Cuando una imagen ya no vale mil palabras, sino credenciales robadas
Los atacantes están llevando la sofisticación del phishing a un nuevo nivel al aprovechar archivos SVG (Scalable Vector Graphics), comúnmente considerados inofensivos. Según investigaciones de Ontinue, se ha identificado una oleada de campañas de correo malicioso donde archivos .svg son utilizados como contenedores sigilosos para código JavaScript ofuscado.
A diferencia de las tradicionales macros en documentos de Office o ejecutables disfrazados, este enfoque no requiere que el usuario ejecute absolutamente nada. Basta con previsualizar el archivo SVG para que se active una cadena de redireccionamiento hacia infraestructuras controladas por los atacantes.
Mecanismo de ataque: imágenes que engañan al navegador
Paso 1: Correos minimalistas y confiables
Los correos maliciosos emplean asuntos simples, como notificaciones de llamadas perdidas o íconos únicos, y están dirigidos a organizaciones con configuraciones débiles o inconsistentes en SPF, DKIM y DMARC.
Estos archivos .svg pasan filtros de seguridad porque los gateways de correo los identifican como imágenes estáticas, ignorando que en su interior puede haber código activo.
Paso 2: Código incrustado y ejecución en el navegador
Los archivos SVG no contienen ejecutables, sino un bloque JavaScript camuflado entre etiquetas <script>, protegido por una capa de cifrado XOR. Este código no se descarga en el sistema; se reconstruye dinámicamente en la memoria del navegador mediante el constructor Function.
Al ejecutarse, este script:
Decodifica una URL cifrada en Base64.
Añade un token único vinculado al usuario.
Redirige al navegador a un sitio malicioso que simula interfaces legítimas, especialmente de Microsoft 365.
Paso 3: Robo de credenciales sin dejar rastro
El resultado es una suplantación perfecta de portales corporativos, que recolecta credenciales sin que el usuario sospeche. Dado que no se descargan archivos, los sistemas de defensa que monitorean ejecutables o scripts locales no detectan ningún comportamiento inusual.
Además, se implementa geofencing para evadir entornos de análisis fuera de la región objetivo, mostrando contenido legítimo a los analistas o sandboxers ubicados fuera del área geográfica deseada.
¿Por qué este ataque es tan efectivo?
La técnica evidencia una evolución estratégica por parte de los atacantes, quienes ahora aprovechan formatos que los navegadores interpretan de forma nativa. Esto elimina la necesidad de ingeniería social para persuadir a las víctimas a ejecutar archivos adjuntos.
Las soluciones tradicionales de seguridad que se centran en:
Detectar ejecutables.
Bloquear archivos comprimidos.
Interceptar scripts tradicionales.
quedan completamente fuera de juego cuando el ataque se disfraza como una imagen SVG que se abre automáticamente en el navegador.
Recomendaciones para mitigar este tipo de amenaza
Acciones técnicas inmediatas
Bloquear o poner en cuarentena todos los archivos SVG adjuntos que lleguen por correo electrónico, especialmente si no son esperados.
Habilitar Content Disarm & Reconstruction (CDR) en gateways de correo y proxies web.
Implementar inspección profunda de contenido (DCI) para detectar scripts incrustados en archivos de imagen.
Correlacionar eventos sospechosos en navegadores con telemetría de correo (por ejemplo, usuarios que abren SVGs y luego visitan URLs codificadas).
Reforzamiento de políticas de autenticación
Migrar las políticas de DMARC de “p=none” a “p=reject” para bloquear suplantaciones de dominio.
Asegurar una implementación sólida de SPF y DKIM, revisando su alineación con los dominios usados en envíos legítimos.
Conclusión
El uso malicioso de archivos SVG con JavaScript embebido representa un giro silencioso pero profundo en las tácticas de ataque utilizadas por grupos cibercriminales. Al convertir un formato visual en un vehículo de ejecución activa, logran eludir controles convencionales y explotar brechas estructurales en las estrategias de seguridad corporativa.
En este contexto, es imprescindible que las organizaciones reconozcan que la amenaza ya no reside únicamente en archivos ejecutables o macros ofuscadas, sino también en formatos que tradicionalmente se consideraban seguros. El enfoque debe ser proactivo y multidimensional: visibilidad, autenticación reforzada, y defensa en profundidad.
