Los atacantes recurren al phishing en nuevos ámbitos
Los ataques multicanal exigen nuevas planteamientos y estrategias innovadoras
Los CISO necesitan una nueva guía de estrategias, urgentemente. A lo largo del tiempo, han sido referentes en seguridad digital dentro de sus organizaciones, anticipando y señalando con claridad las nuevas amenazas. Sin embargo, muchas de sus estrategias más consolidadas nacieron en una época anterior, cuando el foco estaba en las migraciones a la nube y los servicios digitales. Esa época ha terminado. Como resultado, las herramientas de muchos CISO están empezando a quedar obsoletas.
En ningún otro ámbito es esto m�ás evidente que en la lucha contra el phishing, que cuesta a las empresas de todo el mundo más de 50 000 millones de dólares al año.
El primer ataque de phishing moderno tuvo lugar en la década de 1990, cuando los usuarios de Internet con acceso telefónico descubrían por primera vez las maravillas del correo electrónico. Décadas más tarde, el correo electrónico sigue siendo el método de ataque predilecto de los ciberdelincuentes. De hecho, más del 90 % de los ciberataques exitosos comienza con un correo electrónico de phishing, según la Agencia de Ciberseguridad y Seguridad de la Infraestructura (CISA).
Pero los correos electrónicos de phishing de hoy en día no son los mismos que los de ayer. No solo son más numerosos (se estima que los ciberdelincuentes envían miles de millones de correos electrónicos de phishing cada día), sino que también son más persuasivos. La inteligencia artificial es una de las principales razones, según investigadores de la Universidad de Columbia. En julio de 2025, publicaron un estudio de referencia que mostraba que más del 51 % de los correos electrónicos no deseados se generan ahora con IA.
"Nuestros resultados muestran que los atacantes están utilizando principalmente la IA para mejorar la calidad del correo electrónico, es decir, para reducir los errores ortográficos y gramaticales, en lugar de alterar las estrategias de ataque", declaró el autor principal del estudio, Wei Hao, en un comunicado de prensa. "Esto hace que el spam sea más difícil de detectar y potencialmente más convincente para los destinatarios".
Para los CISO que utilizan tácticas obsoletas para combatir las nuevas iteraciones del phishing, es como presentarse a un incendio de gran magnitud con una manguera de jardín.
Y la IA no es el único problema. Para aumentar tanto su alcance como sus beneficios, los ciberdelincuentes recurren cada vez más a nuevos y diversos canales de comunicación para ejecutar sus ataques de phishing, incluidos mensajes de texto, llamadas de voz, códigos QR y redes sociales. Para detener el phishing en todos estos frentes, los CISO deben invertir más en prácticas de seguridad modernas, como la automatización, el análisis de amenazas en tiempo real y la formación.
¿Cómo están evolucionando las tácticas de phishing?
Ya no basta con configurar filtros de spam para detectar correos electrónicos de phishing. Actualmente, los atacantes utilizan diversos métodos para atraer a sus víctimas. Por ejemplo, entre los vectores de ataque en auge se encuentran el smishing, el vishing, el quishing, las plataformas de comunicación empresarial y las redes sociales, todos ellos capaces de eludir muchos de los métodos habituales de detección y mitigación que los CISO y sus equipos han utilizado tradicionalmente para detener los ataques de phishing.
La llegada de los ataques de phishing "multicanal" marca una nueva era en la ciberdelincuencia. Comprender cómo operan los ciberdelincuentes en esta nueva era es fundamental para los CISO que desean adelantarse a las amenazas en constante evolución. Los CISO más eficaces reconocen tres aspectos particulares del phishing moderno: la IA, la ingeniería social y la recopilación de información.
Phishing con IA
Los ataques de phishing son cada vez más difíciles de reconocer debido a la IA, que, como bien señalan los investigadores de la Universidad de Columbia, ha eliminado las faltas ortográficas y gramaticales que antes eran signos reveladores del phishing.
Sin embargo, la IA no solo está haciendo que los estafadores sean mejores escritores. También los está convirtiendo en mejores vendedores. Con la ayuda de herramientas de IA generativa y agéntica, los atacantes pueden crear mensajes de phishing personalizados para grupos e individuos específicos. Los deepfakes de IA y la clonación de voz, por ejemplo, son elementos clave del arsenal de los atacantes modernos, ya que les permiten crear imágenes y vídeos tan realistas que incluso los expertos tienen dificultades para distinguir entre lo real y lo falso.
