El 2 de junio de 2026, Xavier Mertens, analista del Centro de Tormentas de Internet de SANS, publicó un análisis sobre una oleada de phishing que había llegado a su bandeja de entrada durante varios días consecutivos. El adjunto de cada mensaje era un archivo SVG, un gráfico vectorial escalable. Cada correo superó las verificaciones de SPF, DKIM y DMARC sin ningún problema. El adjunto se abrió en un navegador sin ninguna advertencia de seguridad. El código malicioso se ejecutó en el momento en que fue abierto.
Esa secuencia es el problema central. Los correos estaban correctamente autenticados. El remitente fue verificado. DMARC no tenía nada que rechazar. El código malicioso estaba dentro de la imagen.
Qué Son los Archivos SVG y Por Qué Se Convierten en Armas
SVG es un formato de imagen basado en XML compatible de forma nativa con todos los navegadores modernos y sistemas operativos. A diferencia de los formatos de trama como PNG o JPEG, los archivos SVG describen gráficos mediante marcado, lo que significa que pueden contener JavaScript incrustado de forma legítima.
Los desarrolladores web usan JavaScript dentro de archivos SVG para crear animaciones interactivas, íconos responsivos y visualizaciones de datos. El formato goza de amplia confianza en navegadores, sistemas operativos y clientes de correo precisamente porque la gran mayoría de los archivos SVG en el mundo son exactamente lo que parecen: imágenes.
Los atacantes reconocieron que esta confianza podía ser explotada. Un archivo SVG que contiene JavaScript incrustado es abierto por el navegador en el momento en que el usuario hace doble clic. Sin software especial, sin permisos elevados, sin cuadro de diálogo de advertencia. El script se ejecuta de inmediato y redirige el navegador a una página de captura de credenciales adaptada específicamente a la dirección de correo del destinatario.
La Escala del Problema en 2026
Los números son significativos. Los archivos SVG maliciosos aumentaron cincuenta veces en 2025 en comparación con 2024. La investigación de KnowBe4 documentó un incremento del 245 por ciento en archivos SVG utilizados para ofuscar cargas útiles de phishing durante el mismo período. Los archivos SVG ahora se ubican como el tercer tipo de adjunto de correo malicioso más común a nivel mundial, detrás únicamente de PDFs y archivos HTML.
En una sola campaña de phishing basada en SVG rastreada en febrero de 2026, Microsoft registró la entrega de 1,2 millones de mensajes a más de 53.000 organizaciones en 23 países. Esa única campaña alcanzó a una fracción significativa de la infraestructura de correo empresarial mundial.
La escala es posible gracias a la automatización. Los atacantes generan variantes SVG únicas para cada correo: el nombre del archivo cambia, el asunto cambia y la carga útil codificada cambia con cada mensaje. Este comportamiento polimórfico hace que la detección basada en hash sea ineficaz. Cada mensaje se ve diferente para las herramientas de seguridad, aunque la estructura subyacente del ataque sea idéntica.
Por Qué las Puertas de Enlace de Correo No Lo Detectan
Las campañas actuales de phishing SVG explotan varias capas de evasión simultáneamente.
La mayoría de las puertas de enlace de seguridad de correo tratan los archivos SVG como imágenes. Las políticas de análisis de adjuntos que bloquean ejecutables, scripts y archivos comprimidos normalmente dejan los archivos de imagen sin revisar. Los equipos de seguridad ajustaron esas políticas basándose en patrones históricos de amenazas, y hasta 2024, los archivos SVG raramente aparecían en campañas de phishing en volúmenes significativos.
La carga útil maliciosa dentro del SVG está ofuscada. La campaña de junio de 2026 documentada por SANS utilizó cifrado XOR en la carga útil de JavaScript combinado con una declaración de tipo MIME ECMAScript obsoleta que algunas herramientas de análisis ya no inspeccionan. Ninguna técnica de evasión es nueva por sí sola. Combinadas entre sí y con el confiable formato de imagen, crean una brecha de detección que la mayoría de las configuraciones de puertas de enlace actuales no cierran.
El destino del phishing suele estar alojado en un dominio registrado recientemente con escaso historial de abusos. El filtrado de URL basado en reputación no tiene nada que señalar porque el dominio no ha aparecido en los feeds de amenazas el tiempo suficiente para ser listado.
