En 2025, las empresas eslovacas registraron un aumento récord de ataques de phishing. No debería sorprender. Los atacantes disponen ahora de herramientas con las que hace unos años solo podían soñar. Los grandes modelos de lenguaje generan correos convincentes y sin errores gramaticales. La IA puede clonar una voz a partir de solo 3 segundos de grabación. Los vídeos deepfake son cada vez más difíciles de distinguir de la realidad. Según el informe de ENISA de 2025, el número de ataques de phishing asistidos por IA en la UE aumentó un 135 %.
La ciberseguridad ya no consiste solo en firewalls y antivirus. Se trata de si su personal es capaz de reconocer un ataque bien preparado.
Cómo es el phishing con IA en 2026
El phishing tradicional era relativamente fácil de detectar. Mala gramática, remitente sospechoso, mensaje genérico. El phishing con IA juega en otra liga.
Correos personalizados
La IA puede analizar la información disponible públicamente sobre el objetivo (perfil de LinkedIn, sitio web de la empresa, redes sociales) y crear un correo que parece escrito por una persona concreta de la empresa. Sin erratas, con el tono adecuado y un contexto relevante.
Un idioma perfecto
Una de las señales de alerta tradicionales era el uso deficiente del idioma en los correos de phishing. Con los modelos LLM, esa señal desaparece. La IA genera un texto fluido y gramaticalmente correcto, incluida la terminología técnica.
¿Cuántos de sus empleados serían capaces de distinguir un correo de phishing perfectamente redactado de un mensaje interno real?
Ataques contextuales
Los atacantes combinan la IA con OSINT (inteligencia de fuentes abiertas). Vigilan las licitaciones públicas, los cambios en las empresas y los estados financieros. El correo de phishing llega entonces en el momento oportuno y con contenido relevante.
Deepfake: Cuando llama el jefe y no es el jefe
En 2025 surgieron casos en los que los atacantes usaron voces deepfake para llamar a directivos:
- El «director general» llama para solicitar una transferencia urgente
- Un «proveedor» llama con nuevos datos bancarios
- El «departamento de TI» llama para pedir credenciales de acceso
Bastan unos segundos de una grabación de voz disponible públicamente (un podcast, un vídeo, una grabación de una conferencia) y la IA crea un deepfake convincente. Combinado con la suplantación del número de teléfono, el ataque es casi perfecto.
Cómo defenderse: Medidas técnicas
Seguridad del correo electrónico
- SPF, DKIM, DMARC como base para la verificación del remitente
- Filtrado de correo con IA para analizar el contenido y los patrones de comportamiento
- Sandboxing de enlaces para verificar automáticamente los enlaces en un entorno seguro
Autenticación multifactor
- MFA en todos los sistemas críticos
- Claves de hardware (FIDO2) para los accesos más sensibles
- Biometría como factor adicional
Arquitectura Zero Trust
- Verificar cada acceso, no solo en el perímetro
- Privilegios mínimos (least privilege)
- Supervisión continua de anomalías
Cómo defenderse: Procedimientos internos
La tecnología por sí sola no basta. Sin procedimientos internos establecidos, es solo la mitad de la solución.
Protocolo de verificación para operaciones financieras
- Ninguna transferencia por encima de un importe definido sin verificación por un segundo canal
- Devolución de llamada a un número verificado (no al número del correo)
- Doble firma para los cambios en los datos bancarios de los proveedores
Notificación de mensajes sospechosos
- Una forma sencilla de notificar un correo sospechoso (un botón en el cliente de correo)
- Sin sanciones por falsas alarmas, mejor notificar 10 falsas que pasar por alto 1 real
- Respuesta rápida del equipo de seguridad
- Informes mensuales sobre el número de mensajes notificados y su evaluación
- Campañas de phishing simuladas (no como castigo, sino como entrenamiento)
- Ejemplos actualizados de ataques reales
- Formación específica para la dirección y el departamento financiero
Seguridad en nuestros proyectos
Cuando se solicita un cambio de datos bancarios, es más seguro exigir automáticamente una verificación por un segundo canal y registrar el cambio en un log de auditoría. La eficacia de una regla así se mide por los incidentes confirmados y las falsas alarmas, no por una anécdota de marketing sin respaldo.
Lista de comprobación para su empresa
Si ha respondido «no» a más de dos preguntas, es hora de actuar. Contáctenos. Le ayudaremos a configurar los procesos y las herramientas para que su empresa no sea un blanco fácil.