Microsoft introduce un cambio relevante en su ecosistema de correo: Outlook en la web y el nuevo Outlook para Windows dejarán de renderizar imágenes SVG incrustadas (inline). El despliegue comenzó a inicios de septiembre y finalizará a mediados de octubre de 2025. La compañía estima que la medida afectará a menos del 0,1% de todas las imágenes enviadas por Outlook, por lo que el impacto en casos de uso legítimos será limitado.
Por qué Microsoft desactiva los SVG inline: mitigación de XSS y evasión de filtros
SVG (Scalable Vector Graphics) es un formato basado en XML que puede incluir scripts y referencias externas. Cuando un SVG se incrusta directamente en el cuerpo del mensaje, aumenta el riesgo de ejecución de código en el cliente si la sanitización no es suficiente. En un entorno de correo, esto habilita ataques de cross-site scripting (XSS), robo de tokens de sesión, manipulación del interfaz y phishing sin necesidad de descargar ejecutables.
Los atacantes han explotado ampliamente estas propiedades. A finales de 2024 se observó un incremento de campañas con SVG adjuntos para evadir controles basados en firmas. En abril de 2025, análisis de Trustwave reportaron un aumento del 1800% en ataques respecto a abril de 2024, y a finales de septiembre de 2025 Microsoft documentó campañas que generaban SVG con modelos de lenguaje para eludir defensas de correo. Este patrón confirma que el canal inline es un vector atractivo para contenido dinámico malicioso.
Qué cambiará en la experiencia de Outlook
Con la nueva política, los SVG insertados directamente en el cuerpo del correo no se mostrarán y el usuario verá un espacio vacío. En cambio, los SVG enviados como adjuntos tradicionales seguirán visibles desde el panel de archivos, preservando flujos de trabajo que dependen de gráficos vectoriales. La medida reduce la superficie de ataque precisamente donde el riesgo de XSS es mayor, sin eliminar por completo el intercambio legítimo de SVG.
Parte de una estrategia más amplia de reducción de superficie de ataque
Este cambio se alinea con la estrategia de Microsoft para limitar escenarios de riesgo en Office y Windows. En junio de 2025, Outlook en la web y el nuevo Outlook para Windows comenzaron a bloquear adjuntos .library-ms y .search-ms, formatos aprovechados en ataques dirigidos desde al menos junio de 2022. La lista de extensiones bloqueadas se mantiene actualizada en la documentación oficial de Microsoft y evoluciona según la actividad de amenazas.
Recomendaciones para equipos de TI y marketing
— Sustituir SVG inline por formatos raster seguros (PNG/WebP) o servir imágenes desde CDN confiables, con funciones de script deshabilitadas.
— Revisar políticas de seguridad del correo: filtrado de adjuntos y URL, activación y seguimiento de DMARC, DKIM y SPF, y uso de enlaces seguros.
— Refrescar la concienciación de usuarios sobre phishing, en especial ante adjuntos inesperados o solicitudes de autenticación en sitios externos.
— Auditar plantillas de newsletters y landing pages para eliminar dependencias de SVG inline y preparar fallbacks que garanticen una visualización consistente en Outlook.
Implicaciones para la seguridad del correo electrónico
La prohibición de renderizar SVG incrustados en Outlook cierra un canal habitual de entrega de código malicioso, dificultando XSS y campañas de phishing basadas en contenido dinámico. Si bien no elimina por completo el riesgo (persisten vectores vía enlaces y otros adjuntos), reduce de forma apreciable la probabilidad de compromiso en el punto más explotado de la cadena: el cuerpo del mensaje. A medida que el despliegue concluya a mediados de octubre de 2025, se espera un impacto mínimo en comunicaciones legítimas y una mejora neta de la higiene del correo.
Aprovechar al máximo este cambio exige una defensa en profundidad: políticas anti-phishing, inspección de adjuntos y URLs, autenticación de dominios robusta y capacitación regular. Migrar a formatos de imagen seguros y abandonar el SVG inline en e-mail marketing ayudará a mantener la conversión sin ampliar la superficie de ataque. Mantener inventarios de plantillas, supervisar métricas de entrega y actualizar controles según la guía de Microsoft consolidará la resiliencia frente a campañas que evolucionan con rapidez.
