Ataques a través de imágenes en web, correo y redes

JADM 14 diciembre, 2025
Riesgos de imágenes SVG

Riesgos de imágenes SVG

Los archivos SVG parecen “imágenes”, pero en realidad son documentos de texto (XML) que pueden incluir scripts, enlaces y contenido interactivo. Esa flexibilidad los convierte en un vector para phishing y distribución de malware cuando se manipulan con fines maliciosos como phishing, ataques a traves de correo electrónico, malware en redes sociales o simple

Naturaleza del formato y alcance del ataque

  • Estructura basada en XML: Al ser texto, pueden incorporar elementos activos (scripts, enlaces, recursos externos) más allá de gráficos puros.
  • Compatibilidad web amplia: SVG se usa extensamente en sitios y correos; su “inocuidad” percibida facilita que el usuario confíe y abra el adjunto o lo cargue en el navegador.
  • Capacidad de incrustar contenido: Pueden referenciar recursos externos o incluir contenidos enmascarados que redirigen a páginas de phishing o descargan malware a través del navegador.

Métodos de distribución más comunes

  • Phishing por correo con adjuntos SVG:
  • Estrategia: Envío de un archivo .svg que invita a “ver factura/ticket/confirmación”. Al abrirlo en el navegador, redirige a una página falsa para robar credenciales o ejecutar cadenas de infección.
  • Razón de uso: Alta tasa de apertura y menor sospecha comparado con .exe o .js; los SVG pasan filtros básicos que no esten bien configurados.
  • Inserción en sitios comprometidos o anuncios:
  • Estrategia: Cargar SVG malicioso en un sitio (o en la publicidad que aparece en un sitio) que ejecuta redirecciones y formjacking (captura de datos) cuando el usuario interactúa, o incluye enlaces encubiertos.
  • Mensajería y plataformas colaborativas:
  • Estrategia: Compartir SVG “ilustrativos” que contienen enlaces ocultos o scripts incrustadoss. El usuario los abre en su navegador creyendo que son seguros.

En campañas recientes se han visto adjuntos SVG usados para llevar a páginas que capturan credenciales bancarias y personales, destacando su papel en estafas digitales de creciente frecuencia.



Casos documentados y tendencias

  • Incremento del uso de SVG en campañas de phishing: Medios especializados reportan una adopción creciente de SVG en correos maliciosos por su capacidad para redirigir y camuflar enlaces de phishing bajo apariencia de imagen legítima.
  • Alertas regionales sobre adjuntos .svg en estafas: Coberturas periodísticas en Latinoamérica (p.ej., Colombia) describen campañas donde los SVG adjuntos llevan a páginas que roban información financiera, evidenciando su impacto práctico y regional.
  • Análisis de seguridad sobre riesgos del formato: Investigaciones de seguridad remarcan que SVG puede contener código o referencias externas, y que se usa en campañas de ingeniería social y malware, por lo que requiere políticas de manejo más restrictivas que otros formatos de imagen.

Técnicas de ataque observadas en SVG

  • Redirecciones encubiertas y enlaces maliciosos:
  • Mecanismo: Uso de etiquetas y atributos para abrir URLs de phishing al renderizar el SVG o al hacer clic en “zonas hot” del gráfico.
  • Ofuscación dentro del XML:
  • Mecanismo: Texto codificado/compactado con enlaces a payloads; difícil de detectar a simple vista si el archivo no se inspecciona.
  • Carga de recursos externos:
  • Mecanismo: Referencias a scripts, iframes, imágenes remotas; el navegador puede intentar cargarlas, facilitando tracking, fingerprinting o pasos de infección.

Como ya leyeron, los archivos SVG (Scalable Vector Graphics) son documentos XML que pueden contener no solo gráficos, sino también scripts, enlaces y referencias externas. Esa flexibilidad los convierte en un posible vector de ataque si se usan de forma maliciosa.

