Nueva estafa con formato SVG pone en riesgo tus contraseñas en toda América Latina

Lo que parece una simple imagen en tu correo podría ser una puerta abierta para que ciberdelincuentes entren a tus cuentas. En lo que va de 2025, más de 4,000 correos maliciosos han sido detectados a nivel mundial con una técnica que se aprovecha del formato de archivo SVG —normalmente usado para ilustraciones—, pero que en manos equivocadas puede convertirse en una trampa perfecta para robar contraseñas. Y sí, ya hay casos confirmados en América Latina.

Según un reciente informe de la empresa de ciberseguridad Kaspersky, los atacantes han comenzado a distribuir correos electrónicos de phishing dirigidos tanto a usuarios individuales como corporativos. Lo preocupante es que estos correos contienen archivos SVG —un tipo de imagen vectorial—, que al abrirse redirigen al usuario a páginas falsas que imitan plataformas muy conocidas como Google Voice o Microsoft Outlook. Todo esto con un objetivo claro: robar tus credenciales de acceso.

¿Cuándo se detectó esta nueva técnica?

Aunque el formato SVG lleva años usándose en diseño y desarrollo web, fue en marzo de 2025 cuando se disparó el uso de estos archivos con fines maliciosos. De hecho, Kaspersky reportó un aumento de casi seis veces en este tipo de ataques en comparación con febrero, marcando una clara tendencia al alza. Desde enero hasta ahora, más de 4,000 correos electrónicos con archivos SVG maliciosos han sido detectados a nivel global.

Esta modalidad no conoce fronteras. Aunque el fenómeno es global, América Latina ya está en la lista de regiones afectadas. Los correos están llegando tanto a cuentas personales como empresariales, con asuntos relacionados a mensajes de voz, documentos por firmar, alertas urgentes o incluso promociones falsas.

¿Cómo funciona esta estafa?

El archivo SVG se comporta como una página web camuflada dentro de una imagen. En uno de los casos detectados, el archivo simula ser un audio de Google Voice. Cuando el usuario hace clic en “Reproducir audio”, es llevado a una página falsa de inicio de sesión que solicita el ingreso del correo y la contraseña. Esta página contiene el logo de la empresa objetivo y un diseño convincente, lo que genera confianza… y hace caer en la trampa.

En otro ejemplo, los delincuentes simulan una notificación de firma electrónica pendiente, donde el archivo SVG incluye un script en JavaScript que lanza automáticamente una ventana del navegador con otra página de phishing, esta vez imitando los servicios de Microsoft.

A diferencia de otros archivos de imagen como JPG o PNG, los SVG pueden contener código interactivo, como botones, enlaces o scripts. Eso los vuelve útiles para diseñadores… y también perfectos para los ciberdelincuentes. Así, el usuario cree que está abriendo una imagen, pero en realidad está ejecutando un código que lo lleva directo a una página trampa.

¿Qué dicen los expertos?

“Los atacantes de phishing exploran constantemente nuevas técnicas para evadir la detección. Aunque por ahora estas amenazas son relativamente simples, el uso de SVG como contenedor de contenido malicioso también puede emplearse en ataques dirigidos mucho más sofisticados”,

afirma Leandro Cuozzo, analista de seguridad del Equipo Global de Investigación y Análisis de Kaspersky para América Latina.

¿Cómo protegerse?

El equipo de Kaspersky comparte algunas recomendaciones básicas pero cruciales para evitar caer en estas trampas digitales:

• No abras correos ni hagas clic en enlaces de remitentes que no conoces o que te resulten sospechosos.
• Si el remitente parece legítimo, pero el mensaje te genera dudas, confirma su autenticidad por otro medio.
• Verifica bien la dirección web (URL) antes de ingresar tus datos: los atacantes suelen usar letras o números similares para engañarte (como “g00gle.com” en lugar de “google.com”).
• Utiliza una solución de seguridad confiable que incluya protección contra correos maliciosos y phishing. Kaspersky Premium, por ejemplo, detecta estas amenazas en tiempo real.

Los archivos SVG están siendo usados como caballo de Troya digital para vulnerar cuentas personales y corporativas. La prevención y la educación digital son nuestras mejores armas para no caer en este nuevo tipo de estafa, cada vez más frecuente y peligrosa.