El 23 % de los archivos HTML adjuntos son maliciosos, según se recoge en el “Informe sobre amenazas del correo electrónico 2025”, elaborado por Barracuda. El estudio señala que más de tres cuartas partes de los archivos maliciosos detectados en total eran archivos HTML. Y, además, el 68 % de los archivos maliciosos en PDF y el 83 % de los documentos maliciosos de Microsoft contienen códigos QR diseñados para llevar a los usuarios a sitios web de phishing.
Estos datos indican que los atacantes continúan cambiando los enlaces y contenidos maliciosos a archivos adjuntos con la esperanza de evadir la detección por parte de las herramientas de seguridad. Y, según se indica en el estudio, hasta un 20 % de las organizaciones experimentan al menos un intento o éxito de robo de cuenta (ATO) al mes, en el que los atacantes suelen intentar acceder mediante phishing, relleno de credenciales o aprovechando contraseñas débiles o reutilizadas.
El informe revela también que las estafas de extorsión de Bitcoin representan el 12 % de los archivos de PDF adjuntos maliciosos y que el 47% de los dominios de correo electrónico no tienen configurado el sistema DMARC (Domain-based Message Authentication, Reporting and Conformance) para protegerse contra el uso no autorizado, incluidos los ataques de suplantación de identidad.
Otro problema detectado es que el 24 % de los mensajes de correo electrónico son spam no deseado o malicioso.
Olessia Klevchuk, directora de marketing de producto, Email Protection en Barracuda, comentó que “los adjuntos maliciosos de correo electrónico, los códigos QR y las URL son utilizados por los atacantes para distribuir malware, lanzar campañas de phishing y explotar vulnerabilidades. Muchas organizaciones aumentan su nivel de riesgo al no implementar DMARC, haciendo posible que los atacantes se hagan pasar por su marca e implementen ataques fraudulentos”.
“Las organizaciones necesitan mitigar los riesgos implementando las mejores prácticas estándares de la industria y adoptando un enfoque de múltiples capas para la seguridad del correo electrónico, aprovechando la detección de amenazas impulsada por IA para detectar ataques ocultos en archivos adjuntos y sitios web maliciosos”, añadió Klevchuk.