El alcance y modo de ataque varía según el medio de distribución y la manera en que el usuario interactúa con esas imágenes que ve:

1. 📑 Páginas web o correos abiertos en navegador

  • Mecanismo de ataque:
  • El navegador interpreta el SVG como parte del DOM.
  • Si el archivo contiene etiquetas <script> o referencias externas, puede ejecutar código JavaScript malicioso.
  • Esto permite redirecciones automáticas a sitios de phishing, robo de cookies, o ejecución de ataques XSS (Cross-Site Scripting).
  • Impacto:
  • Robo de credenciales almacenadas en el navegador.
  • Instalación de malware vía descargas automáticas.
  • Secuestro de sesión en aplicaciones web abiertas.
  • Precaución:
  • Configurar políticas de Content Security Policy (CSP) para bloquear scripts en SVG.
  • Evitar abrir adjuntos SVG directamente en el navegador.

2. 📧 Correos electrónicos en clientes web (Gmail, Outlook web)

  • Mecanismo de ataque:
  • El SVG incrustado puede contener enlaces disfrazados como imágenes.
  • Al hacer clic, el usuario es redirigido a páginas de phishing.
  • Algunos clientes web interpretan el SVG inline, lo que puede permitir ejecución de código si no está filtrado.
  • Impacto:
  • Robo de credenciales de correo o servicios vinculados.
  • Exposición a campañas de phishing masivo.
  • Precaución:
  • Configurar filtros de adjuntos para bloquear SVG.
  • Educar usuarios para no abrir imágenes sospechosas en correos.

3. 📥 Correos en clientes de escritorio o móviles (Outlook, Thunderbird, apps de correo en iOS/Android)

  • Mecanismo de ataque:
  • El cliente descarga el archivo y lo muestra con el motor de renderizado del sistema.
  • Si el motor interpreta scripts o enlaces, puede ejecutar código local o abrir automáticamente páginas externas.
  • En móviles, el SVG puede aprovechar vulnerabilidades del visor de imágenes para escalar privilegios.
  • Impacto:
  • Ejecución de código en el dispositivo.
  • Robo de información local (contactos, correos, archivos).
  • Instalación de troyanos vía descargas automáticas.
  • Precaución:
  • Mantener clientes de correo actualizados.
  • Deshabilitar vista previa automática de adjuntos.
  • Usar antivirus/EDR que inspeccione adjuntos.

4. 🌐 Redes sociales (Facebook, Instagram, WhatsApp, TikTok)

  • Mecanismo de ataque:
  • Facebook/Instagram: al subir un SVG, la plataforma suele sanitizarlo, pero si se comparte por enlace externo, puede redirigir a sitios maliciosos.
  • WhatsApp: un SVG enviado como archivo puede abrirse en el navegador del teléfono, ejecutando redirecciones o scripts.
  • TikTok: enlaces disfrazados en SVG pueden usarse en perfiles o mensajes para llevar a páginas externas infectadas.
  • Impacto:
  • Phishing masivo a través de redes sociales.
  • Robo de credenciales de cuentas sociales.
  • Propagación rápida de malware mediante compartición de archivos “inocuos”.
  • Precaución:
  • No abrir archivos SVG recibidos por mensajería sin verificar origen.
  • Preferir formatos estáticos (PNG/JPG) en redes sociales.
  • Revisar enlaces antes de hacer clic en imágenes compartidas.

El riesgo de los SVG no está en el gráfico en sí, sino en su capacidad de contener código activo o enlaces externos.



  • En web y correo web, el peligro es la ejecución de scripts y robo de sesiones.
  • En clientes de escritorio/móviles, el riesgo es mayor: ejecución de código local y robo de datos.
  • En redes sociales, el principal vector es el phishing masivo y la propagación de enlaces maliciosos.

La recomendación general es tratar los SVG como archivos potencialmente activos, aplicar sanitización en servidores y evitar abrir adjuntos no solicitados.

