Redazione RHC : 27 septiembre 2025 11:15
Los especialistas de Inteligencia de Amenazas de Microsoft han identificado un ataque en el que los atacantes utilizaron inteligencia artificial por primera vez para camuflar código de phishing. El objetivo era robar credenciales de empresas en Estados Unidos.
El archivo SVG malicioso ocultaba su verdadera funcionalidad tras una capa de terminología pseudocorporativa y un panel de análisis simulado , lo que le permitía eludir comprobaciones sencillas. El análisis reveló que la estructura del código no era característica de la escritura a mano y probablemente se generó mediante un modelo generativo.
Los correos electrónicos provenían de una cuenta corporativa pirateada , con la dirección del remitente coincidiendo con la del destinatario y las direcciones reales en copia oculta. El archivo adjunto simulaba un documento PDF, pero en realidad era un archivo SVG con JavaScript integrado . Al abrirlo, el archivo redirigía a la víctima a una página CAPTCHA que, según Microsoft, abría un formulario de inicio de sesión falso para recopilar contraseñas.
La característica principal del ataque fue su inusual ofuscación.
Elementos con nombres como «Panel de Rendimiento Empresarial» se ocultaron dentro del código SVG, permaneciendo invisibles debido a la total falta de transparencia. Además, la funcionalidad maliciosa se enmascaró mediante una serie de términos comerciales («ingresos», «operaciones», «panel», «KPI», etc.), convertidos en símbolos y comandos mediante un algoritmo de varios pasos. El script redirigió el navegador a un recurso malicioso, inició la identificación del entorno y monitoreó las sesiones.
El sistema de análisis de Microsoft concluyó que el código probablemente fue generado por inteligencia artificial. Entre las señales de alerta se encontraban nombres de funciones excesivamente descriptivos con sufijos hexadecimales, una modularidad excesiva y bloques lógicos repetitivos, comentarios engorrosos al estilo de la documentación corporativa y el uso formal de construcciones XML típicas de los modelos generativos.
A pesar de la complejidad del camuflaje, la campaña fue bloqueada por la protección en la nube de Microsoft Defender. Se activaron heurísticas basadas en varios indicadores: uso sospechoso de CCO, correos electrónicos automatizados, un archivo adjunto SVG camuflado en PDF, una redirección al dominio de phishing kmnl[.]cpfcenters[.]de detectado previamente, presencia de lógica oculta y detección de seguimiento de sesiones.
Microsoft enfatizó que el uso de IA no elimina la capacidad de detectar ataques. Al contrario, el código sintético suele dejar artefactos adicionales que pueden usarse para el análisis. La compañía recomienda a los administradores habilitar la comprobación segura de enlaces al hacer clic, activar la purga automática de hora cero para aislar los mensajes ya entregados, usar navegadores compatibles con SmartScreen e implementar la autenticación multifactor resistente al phishing mediante el inicio de sesión de Microsoft.
Redazione¿Alguna vez te han dicho que si encuentras una memoria USB en el suelo, no la conectes a tu ordenador? Hoy te explicaremos por qué no deberías hacerlo mediante una prueba de concepto (PoC). En esta...
El Departamento de Justicia de Estados Unidos y la policía británica han acusado a Talha Jubair, de 19 años, residente del este de Londres, quien los investigadores creen que es un miembro clave de...
Una carta abierta firmada por importantes fundaciones de código abierto ha alertado sobre el futuro de la infraestructura que sustenta el desarrollo de software moderno. La Fundación de Seguridad de...
Cisco ha revelado una vulnerabilidad de día cero, identificada como CVE-2025-20352, en su software IOS e IOS XE, ampliamente utilizado. Esta vulnerabilidad parece estar siendo explotada activamente. ...
El 20 de septiembre de 2025, un ciberataque afectó a tres de los principales aeropuertos de Europa: Londres-Heathrow, Bruselas y Berlín. Los sistemas digitales que gestionaban la facturación y la g...
