SVG, JavaScript y opacidad cero: cómo la IA disfrazó un phishing como informe corporativo
Por primera vez, la jerga empresarial se utiliza como herramienta para enmascarar con maestría.
Los especialistas de Microsoft Threat Intelligence registraron un ataque, en el que los atacantes emplearon por primera vez inteligencia artificial para enmascarar código de phishing. El objetivo fue el robo de credenciales a empresas en Estados Unidos.
Un archivo malicioso en formato SVG ocultaba su funcionalidad real tras una capa de terminología pseudoempresarial y la imitación de un panel analítico, lo que permitía eludir comprobaciones sencillas. El análisis mostró que la estructura del código no era característica de una escritura manual y, probablemente, fue creada por un modelo generativo.
Los correos se enviaban desde una cuenta corporativa comprometida; el campo del destinatario coincidía con el del remitente y las direcciones reales estaban en BCC. El adjunto simulaba ser un documento PDF, pero en realidad era un SVG con JavaScript incrustado. Al abrirse, el archivo redirigía a la víctima a una página con CAPTCHA que, según Microsoft, debía mostrar un formulario falso de inicio de sesión para recolectar contraseñas.
La característica principal del ataque fue una ofuscación atípica. En el código SVG se ocultaban elementos con nombres como «Panel de rendimiento empresarial», que permanecían invisibles debido a una opacidad nula. Además, la funcionalidad maliciosa se disfrazaba mediante un conjunto de términos empresariales (por ejemplo, ingresos, operaciones, panel, indicadores clave de rendimiento (KPI), etc.) transformados en símbolos y comandos mediante un algoritmo multinivel. El script redirigía el navegador a un recurso malicioso, generaba huellas del entorno y realizaba seguimiento de sesiones.
El sistema de análisis de Microsoft concluyó que el código, con alta probabilidad, fue creado por inteligencia artificial. Entre los indicios estaban nombres de funciones excesivamente descriptivos con sufijos hexadecimales, modularidad redundante y bloques lógicos repetitivos, comentarios voluminosos al estilo de documentación empresarial y el uso formal de construcciones XML, característico de los modelos generativos.
A pesar de la complejidad del ocultamiento, la campaña fue detenida por las herramientas en la nube de Microsoft Defender. Se activaron heurísticas por una serie de indicadores: uso sospechoso de BCC, envío a sí mismo, adjunto con extensión SVG haciéndose pasar por PDF, redirección a un dominio de phishing previamente observado kmnl[.]cpfcenters[.]de, presencia de lógica oculta y registro de seguimiento de sesiones.
En Microsoft enfatizaron que el uso de IA no elimina la posibilidad de detectar ataques. Al contrario, el código sintético a menudo deja artefactos adicionales que se pueden aprovechar para el análisis. La empresa recomienda a los administradores habilitar las comprobaciones de enlaces al hacer clic (Safe Links), activar la función Zero-hour Auto Purge para aislar mensajes ya entregados, usar navegadores con soporte de SmartScreen y también desplegar una autenticación multifactor resistente al phishing mediante Microsoft Entra.
Este caso demuestra que los atacantes ya experimentan activamente con redes neuronales para aumentar su sigilo, pero los sistemas de protección, también basados en IA, son capaces de contrarrestar eficazmente este tipo de campañas.
No esperes a que los hackers te ataquen: ¡suscríbete a nuestro canal y conviértete en una fortaleza impenetrable!