SevenTnewS

Análisis de ciberseguridad

El creciente auge del phishing impulsado por IA: por qué las defensas tradicionales están fallando

La IA generativa está potenciando los ataques de phishing con gramática impecable, señuelos personalizados y tácticas adaptativas. Las herramientas tradicionales de seguridad de correo electrónico y la capacitación de usuarios ya no son suficientes. Las organizaciones deben adoptar detección impulsada por IA, arquitecturas de confianza cero y simulación continua de empleados para mantenerse a la vanguardia.

Emmanuel Fabrice Omgbwa Yasse

2026-07-01 · 4 min de lectura

El creciente auge del phishing impulsado por IA: por qué las defensas tradicionales están fallando

La nueva cara del phishing

El phishing ha sido durante mucho tiempo la molestia más persistente de la industria de la ciberseguridad. Pero la IA generativa de consumo ha convertido una molestia en una amenaza sistémica. Los atacantes alguna vez dependían de una gramática torpe, logotipos desajustados y saludos genéricos. Ahora utilizan grandes modelos de lenguaje que producen texto casi perfecto en cualquier idioma y estilo, y a un costo casi nulo.

Un informe de SlashNext a principios de 2025 documentó un aumento del 1.265% en correos electrónicos de phishing maliciosos desde el lanzamiento de ChatGPT. Los mensajes generados por IA ahora representan la mayoría de todas las cargas útiles de phishing. El cambio no es meramente cuantitativo; el salto de calidad ha dejado obsoletos muchos mecanismos tradicionales de detección.

Cómo los LLM potencian los ataques

Las campañas modernas de phishing con IA comienzan con la recopilación de datos. Los atacantes extraen información disponible públicamente de LinkedIn, sitios web corporativos y corredurías de datos, y luego introducen esa inteligencia en un modelo de lenguaje como GPT-4o o Claude 4 Sonnet. El modelo produce un correo electrónico personalizado que hace referencia al rol real del objetivo, proyectos recientes o incluso un proveedor específico que utilizan.

Esta técnica, a menudo denominada spear-phishing 2.0, logra tasas de clics que antes estaban reservadas para grupos de amenazas persistentes avanzadas patrocinados por estados. Los investigadores de IBM X-Force descubrieron que los correos electrónicos de spear-phishing generados por IA engañaron al 40% de los destinatarios en una prueba controlada, en comparación con solo el 8% de las variantes escritas manualmente.

Evasores de defensas heredadas

Las puertas de enlace tradicionales de seguridad de correo electrónico dependen de la coincidencia de firmas, la puntuación de reputación y las reglas heurísticas. Estos sistemas fueron construidos para detectar campañas masivas con patrones reveladores, URL maliciosas conocidas, archivos adjuntos sospechosos y frases repetidas en muchos mensajes. Los ataques generados por IA producen un cuerpo único para cada destinatario, lo que hace que la detección basada en firmas sea prácticamente inútil.

Peor aún, los modelos generativos pueden adaptar el texto en tiempo real para pasar los filtros de contenido. Si se marca un correo electrónico, una simple modificación de la indicación puede reescribirlo con diferentes estructuras de oraciones, sinónimos e incluso cambios de contexto. Una segunda versión pasa el mismo filtro sin ser detectada.

Los deepfakes de voz y video amplifican la amenaza

El phishing ya no se limita al texto. Las herramientas de IA multimodal ahora permiten el vishing (phishing de voz) y las videollamadas deepfake. En febrero de 2025, el FBI emitió una advertencia después de que una empresa multinacional perdiera 25 millones de dólares cuando un empleado recibió una videollamada que parecía ser del director financiero, en realidad un deepfake generado con un modelo disponible públicamente. El empleado siguió las instrucciones y transfirió fondos a una cuenta fraudulenta.

