Los archivos SVG, que se pueden enviar como mensaje por WhatsApp y SMS, es un formato ampliamente por su versatilidad gráfica. Por ellos, cada vez es más empleado por grupos criminales para robar contraseñas y otro tipo de información sensible.
Expertos en ciberseguridad alertan que este método, en crecimiento en Latinoamérica, aprovecha la capacidad de estos archivos para incluir código oculto y redirigir a la víctima hacia páginas de phishing sin levantar sospechas.
En los últimos meses, analistas de empresas especializadas han detectado un incremento de campañas maliciosas que adjuntan imágenes SVG en correos electrónicos disfrazados de documentos legítimos. Aunque a simple vista parecen ilustraciones inofensivas, su estructura interna puede modificarse para ejecutar instrucciones peligrosas en cuanto el usuario las abre.
Un formato diseñado para la web que ahora sirve para ataques
El archivo SVG se diferencia de formatos tradicionales como JPG o PNG porque no almacena una imagen basada en píxeles, sino que utiliza vectores: instrucciones matemáticas que describen formas, curvas y colores. Esa característica lo hace liviano, adaptable a cualquier tamaño y compatible con todos los navegadores modernos, lo que ha impulsado su uso en logotipos, íconos, interfaces y piezas interactivas.
Sin embargo, esa misma estructura facilita que pueda contener código incrustado. Al estar construido sobre XML, el archivo no solo puede incluir gráficos, sino también scripts, enlaces y comandos. En un entorno legítimo, estas funciones se usan para animaciones o elementos interactivos. Pero en manos equivocadas, permiten insertar redirecciones, recursos externos o formularios diseñados para capturar datos.
El problema se intensifica porque muchos programas y plataformas tratan a los SVG como simples imágenes y no revisan su contenido interno. Esto permite que un archivo potencialmente peligroso pase filtros de seguridad básicos y llegue directamente a la bandeja de entrada del usuario.
Cómo funciona el engaño
Los ataques más comunes comienzan con un correo electrónico que finge ser una notificación laboral, una factura pendiente o un documento compartido. El archivo adjunto, identificado como imagen SVG, puede mostrarse con un nombre que refuerza el engaño, como factura.svg, documento_pendiente.svg o comprobante.svg.
Al abrirlo, el archivo activa elementos incrustados que pueden redirigir inmediatamente a una página falsa que imita a un sitio bancario, a un servicio corporativo o a una plataforma de inicio de sesión. En otros casos, carga formularios superpuestos dentro del propio navegador para solicitar datos personales, contraseñas o información financiera.
Para el usuario, el proceso ocurre de manera casi imperceptible: basta con visualizar la imagen para que el ataque se ejecute, sin necesidad de descargar programas adicionales.
Por qué crecen estos ataques
Especialistas señalan que el uso malicioso de SVG ha aumentado debido a tres factores principales:
- Es un formato legítimo y ampliamente utilizado, por lo que no genera sospechas inmediatas.
- Se adapta a cualquier plataforma y se abre directamente en el navegador, un entorno donde los atacantes pueden desplegar redirecciones con facilidad.
- Las medidas de seguridad tradicionales no siempre analizan su código, lo que permite que pasen filtros automáticos.
En campañas detectadas recientemente en la región, los archivos SVG han sido utilizados para distribuir enlaces hacia sitios fraudulentos que almacenan credenciales de correo, accesos corporativos o claves bancarias.
Recomendaciones para evitar caer en el engaño
Los especialistas recuerdan que no todos los archivos SVG son peligrosos, pero sí requieren precaución, especialmente cuando llegan por correo electrónico. Para reducir riesgos, se recomienda:
- Desconfiar de archivos SVG con nombres relacionados a pagos, facturas o documentos internos, ya que rara vez se utilizan para esos fines.
- Confirmar con el remitente si realmente se esperaba ese adjunto.
- Evitar abrir SVG directamente en el navegador, especialmente si provienen de contactos desconocidos.
- Revisar el tamaño del archivo: uno muy pesado puede indicar la presencia de código oculto.
- Mantener el navegador actualizado, ya que muchas vulnerabilidades explotadas por este tipo de ataques se solucionan en versiones recientes.
- Utilizar soluciones de ciberseguridad, que pueden analizar el contenido del archivo y bloquear scripts maliciosos.
- En entornos corporativos, considerar el bloqueo de adjuntos en formato SVG para minimizar incidentes.
Últimas Noticias
McDonald’s retira su anuncio de Navidad hecho con IA tras críticas
El spot presentaba escenas navideñas caóticas con la intención de generar empatía en la audiencia a través del humor y momentos habituales
Robot humanoide Optimus de Tesla cada vez se parece más a ti: las manos sorprendieron con su movimiento
Optimus mide unos 1,73 metros, pesa 57 kilos y está hecho con materiales ligeros, usando baterías similares a los de los autos eléctricos de Tesla
ChatGPT tendrá “modo adulto” en 2026: así permitirán las conversaciones eróticas en la IA
Fidji Simo, directora ejecutiva de Aplicaciones de OpenAI, dijo que la compañía se encuentra probando un modelo de predicción de edad para identificar cuándo aplicar restricciones de contenido
Mercado Libre integrará robots humanoides Digit en su logística
El androide se encargará inicialmente de tareas vinculadas al cumplimiento de pedidos
Fortnite regresa a Play Store de Google tras cinco años de ausencia
Antes, los usuarios debían recurrir a métodos alternativos para instalar el juego en sus dispositivos
