Las 5 principales amenazas a la ciberseguridad por factores humanos de 2025: El phishing evoluciona de nuevo

Las amenazas a la ciberseguridad en 2025 han adoptado una nueva forma: se dirigen alas personas, no sólo a los sistemas. Los ataques basados en el phishing son más convincentes, más personalizados y más difíciles de detectar. En este artículo se analizan las cinco principales amenazas a la ciberseguridad basadas en el factor humano de este año y cómo la formación y las pruebas pueden ayudarle a anticiparse.

1. Ataques Click-Fix: Un nuevo tipo de amenaza a la ciberseguridad

Los ataques Click-Fix van en aumento. Estos intentos de phishing utilizan falsas ventanas emergentes o alertas del sistema, pidiendo a los usuarios que peguen una "solución" en Terminal o Run. Lo que parece un comando útil en realidad lanza malware.

Los atacantes utilizan estas tácticas en correos electrónicos de phishing, redireccionamientos del navegador y estafas de asistencia por chat. Algunas campañas también se han vinculado a actores estatales.

Defiéndete:

Simule el phishing Click-Fix en la formación de sus empleados. Tenemos una nueva plantilla de ataque para hacerlo por usted.
Advierta al personal de que no copie y pegue de fuentes desconocidas.
Supervisa la actividad del portapapeles vinculada a scripts.

2. Phishing de proveedores: la amenaza de ciberseguridad oculta en su bandeja de entrada

Los programas de formación modernos utilizan múltiples tipos de contenidos para llegar a los empleados con eficacia:

El phishing de proveedores es una de las amenazas de ciberseguridad más peligrosas en estos momentos. Los atacantes secuestran la cuenta de correo electrónico de un proveedor de confianza y envían mensajes maliciosos al personal interno. Como el correo electrónico es real y la relación es de confianza, es más probable que los usuarios hagan clic.

En mayo de 2025, un ataque de phishing de proveedores a la importante empresa minorista británica M&S causó importantes pérdidas financieras y puso al descubierto deficiencias en los controles de los proveedores.

Consejos de mitigación:

Incluya el phishing de tipo vendedor en los simulacros de concienciación.
Amplíe la formación a socios y equipos subcontratados. Podemos ayudarle a impartirla.
Verificar las solicitudes a través de un segundo canal de comunicación.

3. Phishing de código QR: escanear y hacer clic para ser hackeado

Los códigos QR están en todas partes, desde escritorios hasta invitaciones a reuniones. Pero en 2025 aumentaron los ataques de phishing con códigos QR. Estos códigos suelen llevar a páginas de inicio de sesión falsas o a secuencias de comandos de obtención de tokens.

Como la acción comienza en un smartphone, los empleados son menos precavidos. ENISA ha señalado el QR phishing como una de las principales amenazas emergentes para la ciberseguridad en Europa.

Protege a tu gente:

Utilice el QR phishing en sus pruebas de concienciación.
Enseñe al personal a comprobar las URL antes de iniciar sesión.
Colocar guías visuales en las oficinas cercanas a los espacios compartidos.

Ya hemos hablado de los códigos QR en nuestro Blog y tenemos las plantillas de ataque y concienciación para ayudarle a abordar esta cuestión.

4. La fatiga del AMF: Cuando demasiadas preguntas conducen a un clic equivocado

Los atacantes de phishing explotan ahora a los usuarios mediante la fatiga de la MFA. Tras robar las credenciales, lanzan repetidas solicitudes de inicio de sesión, esperando que el usuario apruebe una por error.

Esta táctica es especialmente común después de las horas de trabajo o en dispositivos móviles. Se utilizó en varios ataques de gran repercusión en 2024 y sigue creciendo.

Qué hacer:

Formar a los usuarios sobre el funcionamiento del bombardeo MFA.
Simule estos ataques en sus pruebas de phishing.
Actualice a MFA resistente al phishing siempre que sea posible.