Tales ataques requieren una experiencia técnica mínima. Los modelos de clonación de voz de código abierto, combinados con unos segundos de audio extraído de las redes sociales, pueden producir imitaciones convincentes. Para los altos ejecutivos cuyos videos de oratoria son abundantes, la barrera es casi inexistente.

Por qué la capacitación ya no funciona

Los programas de concienciación en ciberseguridad han sido durante mucho tiempo la primera línea de defensa contra el phishing. Pero los mensajes generados por IA erosionan las señales en las que se basa la capacitación humana: gramática pobre, dominios no coincidentes, demandas urgentes con un tono inconsistente. La IA de hoy puede replicar el estilo de escritura de un colega, usar jerga interna correcta y evitar los desencadenantes emocionales que alertan a los usuarios.

Una investigación de KnowBe4 en abril de 2025 mostró que los empleados que habían completado la capacitación de simulación de phishing todavía tenían un 31% de probabilidades de hacer clic en un phishing generado por IA, en comparación con el 42% de los empleados no capacitados, una mejora estadísticamente significativa pero no tranquilizadora. La implicación es clara: la capacitación ayuda, pero no puede por sí sola detener un señuelo lo suficientemente realista.

Contramedidas recomendadas

Los equipos de seguridad deben evolucionar sus defensas en varios frentes:

  • Detección impulsada por IA: Implemente plataformas de seguridad de correo electrónico que utilicen sus propios LLM para analizar la intención del mensaje, no solo las características superficiales. Los modelos entrenados específicamente para detectar texto generado por máquina pueden detectar artefactos invisibles para los humanos.
  • Arquitectura de correo electrónico de confianza cero: Trate cada correo electrónico como potencialmente malicioso. Exija una autenticación estricta (DMARC, DKIM, SPF), pero también solicite verificación fuera de banda para cualquier solicitud que implique transacciones financieras o acceso a datos, incluso si el correo electrónico parece provenir de un ejecutivo.
  • Simulación continua con contenido generado por IA: Los equipos rojos deben usar las mismas herramientas generativas que usan los atacantes para probar a los empleados, asegurando que la capacitación evolucione al mismo ritmo que las amenazas.
  • Protocolos de verificación de identidad: Para acciones sensibles, implemente autenticación multifactor que incluya confirmación en persona o una llamada de retorno a un número conocido. Los deepfakes de video hacen que la verificación visual no sea confiable; las empresas deben adoptar secretos compartidos o aplicaciones de verificación dedicadas.
  • Monitoreo de la dark web: Escanee de manera proactiva datos de la empresa, direcciones de correo electrónico de empleados, organigramas internos, listas de proveedores que se venden en foros criminales, ya que estos se alimentan directamente de las tuberías de phishing con IA.

La respuesta regulatoria

Los formuladores de políticas están comenzando a tomar nota. La directiva NIS2 actualizada de la Unión Europea incluye explícitamente los ataques generados por IA en sus requisitos de modelado de amenazas. En los Estados Unidos, la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) publicó un documento de orientación en marzo de 2025 instando a los operadores de infraestructuras críticas a prepararse para el phishing aumentado por IA. Pero la regulación va por detrás de la velocidad de la innovación, y la aplicación sigue siendo desigual.

Conclusión

El phishing impulsado por IA representa un cambio estructural en el panorama de amenazas, no solo un aumento en el volumen. Las herramientas que permiten este cambio son económicas, accesibles y mejoran rápidamente. Las organizaciones que dependen de las defensas de la década pasada, filtros estáticos, sesiones de capacitación anuales y confianza en la identidad del correo electrónico, ya están expuestas.

El nuevo manual requiere una seguridad en capas, adaptativa y nativa de IA: sistemas de detección que piensen como atacantes, procesos de verificación que asuman la suplantación de identidad y una cultura de escepticismo entrenada mediante simulación constante y realista. El costo de no hacer nada ya no se mide en vergüenza, sino en millones de dólares e infraestructura comprometida.