El fenómeno del phishing en 2025

By Elías Cedillo Hernández
CEO & Founder of Grupo BeIT, BuróMC and Elit Infrastructure Services

Durante 2025, el fenómeno del phishing ha alcanzado un punto de madurez que redefine su papel dentro del panorama del cibercrimen. Lo que antes era un intento aislado de engañar a usuarios mediante correos electrónicos mal redactados, se ha transformado en una operación criminal industrializada, organizada y profesional. Este cambio se debe, principalmente, a la aparición del modelo conocido como Phishing-as-a-Service (PhaaS), un sistema que replica las ventajas del software legítimo como servicio (SaaS), pero aplicado al fraude digital. El PhaaS permite que ciberdelincuentes sin amplios conocimientos técnicos contraten una suscripción mensual o por campaña y obtengan acceso a toda la infraestructura necesaria para ejecutar ataques masivos: plantillas realistas de sitios web falsos, herramientas de envío automatizado, servicios de alojamiento encubiertos y paneles de control para gestionar víctimas y resultados. Este modelo representa un cambio estructural en la economía del delito, porque reduce drásticamente las barreras de entrada, aumenta la escala de operación y ofrece un retorno de inversión inmediato para los atacantes. En términos simples, el phishing ya no requiere de un hacker experto: basta con una tarjeta de criptomonedas y acceso a una de estas plataformas.

Los informes de seguridad más recientes confirman la magnitud de este cambio. Durante los primeros meses de 2025, distintas empresas del sector detectaron un crecimiento sostenido de campañas originadas en servicios PhaaS. Plataformas como Caffeine, EvilProxy y Greatness —conocidas en la comunidad de ciberinteligencia— ofrecen portales con interfaces gráficas intuitivas, registro automatizado y soporte técnico incluido. De acuerdo con reportes globales, entre un 60% y un 70% de los ataques de phishing actuales pueden vincularse con servicios de este tipo, lo que demuestra que el modelo de suscripción criminal se ha consolidado como estándar en la cadena de fraude digital.

A diferencia del phishing tradicional, que dependía de correos genéricos y errores gramaticales notorios, el phishing moderno se apoya en inteligencia artificial y automatización para personalizar mensajes, adaptar el lenguaje al contexto de la víctima e imitar de manera casi perfecta a marcas y servicios de confianza. Esto ha llevado a un incremento en la tasa de éxito de los ataques, especialmente en sectores financieros, corporativos y de tecnología, donde la presión de tiempo y la sobrecarga de comunicación facilitan el descuido humano.

En 2025 también se consolidaron nuevas tácticas dentro de las campañas de phishing. Una de las más visibles es el “quishing”, o uso de códigos QR maliciosos que redirigen a sitios falsos. Esta técnica aprovecha el hábito extendido de escanear códigos en restaurantes, eventos o documentos corporativos, ocultando direcciones URL manipuladas que son difíciles de identificar visualmente. Otra tendencia preocupante son los ataques a los sistemas de autenticación multifactor (MFA). Los delincuentes utilizan kits de intermediación (conocidos como Adversary-in-the-Middle) que interceptan tokens de autenticación o sesiones activas, logrando burlar incluso configuraciones avanzadas de seguridad. Casos documentados muestran que campañas completas de PhaaS ya incorporan módulos para capturar códigos de un solo uso o explotar el fenómeno del “MFA fatigue”, en el que el usuario aprueba inadvertidamente una solicitud de acceso repetitiva. Además, la suplantación de marcas de confianza ha alcanzado un nivel sin precedentes.

Los servicios PhaaS ofrecen catálogos de plantillas que replican visualmente portales de bancos, empresas de logística, plataformas de firma digital o aplicaciones de productividad. Esto permite que las campañas se personalicen por idioma, región e incluso por dispositivo, aumentando la credibilidad de la trampa. Sumado a ello, muchos atacantes alojan sus sitios fraudulentos dentro de servicios legítimos en la nube, lo que complica la detección y reduce la eficacia de los bloqueos automáticos.

El impacto para las organizaciones es profundo. Ya no basta con filtrar correos sospechosos o capacitar a los empleados en la detección de mensajes fraudulentos. Las nuevas campañas combinan múltiples canales —correo, mensajería instantánea, redes sociales, SMS e incluso entornos físicos— para lograr su objetivo. Los equipos de seguridad deben integrar capacidades de detección basadas en comportamiento, protección de identidad, endurecimiento de MFA y monitoreo continuo de dominios falsos. De igual forma, la dirección ejecutiva debe entender que el phishing ha pasado de ser un problema de “usuarios descuidados” a una amenaza estratégica que puede comprometer accesos privilegiados, sistemas financieros y la confianza de los clientes.

El auge del PhaaS simboliza una transición más amplia: el crimen digital se ha convertido en un ecosistema empresarial, con estructuras jerárquicas, especialización, soporte y modelos de negocio sostenibles. La economía del fraude opera ahora con la misma lógica que la economía legítima de servicios en la nube: escalabilidad, automatización y disponibilidad bajo demanda. En consecuencia, la defensa debe evolucionar a la misma velocidad, combinando tecnología avanzada, inteligencia de amenazas compartida y programas de concientización adaptados a este nuevo contexto. En definitiva, 2025 marca el año en que el phishing dejó de ser simplemente un ataque para convertirse en un servicio profesionalizado, disponible para cualquiera que quiera alquilarlo. El desafío ya no es evitar que los correos maliciosos lleguen, sino detectar, contener y responder a una industria del engaño que funciona en la nube, con soporte 24/7 y un modelo de suscripción. La resiliencia digital de las organizaciones dependerá, cada vez más, de su capacidad para anticiparse a esta nueva economía del crimen.

Fuentes y referencias:

• Trustwave. Phishing-as-a-Service (PhaaS): A Cybercrime Subscription Service.
• Barracuda Networks. Everything You Need to Know About Phishing-as-a-Service (2025).
• Barracuda Networks. Threat Spotlight: Phishing-as-a-Service — A Fast-Evolving Threat (Mar 2025).
• The Hacker News. 17,500 Phishing Domains Target 316 Brands in 74 Countries (Sept 2025).
• Global Analysis of Adversary-in-the-Middle Phishing Threats (2025).
• Kela Cyber Intelligence. Phishing-as-a-Service: How It Works and Why It’s Booming (2025).
• CrowdStrike. Global Threat Report 2025.
• Sophos. Active Adversary Report 2025.
• Bitdefender. Cybersecurity Assessment and Threat Landscape 2025.
• Kaspersky. Phishing and Scam Statistics Q2 2025.