Imaginemos el daño que podría causar a una empresa un atacante que envíe a sus empleados un archivo PDF adjunto con malware desde la dirección de correo electrónico suplantada del CEO de la empresa, seguido de una llamada telefónica con la voz clonada. Ese tipo de ataque de phishing ya está ocurriendo hoy día.
A medida que se generaliza el uso de la IA, cualquiera puede organizar una campaña de phishing exitosa. Los ciberdelincuentes pueden usar la IA para aumentar la escala de un ataque de phishing a través de numerosos vectores. Por otro lado, un empleado con pocos conocimientos tecnológicos puede utilizar la IA para crear un kit de spearphishing con el que atacar los activos de la organización, lo que genera nuevas áreas de riesgo interno.
Y luego está el elemento de la velocidad. Los ciberdelincuentes que utilizan la IA pueden crear campañas y mensajes de phishing más rápido que nunca, y pueden utilizar esa mayor velocidad y eficiencia para lanzar más ataques de phishing en más lugares y contra más objetivos.Ingeniería social
La manipulación psicológica, también conocida como ingeniería social, es tan esencial como la tecnología para el phishing moderno. "Para conseguir que sus víctimas realicen las acciones que desean, como enviar dinero o compartir información privada, los atacantes suelen apelar a emociones como el miedo (p. ej., que se les bloquee el acceso a una cuenta a menos que se realice una acción), la culpa (p. ej., la necesidad de responder a un mensaje amistoso de un remitente desconocido) o la emoción (p. ej., un mensaje directo en LinkedIn sobre la oferta de trabajo "perfecta").
Los atacantes se aprovechan de la confianza que los usuarios depositan en empresas conocidas, en altos cargos e incluso en conocidos ocasionales. Los ataques de phishing, más difíciles de detectar, se producen cada vez más en los periodos de mayor estrés para las empresas — por ejemplo, durante la temporada navideña, la época de impuestos y el final del año fiscal —, ya que los atacantes saben que los empleados son más susceptibles de cometer errores cuando están ocupados.Recopilación de información
Tradicionalmente, el motivo detrás de la mayoría de los ciberataques era financiero. Y ese sigue siendo el objetivo principal para muchos atacantes. Pero los ciberdelincuentes de hoy en día no solo buscan dinero. También buscan información. De hecho, el número de programas maliciosos diseñados para robar información confidencial de forma encubierta, tales como información personal, contraseñas, capturas de pantalla y documentos privados, distribuidos a través de correos electrónicos de phishing, aumentó un 84 % entre 2024 y 2025, según informó el IBM Institute for Business Value (IBV) en su informe "IBM X-Force 2025 Threat Intelligence Index".
"El phishing se ha convertido en un vector de infección oculto para vulnerar cuentas válidas", informa IBM IBV, que sostiene que casi uno de cada tres ciberataques se lleva a cabo utilizando cuentas válidas. "El aumento de los correos electrónicos de phishing que distribuyen malware para robar información y credenciales alimenta esta tendencia, lo que puede atribuirse al uso de la IA por parte de los atacantes para ampliar la escala de los ataques".
Los atacantes que utilizan el phishing para recopilar credenciales de inicio de sesión, como nombres de usuario y contraseñas, pueden vender la información para obtener beneficios económicos o utilizarla para infiltrarse en redes con fines de espionaje o para lanzar ataques más grandes y sigilosos.
En cualquier caso, el objetivo final es obtener propiedad intelectual confidencial, secretos gubernamentales y credenciales de altos cargos. Los Estados-nación, por ejemplo, pueden utilizar el phishing como punto de partida para infiltrarse en los teléfonos y redes de políticos, contratistas de defensa y medios de comunicación. Estos y otros agentes maliciosos pueden utilizar el phishing para obtener acceso a infraestructuras críticas o secretos comerciales. Consideremos el caso de 2024 de un grupo de hackers respaldado por Rusia, que lanzó un ataque de phishing con el objetivo de obtener información confidencial del Gobierno de los Estados Unidos. A principios de 2025, un grupo de espionaje chino lanzó ataques de phishing de forma similar contra empresas manufactureras, entidades de la cadena de suministro y empresas tecnológicas en Taiwán para recopilar datos de inteligencia.