5. Email Thread Hijacking: Las conversaciones de confianza se vuelven peligrosas

En un secuestro de hilo, el atacante utiliza una cuenta real comprometida para responder a una conversación de correo electrónico activa. Es muy eficaz, porque el mensaje incluye un historial y un tono de correo electrónico auténticos.

Estos ataques de phishing suelen dirigirse a los equipos financieros, jurídicos y de recursos humanos. Sortean los filtros y las defensas psicológicas.

Pasos defensivos:

Incluir escenarios de secuestro de hilos en las simulaciones.
Enseñe a los usuarios a detectar archivos adjuntos inusuales, incluso en hilos de confianza.
Fomentar la notificación interna rápida de respuestas sospechosas.

Amenazas a la ciberseguridad y cumplimiento de la normativa: Por qué la formación es ahora una prioridad jurídica

La Directiva europea NIS2 lo deja claro: la concienciación sobre ciberseguridad ya no es opcional. Si su organización pertenece a sectores críticos o importantes, NIS2 exige:

Formación periódica de los empleados
Ataques simulados para probar la respuesta
Informes y flujos de respuesta

Las multas por incumplimiento pueden alcanzar los 10 millones de euros o el 2% de la facturación mundial.

Las organizaciones de Alemania, Austria y otros países de la UE deben demostrar ahora que se toman en serio el riesgo humano. Implantar una formación y unas pruebas de phishing realistas -como las que ofrecen plataformas como Lucy- es un elemento clave para cumplir estas obligaciones.

Reflexiones finales: Las amenazas a la ciberseguridad seguirán evolucionando, así que hay que formarse, probar y mantenerse a la vanguardia.

Las mayores amenazas de ciberseguridad de 2025 no son exploits de día cero: son técnicas de phishing inteligentes y centradas en el ser humano. Y están funcionando.

Por eso su plan de defensa debe incluir:

Simulaciones realistas de phishing basadas en las amenazas actuales
Formación de sensibilización basada en funciones y adaptada a cada departamento
Pruebas continuas, especialmente para riesgos de terceros

Herramientas como Lucy Security le permiten realizar pruebas de phishing específicas, personalizar el contenido y realizar un seguimiento de las mejoras a lo largo del tiempo.

Ya no se trata sólo de atrapar el phishing. Se trata de demostrar que se puede.

Póngase en contacto con nosotros si desea hablar más a fondo de estos retos y de sus necesidades.

Nuestro canal de YouTube también ofrece muchos vídeos útiles sobre estos temas, incluido cómo clonar ataques.

Blog

QR Code Phishing Awareness Training: Why Quishing Is Rising Fast

Leer más "

April 13, 2026 No Comments

Blog

Mobile Phishing Awareness Training: Why Users Are More Vulnerable on the Go

Leer más "

April 9, 2026 No Comments

Blog

How to Measure Phishing Susceptibility Rate

Leer más "

April 1, 2026 No Comments

Las 5 principales amenazas a la ciberseguridad por factores humanos de 2025: El phishing evoluciona de nuevo

1. Ataques Click-Fix: Un nuevo tipo de amenaza a la ciberseguridad

2. Phishing de proveedores: la amenaza de ciberseguridad oculta en su bandeja de entrada

3. Phishing de código QR: escanear y hacer clic para ser hackeado

4. La fatiga del AMF: Cuando demasiadas preguntas conducen a un clic equivocado

5. Email Thread Hijacking: Las conversaciones de confianza se vuelven peligrosas

Amenazas a la ciberseguridad y cumplimiento de la normativa: Por qué la formación es ahora una prioridad jurídica

Reflexiones finales: Las amenazas a la ciberseguridad seguirán evolucionando, así que hay que formarse, probar y mantenerse a la vanguardia.

QR Code Phishing Awareness Training: Why Quishing Is Rising Fast

Mobile Phishing Awareness Training: Why Users Are More Vulnerable on the Go

How to Measure Phishing Susceptibility Rate

protección de datos

INFORMACIÓN

BUSCAR

Conectar