacia sus objetivos. Las campañas a menudo están diseñadas para parecer idénticas a los mensajes corporativos reales, lo que dificulta que incluso el personal capacitado los reconozca.

Este verano demostró lo efectivas que siguen siendo estas tácticas. Desde gigantes tecnológicos hasta instituciones gubernamentales, el phishing fue el primer paso en incidentes que llevaron a datos comprometidos, pérdidas financieras y daños a la reputación. Los ataques son cada vez más selectivos, están bien preparados y, a menudo, son solo el comienzo de cadenas de compromiso más largas que llegan a lo más profundo de los sistemas de la empresa.

En 2025, el phishing no es ruido de fondo; es la plataforma de lanzamiento de muchas de las brechas más graves a nivel mundial.

Incidentes importantes de phishing este verano

El verano de 2025 trajo una serie de incidentes de phishing de alto perfil, lo que demuestra lo versátiles y dañinos que pueden ser estos ataques.

  • Google. El gigante se convirtió en una víctima a través de una cadena de compromiso que involucraba el sistema CRM de Salesforce, que comenzó con el phishing y finalmente expuso datos confidenciales.
  • Cisco. La empresa fue atacada con vishing (phishing por voz). Los atacantes engañaron a los empleados por teléfono, obtuvieron acceso a los sistemas CRM y exfiltraron la información del cliente.
  • Reservación. La compañía se ha enfrentado a campañas de phishing en curso que han estado activas desde finales de 2024 y siguen siendo un riesgo persistente en la actualidad.
  • Autoridad Tributaria del Reino Unido. Acerca de £47 millones se perdió ya que 100.000 personas se vieron afectadas por un esquema de phishing a gran escala destinado a robar datos personales y financieros.
  • Entidades de Milford, un desarrollador inmobiliario de lujo estadounidense, sufrió pérdidas de casi 19 millones de dólares tras ser víctima de un ataque de phishing.

Estos casos subrayan cómo el phishing sirve como punto de partida común, independientemente del sector o tamaño. Ya se trate de empresas tecnológicas multinacionales, instituciones públicas o empresas privadas, los atacantes continúan utilizando la ingeniería social como la puerta a compromisos más profundos.

iGaming en el centro de atención

El sector de iGaming, ya bajo constante escrutinio regulatorio, se encontró en blanco directo este verano. En julio de 2025, uno de los grupos de apuestas más grandes del mundo, confirmó una importante violación de datos tras un ciberataque dirigido.

Se expusieron aproximadamente 800,000 registros de usuarios, incluidas direcciones IP, direcciones de correo electrónico y registros detallados de actividad. Si bien los datos financieros y las contraseñas no se vieron afectados, los especialistas en ciberseguridad rápidamente notaron que este tipo de información aún puede alimentar campañas de phishing altamente dirigidas.

Los atacantes pueden aprovechar la actividad del usuario y los datos de contacto para crear señuelos convincentes y personalizados, a menudo mucho más peligrosos que los intentos genéricos de phishing.

“El incidente subraya por qué las plataformas iGaming son objetivos tan atractivos. Operan completamente en línea, procesan transacciones financieras constantes y tienen grandes volúmenes de información personal, lo que los convierte en los principales candidatos para ataques de ingeniería social. Para una industria que depende de la confianza y de experiencias digitales sin fisuras, los riesgos de reputación y cumplimiento de normas de dichas infracciones son sustanciales”.
— Maksym Shapoval, líder de seguridad de la información en Atlaslive

Para los operadores de iGaming, la defensa contra phishing no se puede tratar como opcional. Debe estar integrado en la seguridad de la plataforma, la capacitación del personal y las estrategias de respuesta a incidentes. Este caso es un recordatorio de que incluso sin la exposición de datos financieros, la información personal comprometida por sí sola puede desencadenar ataques secundarios dañinos.

Cómo las empresas pueden protegerse

El phishing es efectivo porque explota a las personas, no solo a la tecnología. Para reducir la exposición y limitar el daño cuando se producen ataques, las empresas necesitan una estrategia de defensa multicapa que combine autenticación, salvaguardas técnicas y preparación organizacional.

Autenticación y Control de Acceso

  • Aplique la autenticación de dos factores (2FA) en todos los sistemas en línea tanto para empleados como para clientes.
  • Aplique la regla de privilegios mínimos: el personal, los dispositivos y las computadoras portátiles solo deben tener el acceso estrictamente requerido para sus funciones.
  • Implementar la segmentación de la red y el acceso necesario para minimizar el movimiento lateral si una cuenta se ve comprometida.
  • Introducir una política de aprobación de cuatro ojos para todos los cambios críticos y operaciones sensibles, especialmente las transacciones financieras.
  • Realizar auditorías periódicas de derechos de acceso y auditorías integrales de seguridad para validar los controles.

