Noticias
Phishing impulsado por IA: qué deja de funcionar en 2026
2 de abril de 2026
Las faltas de ortografía han desaparecido. La voz al teléfono suena exactamente como la de su director financiero. La IA ha jubilado sin hacer ruido la mayoría de los consejos antiphishing que hemos dado durante una década, y toca actualizar la defensa.
Durante años, la formación en concienciación de seguridad se apoyó en señales: mala gramática, saludos genéricos, formato torpe, una sensación de urgencia que parecía algo fuera de lugar. Esas heurísticas funcionaban porque el phishing se producía a escala por personas que escribían en un segundo idioma bajo presión de tiempo. En 2026, esa suposición está muerta. La IA generativa redacta mensajes fluidos, contextuales y personalizados a coste marginal nulo, y el consejo antiguo ahora hace más daño que bien al dar a la gente una confianza falsa.
Qué ha cambiado
Tres cambios importan más que el resto. Primero, el idioma ya no es una señal. El phishing generado por IA se lee con naturalidad en cualquier idioma, imita el tono corporativo y hace referencia a proyectos reales extraídos de fuentes públicas. Segundo, la personalización ha escalado. Lo que antes era un spear phishing caro y artesanal dirigido a directivos ahora está automatizado y apunta a todo el mundo. Tercero, la clonación de voz y vídeo ha llegado al gran público. Una muestra corta de alguien hablando basta para sintetizar una voz convincente; hemos investigado casos de fraude de mandato en los que el personal actuó a partir de una llamada telefónica que estaba seguro provenía de un directivo.
Por qué falla la detección antigua
- «Busque errores de ortografía»: ya no los hay.
- «Verifique el nombre del remitente»: los nombres mostrados e incluso los dominios parecidos se falsifican con trivialidad y la IA los selecciona por su plausibilidad.
- «Confíe en una voz familiar»: una voz familiar es ahora una credencial falsificable.
La pregunta defensiva ha cambiado de signo. Ya no es «¿este mensaje parece sospechoso?». Es «¿he verificado esta solicitud por un canal que el atacante no controla?».
Qué funciona realmente en 2026
La defensa pasa de la detección a la verificación y la fricción. Forme a las personas para que verifiquen las solicitudes de alto riesgo —pagos, cambios de credenciales, actualizaciones de mandatos— a través de un segundo canal fuera de banda, siempre, sin excepciones. Construya controles de proceso que hagan insuficiente un único mensaje engañoso: doble autorización para los pagos, devoluciones de llamada a números conocidos en lugar de a números facilitados en el mensaje, y una cultura en la que detenerse a verificar se premie, no se vea como un obstáculo.
En el plano técnico, la autenticación multifactor resistente al phishing importa más que nunca, porque derrota el phishing de credenciales incluso cuando el humano es engañado. La autenticación del correo, el análisis de adjuntos en sandbox y la reescritura de enlaces siguen mereciendo la pena, pero trátelos como filtros que reducen el volumen, no como la línea que aguanta.
El resumen incómodo: ya no puede formar a su gente hasta el punto de detectar una falsificación perfecta. Lo que sí puede hacer es construir hábitos de verificación y controles de proceso que vuelvan inofensiva una falsificación convincente. Deje de enseñar a la gente a detectar; empiece a enseñarle a verificar.