La Paradoja de la Autenticación
Aquí es donde la oleada de phishing SVG se intersecta con DMARC de una manera que importa para todo administrador que gestione la autenticación de correo.
DMARC, SPF y DKIM verifican la identidad del remitente. Responden a una pregunta específica: ¿este correo realmente proviene del dominio que dice ser? Cuando un correo de phishing supera la autenticación completa, significa que el correo llegó de una fuente legítima, ya sea un servidor de correo autorizado o, en muchos casos, una cuenta de usuario comprometida.
El phishing SVG frecuentemente se origina desde cuentas comprometidas en organizaciones legítimas. Un atacante accede a un buzón real y envía mensajes con SVG maliciosos desde allí. Esos mensajes llevan la firma DKIM válida del propietario del dominio. Se originan desde infraestructura autorizada por SPF. Se alinean para DMARC. El veredicto de autenticación es Aprobado en los tres protocolos.
La política DMARC p=reject de una organización receptora no tiene ningún efecto en este escenario porque el correo no está suplantado. Proviene exactamente de quien dice provenir: una persona real en una empresa real cuya cuenta ha sido comprometida.
Este patrón es consistente con cómo evolucionan las amenazas posteriores a la autenticación. A medida que las organizaciones aplican DMARC y reducen los volúmenes de correo suplantado, los atacantes cambian a técnicas que operan dentro de la capa de autenticación en lugar de contra ella. Las cargas útiles SVG entregadas a través de correo autenticado son una instancia específica y medible de ese cambio.
Qué Hacer al Respecto
La aplicación de DMARC sigue siendo esencial. Elimina el correo suplantado que de otro modo transportaría estas cargas útiles a una escala mucho mayor. Pero abordar el phishing SVG requiere acciones en la capa de filtrado de adjuntos, además de la capa de autenticación.
Bloquear o aislar los adjuntos SVG en la puerta de enlace. La mayoría de las organizaciones no tienen ninguna razón legítima para recibir archivos SVG como adjuntos de correo. Agregar SVG a la lista de tipos de adjuntos bloqueados o en sandbox a nivel de puerta de enlace cierra la vía de entrega para esta técnica. Si tu entorno requiere archivos SVG para flujos de trabajo internos, considera enrutarlos a través de una plataforma de intercambio de archivos en lugar del correo.
Ampliar el análisis en sandbox más allá de los ejecutables. Las configuraciones heredadas de puertas de enlace tratan solo los archivos con extensiones ejecutables como peligrosos. La oleada SVG demuestra que los archivos de imagen ahora pueden llevar cargas útiles capaces de ejecutarse. El análisis en sandbox debe cubrir cualquier tipo de archivo que un navegador o sistema operativo abra de forma nativa sin solicitar confirmación al usuario.
Monitorear los informes agregados DMARC para detectar fuentes de envío inesperadas. Cuando las cuentas de usuario en tu dominio son comprometidas y usadas para enviar correos de phishing, los informes agregados DMARC de las organizaciones receptoras mostrarán autenticaciones exitosas desde direcciones IP inesperadas. La detección temprana de una cuenta comprometida limita el daño antes de que haya enviado miles de cargas útiles SVG hacia el exterior.
Aplicar DMARC con p=reject. DMARC no filtra el contenido, pero elimina por completo el correo suplantado. Las organizaciones sin política DMARC o con una política p=none son objetivos más atractivos para los atacantes que buscan dominios que puedan suplantar a escala. Aplicar p=reject elimina esa opción y obliga a los atacantes al camino más costoso de comprometer cuentas reales.
Actualizar la capacitación de usuarios sobre tipos de adjuntos. La mayoría de los usuarios tratan los archivos de imagen como de bajo riesgo. Esa suposición necesita actualizarse. Los archivos SVG de remitentes externos no son adjuntos de negocios habituales y deben tratarse con la misma sospecha que los archivos ejecutables.
Excello Mail te brinda visibilidad continua de los informes agregados DMARC, monitoreo de la alineación de autenticación en todas tus fuentes de envío, y alertas de infraestructura que detectan direcciones IP inesperadas antes de que una cuenta comprometida se convierta en un punto de lanzamiento de phishing. Regístrate gratis en Excello Mail y cierra las brechas de visibilidad que explotan las campañas de phishing SVG.