Tanto si buscan dinero como información, el phishing multicanal permite a los atacantes ampliar su alcance. Mientras que el phishing en redes sociales alcanza a una gran audiencia con una sola publicación, un ataque de smishing o quishing puede alcanzar a un gran volumen de usuarios con una mayor probabilidad de interacción.
Medidas contra el phishing para los CISO
Claramente, los ciberdelincuentes están evolucionando. Para mantener el ritmo, los CISO también deben evolucionar. Las habilidades técnicas y el sentido común empresarial que tradicionalmente han definido sus funciones ya no son suficientes. En respuesta a la IA, la ingeniería social y la recopilación de información que fomentan los ataques de phishing multicanal, los CISO deben pensar de forma diferente y desarrollar habilidades sociales que complementen vuestra experiencia técnica.
Entre las aptitudes sociales más importantes que los CISO deben fomentar y desarrollar se encuentran, por ejemplo: la inteligencia emocional, que les ayuda a reconocer por qué los usuarios pueden caer en las trampas del phishing y a crear un entorno no punitivo en el que los empleados se sientan seguros a la hora de informar de los intentos de phishing; las habilidades de liderazgo, que les ayudan a influir en los empleados y compañeros de trabajo para crear una cultura que dé prioridad a la seguridad; las habilidades de pensamiento crítico, que podrían ayudarles a determinar dónde es más probable que se produzcan los ataques y qué tácticas son más probables que utilicen los atacantes; y habilidades de comunicación y colaboración, que pueden aprovechar para formar a los empleados sobre tácticas de phishing poco convencionales y para involucrarlos en las iniciativas contra el phishing de toda la empresa.
Y, sin embargo, no basta con pensar de forma diferente a menos que también actúes de manera diferente. Por lo tanto, aunque desarrollen nuevas habilidades y perspectivas que les ayuden a identificar amenazas potenciales, los CISO deben adoptar nuevas prácticas contra el phishing que hagan que sus organizaciones sean más resilientes a las amenazas, independientemente del canal o modo de ataque.
La automatización, el análisis de amenazas en tiempo real y la formación son las tres prácticas que pueden tener el mayor impacto frente al phishing multicanal:
1. Automatización: usa herramientas de seguridad basadas en IA
Los ciberdelincuentes no son los únicos que pueden usar la IA para aumentar su alcance y sofisticación. Las empresas pueden implementarla de forma similar para detener ataques, en lugar de iniciarlos.
De hecho, existen herramientas de phishing de IA cuyo propósito específico es mitigar los ataques. Existen modelos de lenguaje de gran tamaño (LLM), por ejemplo, cuyo propósito explícito es detectar signos de phishing en correos electrónicos, mensajes de texto, publicaciones en redes sociales y otros foros. Mediante el procesamiento del lenguaje natural, pueden analizar el texto escrito en busca de lenguaje sospechoso y otras señales de alerta, y avisarte automáticamente de posibles amenazas. Existen otros LLM entrenados para detectar anomalías, como desviaciones en los horarios y ubicaciones de inicio de sesión habituales, y también los hay que emplean visión artificial para identificar images sospechosas, como logotipos de marcas falsificados y códigos QR maliciosos.
Los CISO interesados en utilizar herramientas de seguridad basadas en IA deben buscar algunas funciones clave en las soluciones que están considerando. Las capacidades importantes contra el phishing incluyen:
Análisis de sentimiento y conversación, que proporciona a las organizaciones la capacidad mencionada anteriormente de aprovechar el procesamiento del lenguaje natural para la detección automatizada de amenazas en texto.
Autenticación adaptable, que ajusta de forma dinámica los requisitos de autenticación en respuesta al comportamiento de alto riesgo del usuario.
Respuesta automatizada a incidentes, que permite a las organizaciones detectar y automáticamente poner en cuarentena mensajes o dispositivos sospechosos en su red.
Información sobre amenazas, que compara las indicadores de phishing con información sobre amenazas actuales para identificar ataques de forma temprana.
2. Análisis de amenazas en tiempo real: aísla los peligros potenciales
Una de las funciones más importantes que se deben buscar en las herramientas de seguridad basadas en IA es el análisis de amenazas en tiempo real, que puede ayudar a las organizaciones a identificar y contener rápidamente las amenazas antes de que alcancen sus objetivos humanos.
