Nuevo phishing con SVG: cuando una imagen bonita ejecuta código y esquiva la verificación en dos pasos

En los últimos seis meses, los archivos SVG se han convertido inesperadamente en la herramienta favorita de los ciberdelincuentes para llevar a cabo ataques de phishing a través del correo electrónico. Este vector de entrega de código malicioso está ganando popularidad a gran velocidad, y cada vez más empresas reportan un fuerte aumento de este tipo de amenazas.

Según informes de más de una decena de compañías, incluyendo a AhnLab, Cloudflare, Forcepoint, Intezer, Kaspersky, Keep Aware, KnowBe4, Mimecast, Sophos, Sublime Security, Trustwave y VIPRE, el uso de archivos SVG en campañas de phishing se ha convertido en una tendencia notable. Destaca especialmente el análisis de Sublime Security: en el primer trimestre de 2025, estos archivos ya representaban el 1% de todos los intentos de phishing detectados por su sistema.

Pero las cifras se vuelven realmente alarmantes al observar su evolución. En comparación con el cuarto trimestre de 2024, el número de archivos SVG utilizados para phishing ha aumentado un asombroso 47 000%. Esto no solo indica un repunte de interés, sino una auténtica explosión —y todo apunta a que esta tendencia ha llegado para quedarse.

La razón está en las particularidades del formato. A diferencia de las imágenes tradicionales, un archivo SVG es un documento XML de texto donde la geometría de las figuras se define mediante fórmulas matemáticas. Al abrir el archivo, el navegador o el cliente de correo interpreta ese código y renderiza la imagen en tiempo real. Es decir, lo que el usuario ve en pantalla no es una imagen estática convencional, sino el resultado de una ejecución de código.

Aquí reside la vulnerabilidad principal: un SVG puede incluir no solo descripciones gráficas, sino también componentes completos en HTML y JavaScript, elementos fundamentales del desarrollo web moderno. Esto convierte a la imagen en un contenedor ejecutable de pleno derecho.

Ahora, en lugar de atraer a la víctima a un sitio malicioso, los atacantes integran el código dañino directamente en el archivo SVG. Un ejemplo típico: el logotipo en la firma de un correo electrónico. El destinatario abre el mensaje y, sin salir del cliente de correo, activa un script que dibuja una página de phishing directamente en su dispositivo. Las credenciales introducidas en esa página se envían de inmediato al atacante. Algunas variantes incluso logran evadir la autenticación de dos factores.

Además, en ciertos casos, el archivo SVG puede redirigir automáticamente al usuario a un sitio malicioso sin que haga clic: basta con abrir el correo. El navegador o el cliente de correo lee el archivo y ejecuta el script que contiene.

El equipo de seguridad de Cloudflare definió los archivos SVG como “documentos programables”. Esta descripción capta perfectamente el problema: estas “imágenes” pueden ejecutar código arbitrario y comportarse como contenido activo, no como una simple ilustración estática.

Ya se habían registrado intentos anteriores de uso de SVG en campañas de phishing — las primeras alertas aparecieron en noviembre del año pasado. Pero el aumento actual demuestra que no se trata de una moda pasajera, sino de una amenaza seria y persistente. Los expertos advierten que la situación no cambiará hasta que los grandes proveedores de correo —como Gmail, Hotmail e iCloud Mail— comiencen a filtrar activamente el contenido de los archivos SVG, limiten la ejecución de componentes interactivos o directamente prohíban el uso del formato en los mensajes de correo.