Correo electrónico y seguridad de dominio

  • Configure DMARC, DKIM y SPF para verificar el envío de dominios y bloquear correos electrónicos falsos.
  • Mantenga una lista de dominios similares (“a-like”) y bloquéelos de manera proactiva.
  • Marque claramente todos los correos electrónicos provenientes de fuera de la organización para reducir el riesgo de error de los empleados.

Protección de Endpoint y Navegación

  • Asegure los dispositivos corporativos con Mobile Device Management (MDM), Endpoint Detection and Response (EDR) o navegadores empresariales con funciones de navegación segura.
  • Monitoree continuamente el estado de los puntos finales y la actividad de navegación para detectar signos de cargas útiles de phishing.

Preparación para incidentes

  • Establezca un único canal de reporte para presuntos intentos e incidentes de phishing.
  • Cree runbooks claros que detallen cómo responder a los incidentes de phishing, incluyendo la notificación a todos los empleados, el bloqueo del remitente malicioso en toda la organización, la revisión de las listas de destinatarios y el contacto directo con los usuarios afectados.

Sensibilización y capacitación de los empleados

En 2023, la investigación mostró que 10,4% de los empleados de todo el mundo hicieron clic en enlaces maliciosos, y más del 60% de ellos ingresaron sus contraseñas en sitios web fraudulentos. Entonces, la capacitación del personal siempre es una buena idea. Esto es lo que puede hacer:

  • Llevar a cabo capacitación periódica de concientización sobre phishing para el personal.
  • Ejecute simulaciones periódicas de phishing para que los empleados aprendan a reconocer y reaccionar ante amenazas reales.
  • Promover una cultura en la que se fomente y apoye la denuncia de mensajes sospechosos.

Gobernanza y Revisión Continua

  • Asegurar auditorías continuas tanto de la postura de seguridad como de los derechos de acceso.
  • Desarrolle resiliencia mediante la incorporación de la defensa contra el phishing en las políticas de la empresa, no como una opción sino como una capa requerida de seguridad operacional.

La protección efectiva contra el phishing se construye a partir de muchas salvaguardas pequeñas y consistentes que trabajan juntas. Cuando se alinean la autenticación, las defensas del correo electrónico, los controles de acceso, la capacitación del personal y la preparación para incidentes, las empresas reducen drásticamente tanto la probabilidad de ataques de phishing exitosos como el daño que pueden causar.

Conclusión

El verano de 2025 dejó en claro un hecho: el phishing sigue siendo el punto de entrada para la mayoría de los incidentes cibernéticos importantes, desde gigantes tecnológicos hasta agencias gubernamentales e incluso la industria del iGaming. Estos ataques no van a acabar, están evolucionando, cada vez más dirigidos y, a menudo, sirven como el primer paso en cadenas de compromiso más grandes.

Para las empresas, especialmente aquellas que manejan datos confidenciales y transacciones financieras, la seguridad ya no puede ser tratada como opcional. Construir resiliencia contra el phishing significa incorporar autenticación en capas, defensas de correo electrónico, protección de endpoints, capacitación del personal y procedimientos de respuesta claros en las operaciones diarias. Las organizaciones que se toman en serio el phishing hoy en día son las mejor preparadas para proteger a sus clientes, su reputación y su futuro mañana.

—————

Este documento se le proporciona únicamente para su información y discusión. Este documento se basó en fuentes públicas de información y fue creado por el equipo de Atlaslive para uso de marketing. No es una solicitud ni una oferta para comprar o vender ningún producto relacionado con el juego. Nada en este documento constituye asesoría legal o de desarrollo de negocios. Este documento ha sido preparado a partir de fuentes que Atlaslive considera confiables, pero no garantizamos su exactitud o integridad y no aceptamos responsabilidad por cualquier pérdida que surja de su uso. Atlaslive se reserva el derecho de subsanar los errores que pudieran estar presentes en este documento.

Table of contents

What Makes Bitcoin Attractive?
What Makes Bitcoin Attractive?
What Makes Bitcoin Attractive?
What Makes Bitcoin Attractive?
Contact us

Lead the Game with Atlaslive’s White Label

Reservar una Demo
Rellena el formulario
Y pronto nos pondremos en contacto contigo
¡Gracias! ¡Su envío ha sido recibido!
¡Ups! Algo salió mal al enviar el formulario.
Fill the form
And we will contact you soon
¡Gracias! ¡Su envío ha sido recibido!
¡Ups! Algo salió mal al enviar el formulario.
Fill the form
And we will contact you soon
¡Gracias! ¡Su envío ha sido recibido!
¡Ups! Algo salió mal al enviar el formulario.
Fill the form
And we will contact you soon
¡Gracias! ¡Su envío ha sido recibido!
¡Ups! Algo salió mal al enviar el formulario.