Entre los indicadores de phishing que las organizaciones deberían poder supervisar en tiempo real, se encuentran:
El comportamiento sospechoso del remitente, incluidos dominios falsificados, direcciones de correo electrónico similares y nuevos remitentes que de repente intentan ponerse en contacto con numerosos empleados.
Las URL y los dominios sospechosos, incluidos aquellos con mala reputación, enlaces desconocidos, cadenas de redirección y páginas de captura de credenciales.
Los archivos adjuntos maliciosos, incluidos archivos con macros, ejecutables y scripts ofuscados.
Los comportamientos peligrosos por parte de los usuarios, como hacer clic en enlaces desconocidos, descargar archivos de fuentes sospechosas e iniciar sesión desde ubicaciones inusuales o en momentos inusuales.
3. Formación: aumenta la concienciación sobre la seguridad
Dado que las estafas de phishing se dirigen al comportamiento humano y a sus errores, la formación para ayudar a los empleados a reconocer las señales de phishing en los diferentes vectores de ataque es un elemento disuasorio fundamental y eficaz.
Cuando diseñes un programa de formación contra el phishing, ten en cuenta las siguientes prácticas recomendadas:
La formación anual en materia de conformidad no es suficiente, ya que las amenazas de phishing son dinámicas y cambian constantemente. Por lo tanto, la formación debe ser frecuente y continua para garantizar que los empleados tengan la información más actual y precisa.
Los empleados están ocupados y el phishing es complejo. Para tener en cuenta la breve capacidad de atención, prioriza los módulos de aprendizaje breves, fáciles de asimilar y específicos, en lugar de cursos de formación largos y exhaustivos.
Para aumentar la retención, haz que la formación sea lo más relevante y práctica posible centrándote en el aprendizaje contextual, incluida la formación basada en escenarios y simulaciones realistas que imiten las tácticas de phishing reales. También es útil proporcionar comentarios en tiempo real cuando los empleados caen en las trampas de los ataques simulados.
La formación debería ser obligatoria para todos, incluidos los altos ejecutivos, que son objetivos de gran valor y a menudo carecen de la formación adecuada en medidas de ciberseguridad.
Es fundamental realizar un seguimiento del progreso a lo largo del tiempo, incluidas métricas como la tasa de clics, la tasa de informes y el tiempo de respuesta. Hacerlo puede ayudar a las empresas a identificar y corregir deficiencias, a la vez que recompensa e incentiva la mejora.
¿Qué pasa si un ataque de phishing funciona?
Dado que los ciberdelincuentes son tan inteligentes y persistentes, nada es completamente infalible. Por lo tanto, la respuesta a las amenazas es tan importante como la prevención de estas.
Si un atacante logra su objetivo, los CISO pueden utilizar técnicas como Zero Trust y el principio de mínimo privilegio para mitigar los riesgos y evitar daños. Estas soluciones crean zonas aisladas dentro de una red que requieren verificación continua y, como resultado, limitan la capacidad de los atacantes para moverse libremente.
La resiliencia requiere vigilancia
El phishing puede ser una táctica de estafa antigua, pero también es eficaz, razón por la cual los ciberdelincuentes continúan utilizándola a medida que la tecnología evoluciona. Además del correo electrónico, hoy en día los atacantes utilizan nuevos vectores como los mensajes de texto y las videoconferencias para que el phishing sea más eficaz.
Cloudflare Email Security es la primera línea de protección contra las tácticas de phishing tradicionales. Cloudflare One amplía la protección a los vectores de ataque de phishing más recientes mediante el uso de Zero Trust. Si los CISO y sus equipos de seguridad entienden cómo son los ataques de phishing en las distintas plataformas y aplicaciones, incluido el impacto del phishing basado en IA, podrán diseñar sistemas que aborden las vulnerabilidades antes de que se conviertan en riesgos.
Este artículo forma parte de un conjunto de publicaciones sobre las últimas tendencias y temas que afectan a los responsables de la toma de decisiones sobre tecnología en la actualidad.
Más información sobre este tema
Conoce los ataques de phishing que tus sistemas de seguridad de correo electrónico actuales no detectan con una evaluación gratuita del riesgo de phishing.
CONCLUSIONES CLAVE
Después de leer este artículo podrás entender:
Cómo han evolucionado los ataques de phishing
3 medidas contra el phishing para CISO
Estrategias para anticiparse y neutralizar las amenazas de phishing modernas