Durante años, los errores ortográficos fueron el indicador más fiable de un correo fraudulento. "Estimado cliente, su cuenta a sido suspendida" era suficiente para que cualquier usuario con un mínimo de atención lo descartara. Ese detector mental ya no funciona. Los ataques de phishing generados con IA no cometen errores tipográficos, conocen tu nombre, conocen el banco con el que operas y, en algunos casos, replican el tono exacto de los correos reales que esa entidad te ha enviado antes.
Qué ha cambiado en los últimos doce meses
El cambio no es que los atacantes tengan acceso a modelos de IA: eso ya ocurría en 2024. Lo que ha cambiado es la escala y la personalización. Las campañas de phishing clásicas lanzaban el mismo mensaje a millones de destinatarios con la esperanza de que un pequeño porcentaje picara. El coste marginal era bajo, pero la tasa de éxito también.
Con los modelos actuales, generar un correo personalizado para cada destinatario cuesta prácticamente lo mismo que generar uno genérico. Un script que combine datos filtrados de LinkedIn, el historial público de una empresa y las plantillas de comunicación de un banco puede producir miles de correos individualizados en minutos. Cada uno menciona el cargo real del destinatario, hace referencia a la empresa correcta y usa el registro lingüístico adecuado para el sector.
La firma de ciberseguridad Proofpoint publicó en febrero datos que confirman esta tendencia: el volumen de ataques de spear phishing (phishing dirigido a personas concretas) creció un 47% interanual en el último trimestre de 2025, con un incremento notable en la sofisticación del lenguaje empleado. Los equipos de respuesta a incidentes ya no pueden usar la calidad del texto como filtro de primera línea.
El vector que más preocupa: el móvil
El smishing, que es el phishing por SMS, ha experimentado la evolución más preocupante. Los mensajes fraudulentos por SMS siempre han sido más efectivos que los correos porque el contexto de lectura es diferente: lees en el móvil, con menos tiempo, con menos herramientas de verificación a mano. Ahora se añade personalización generada por IA y, en algunos casos, mensajes de voz sintética que replican la voz de personas reales.
Los ataques de vishing (phishing por llamada telefónica) con voz clonada son el vector que más está creciendo en entornos corporativos españoles según el Centro Criptológico Nacional. Una llamada que suena exactamente como tu director financiero diciéndote que valides una transferencia urgente es un escenario que hace doce meses parecía ciencia ficción y que ya está en los informes de incidentes reales.
Por qué los filtros técnicos no son suficientes
Los filtros de correo basados en listas negras y análisis de cabeceras siguen siendo útiles, pero no están diseñados para detectar contenido semánticamente correcto que provenga de un dominio legítimo recién comprado. Los atacantes más sofisticados registran dominios que se parecen a los reales (bancosantander-es.com en lugar de bancosantander.es), calientan esa dirección durante semanas enviando correos inofensivos para que no aparezca en listas negras, y después lanzan el ataque.
El análisis de comportamiento de usuario es el complemento necesario: detectar que alguien que nunca ha transferido más de 1.000 euros está intentando aprobar una de 50.000 es una señal que los filtros de contenido no pueden captar. Las soluciones más efectivas combinan ambas capas.
Lo que sí puedes hacer
La autenticación de dos factores con app de autenticación (no por SMS) sigue siendo la medida individual de mayor impacto. Los ataques de phishing más sofisticados pueden capturar en tiempo real las credenciales que introduces, pero el tiempo limitado de validez de los códigos TOTP complica sustancialmente el ataque.
Para entornos corporativos, la formación técnica periódica con simulaciones reales sigue siendo el factor que más reduce la tasa de éxito de los ataques, según todos los estudios disponibles. No porque haga a la gente invulnerable, sino porque introduce el hábito de verificar antes de actuar, especialmente en situaciones de urgencia que es exactamente donde estos ataques se diseñan para operar.
El problema de fondo es que la asimetría entre atacante y defensor no ha hecho más que crecer. Generar un ataque creíble cuesta cada vez menos. Detectarlo y prevenirlo sigue requiriendo tiempo, recursos y criterio humano que no escala igual de rápido.
0 Comentarios