Precauciones aconsejables

  • Políticas de adjuntos y filtrado:
  • Restricción: Bloquear o poner en cuarentena adjuntos .svg en correos; preferir formatos estáticos (PNG/JPG) para intercambio externo.
  • Inspección: Analizar SVG con motores antimalware y reglas específicas para XML; deshabilitar ejecución/interpretación activa en gateways.
  • Configuración segura en servidores y apps:
  • Sanitización: Si se permite subir SVG en sitios/app, sanitizar el XML (eliminar scripts, referencias externas, atributos peligrosos) antes de servirlos.
  • Servir como contenido estático: Entregar SVG con cabeceras que impidan ejecución activa y limitar orígenes externos.
  • Usuarios finales:
  • Desconfiar de adjuntos .svg: Tratar SVG como potencialmente activos; no abrir adjuntos no solicitados, incluso si parecen “imágenes”.
  • Verificación de origen: Confirmar por otro canal antes de abrir; revisar la URL real a la que redirige.
  • Reforzar la seguridad de correo y navegador:
  • Bloqueo de scripts y iframes remotos: Crear políticas de seguridad restrictivas; deshabilitar funciones no necesarias. Los usuarios van a protestar, pero es mejor tolerar caprichos que asumir las repercusiones por daños y pérdida de datos por no haber actuado a tiempo.
  • Actualizaciones y EDR: Mantener navegador/plug-ins actualizados y usar medidas de detección y respuesta con detección de comportamiento para cargas anómalas desde SVG. Un buen antivirus integral bien configurado suele ser suficiente con usuarios más o menos entrenados y responsables pero en la mayoría de los casos es necesario aplicar bloqueos y políticas de restricción forzosas (la existencia real del «usuario más o menos entrenado y responsable» aún no está científicamente comprobada)
  • Para correo corporativo: Bloquear .svg y educar usuarios sobre su riesgo; inspección de contenido y sandboxing de adjuntos sospechosos.
  • Para repositorios internos: Convertir SVG a formatos estáticos cuando no se requiera interacción; si se conservan SVG, aplicar sanitización y servir con políticas CSP estrictas.
  • Para equipos de seguridad: Incorporar firmas/reglas específicas para SVG en los motores de análisis, y monitorear métricas de campañas de phishing que usen este formato.

Y por las dudas, como todas las medidas de seguridad finalmente terminan dependiendo quizás de un único click de un operador distraído, siempre mantener backups off-line de los backups in-line de los backups de los backups de los backups…



Gracias por compartir!

Más historias

Phishing con Booking.com y la técnica ClickFix: así te pueden engañar

Phishing con Booking.com y la técnica ClickFix: así te pueden engañar

JADM 10 enero, 2026
Mejores Antivirus 2026: Microsoft Defender sigue siendo la mejor opción

Mejores Antivirus 2026: Microsoft Defender sigue siendo la mejor opción

JADM 6 enero, 2026
Estafas digitales: correos falsos que simulan ser de Mercado Libre

🚨 Estafas digitales: correos falsos que simulan ser de Mercado Libre

JADM 28 diciembre, 2025

Te pueden interesar

ablet Chuwi UBook XPro: no todo lo de China es Temu

📦 Tablet Chuwi UBook XPro: no todo lo de China es Temu

JADM 31 enero, 2026
No hagas caso! No quites la KB5074109 ni dejes de actualizar Windows!!

No hagas caso! No quites la KB5074109 ni dejes de actualizar Windows!!

JADM 28 enero, 2026
Amarillismo informático: exageración de problemas y sobrevaloración de virtudes

📰 Amarillismo informático: exageración de problemas y sobrevaloración de virtudes

JADM 24 enero, 2026
Ya no podés descargar correos de otras cuentas en Gmail

📩 Ya no podés descargar correos de otras cuentas en Gmail

JADM 22 enero, 2026
Windows 11 – Actualización KB5074109 y parche correctivo de enero 2026

🖥️ Windows 11 – Actualización KB5074109 y parche correctivo de enero 2026

JADM 21 enero, 2026