Durante años, el phishing tenía «mala fama»… y con razón.
Todos recordamos esos correos mal escritos, con logos pixelados y una urgencia artificial que los hacía casi cómicos. Eran molestos, sí, pero bastante evidentes. Si tenías un poco de cuidado, era difícil caer.
Eso ha cambiado.
Hoy, muchos correos de phishing son prácticamente indistinguibles de un email real. Están escritos en un castellano perfecto, utilizan el tono exacto de tu banco o de ese proveedor con el que hablas cada martes y encajan demasiado bien en tu día a día.
Ya no buscan engañar a tu ordenador; buscan engañar tu confianza.
El culpable tiene nombre: Inteligencia Artificial
La razón de este cambio radical es que los ciberdelincuentes han dejado de escribir a mano. Ahora utilizan herramientas de IA generativa (algunas diseñadas específicamente para el mal, como WormGPT o OnionGPT) para automatizar sus ataques.
Gracias a la IA, los atacantes ahora pueden:
- Eliminar cualquier rastro de error: emails bien redactados, con un lenguaje natural y profesional, que no despiertan sospechas.
- Personalizar a escala: Pueden enviar miles de correos que parecen escritos específicamente para tu sector o incluso para una persona concreta de tu equipo.
- Simular conversaciones reales: No solo envían un mensaje; la IA les permite mantener una «conversación» coherente para ganarse la confianza del empleado antes de lanzar el ataque final.
El resultado es evidente: ya no estamos ante “correos cutres”, sino ante mensajes que podrían pasar por auténticos sin levantar ninguna sospecha.
Antes, el usuario tenía una ventaja: las señales eran claras. Hoy, esas señales prácticamente han desaparecido.
El phishing se ha vuelto silencioso, discreto y creíble. Y eso lo convierte en un riesgo mucho mayor.
El email sigue siendo la puerta de entrada nº1
A pesar de toda la tecnología actual, el correo electrónico sigue siendo el canal preferido por los ciberdelincuentes.
¿Por qué? Porque sigue funcionando.
La mayoría de los ataques que terminan en robo de credenciales, fraude o ransomware empiezan con un solo email. Y casi nunca es un archivo raro o un “virus evidente”.
Hoy los ataques llegan en forma de:
- PDFs aparentemente inofensivos
- Archivos HTML que se abren directamente en el navegador
- Enlaces que llevan a páginas falsas idénticas a las reales
Todo está pensado para provocar un clic rápido, casi automático.
Los atacantes ya no atacan sistemas, atacan personas
Antiguamente, los hackers buscaban fallos en el software. Hoy, buscan fallos en las personas. Saben que vamos con prisa, que recibimos cientos de notificaciones y que, bajo presión, todos somos vulnerables.
Frases como “Es urgente”, “Hay un problema con este pago” o “¿Puedes revisarme esto ahora mismo?” son los ganchos preferidos porque anulan nuestro sentido crítico.
La pregunta no es si recibiréis un ataque, sino quién hará clic
Muchos directivos y dueños de PYMES cometen el mismo error: confiar en que «el sentido común» de sus empleados es suficiente. Pero, como hemos visto, la IA ya es capaz de fabricar situaciones donde el sentido común no basta.
¿Realmente sabes cuántas personas de tu equipo caerían hoy en un engaño así?
No esperes a que el ataque sea real para descubrirlo. La mejor defensa no es un manual de instrucciones olvidado en un cajón, sino el entrenamiento práctico.
El riesgo ya no se detecta, se entrena
El phishing ha evolucionado y hoy es más creíble que nunca gracias a la IA. La única forma de proteger tu empresa es comprobar, antes de tiempo, cómo responde tu equipo ante un ataque real.
También te puede interesar
El riesgo silencioso en tu empresa: el phishing ya no parece phishing
La IA ha transformado el phishing en una amenaza creíble y silenciosa. Evalúa si tu equipo está preparado antes de sufrir un ataque.
El riesgo silencioso en tu empresa: las contraseñas fuera de control
La falta de control en las contraseñas es un riesgo silencioso que afecta a muchas empresas. Gestionar accesos de forma segura evita problemas graves.
¿Tu empresa podría recuperar sus datos hoy?
Evalúa si tu backup puede restaurarse, cuánto tardaría la recuperación y qué riesgos debes corregir antes de un incidente.
