Los ataques de phishing están evolucionando, incorporando técnicas más sofisticadas para burlar las medidas de seguridad. Recientemente, se ha observado un aumento en el uso de archivos en formato SVG como medio para engañar a los usuarios. El formato SVG, que significa Scalable Vector Graphics, permite describir gráficos vectoriales en dos dimensiones utilizando XML. Esta versatilidad permite la incorporación de JavaScript y HTML dentro de los archivos, lo que hace que se conviertan en un objetivo ideal para los atacantes.
¿Qué es el formato SVG?
SVG es un formato que permite la descripción de gráficos vectoriales, y cuando se abre en un editor de texto, el usuario puede ver el marcado XML que define la imagen. Esto permite una edición más sencilla de los parámetros de la imagen sin necesidad de usar editores gráficos pesados.
Campañas de phishing que aprovechan los archivos SVG
A principios de 2025, se detectaron correos electrónicos de phishing que solían parecer ataques convencionales con documentos HTML adjuntos, pero en su lugar utilizaban archivos SVG. Estos correos incluyen un archivo adjunto identificado como una imagen, pero al abrirlo en un editor de texto, se revela que en realidad es una página HTML sin mención a gráficos vectoriales.
Al abrir el archivo SVG en un navegador web, este se presenta como una página HTML con un enlace que supuestamente conduce a un archivo de audio. Sin embargo, al hacer clic en ese enlace, el usuario es redirigido a una página de phishing que imita a Google Voice, con el fin de robar credenciales a través de un formulario que parece legítimo.
Un segundo ejemplo incluye un archivo SVG que se presenta como una solicitud de firma de un documento de un servicio de firma electrónica, pero que en realidad contiene un código JavaScript que abre una ventana del navegador con una página de phishing.
Estadísticas alarmantes
Nuestros datos de telemetría indican un aumento significativo en las campañas de phishing que utilizan SVG durante marzo de 2025, con un total de 2,825 correos electrónicos identificados solo en el primer trimestre del año. El aumento continuó en abril, con 1,324 correos detectados en la primera mitad del mes, lo que representa más de dos tercios de las cifras de marzo.
Conclusiones
Los phishing son cada vez más ingeniosos al introducir nuevas técnicas que evaden la detección. Con la capacidad de incluir contenido HTML y JavaScript en los archivos SVG, los atacantes pueden crear páginas de phishing más convincentes. Aunque actualmente estos ataques son relativamente simples, como los escenarios de archivos HTML, su evolución plantea una amenaza creciente que podría utilizarse en ataques más sofisticados en el futuro.
