Ataques de phishing con Inteligencia Artificial. Un peligro en aumento

En los últimos años, el phishing ha experimentado una transformación significativa debido a la integración de la inteligencia artificial (IA) en las tácticas de los ciberdelincuentes. Esta evolución ha dado lugar a ataques más sofisticados y difíciles de detectar, incrementando su prevalencia y efectividad.​

Evolución del Phishing con la incorporación de la IA

El phishing, tradicionalmente caracterizado por correos electrónicos genéricos y fácilmente identificables, ha adoptado nuevas formas con la ayuda de la IA. Los ciberdelincuentes ahora emplean modelos de lenguaje avanzados para generar mensajes altamente personalizados, basados en datos específicos de las víctimas, lo que aumenta la probabilidad de éxito de sus estafas. Además, la IA permite la creación de voces y vídeos falsos, facilitando ataques de "vishing" (phishing por voz) y "deepfakes" que pueden engañar incluso a los usuarios más prudentes. 

Incremento de los ataques de Phishing diseñados a partir de IA

Estadísticas recientes indican un alarmante aumento en los ataques de phishing potenciados por IA. Según un informe de Zscaler ThreatLabz, los ataques de phishing aumentaron un 47,2% en 2023, con un notable incremento en tácticas que emplean IA para crear mensajes más convincentes. Además, se estima que para 2025 se registrarán aproximadamente 1,31 millones de quejas relacionadas con ciberataques impulsados por IA, con pérdidas potenciales que podrían alcanzar los 18,6 mil millones de dólares. 

Ejemplos de ataques de phishing que se pueden lanzar con IA

1. Estafas bancarias personalizadas: Ciberdelincuentes envían mensajes SMS que aparentan ser de entidades bancarias reconocidas, informando sobre problemas en la cuenta y solicitando datos personales. Estos mensajes, generados con IA, son altamente convincentes y han llevado a muchos usuarios a proporcionar información sensible. ​
   
   
2. Suplantación de identidad telefónica: Mediante técnicas avanzadas de IA, los estafadores pueden replicar la voz de personas conocidas o representantes de empresas, realizando llamadas para solicitar transferencias de dinero o información confidencial. Este método ha aumentado la efectividad de las estafas telefónicas. 

Casos reales​: Empresas que han sufrido ataques de phishing diseñados con Inteligencia Artificial

Suplantación de identidad en empresa de servicios públicos

En 2025, la empresa de aguas de Sevilla, Emasesa, fue objeto de intentos de suplantación de identidad mediante correos electrónicos falsos. Los ciberdelincuentes utilizaron la Inteligencia Artificial para crear mensajes que imitaban comunicaciones oficiales de la empresa, engañando a los usuarios para que les proporcionaran información sensible o realizaran pagos fraudulentos.

Ataques de phishing a usuarios de gmail

En enero de 2025 se reportaron estafas dirigidas a usuarios de gmail, donde los ciberdelincuentes emplearon IA para generar llamadas telefónicas altamente reales. Haciéndose pasar por agentes de soporte de Google, convencieron a las víctimas para que proporcionaran códigos de recuperación de cuenta, obteniendo así acceso no autorizados a sus perfiles.

Ataque a Colonial Pipeline

En mayo de 2021, la compañía estadounidense Colonial Pipeline sufrió un ciberataque por parte del grupo de ransomware DarkSide. Los ciberdelincuentes combinaron herramientas de hacking tradicionales con técnicas de IA para infiltrarse en el sistema informático de la empresa y cifrar sus datos, exigiendo un rescate en Bitcoin a cambio de la clave de descifrado.

Cómo detectar y evitar el phishing diseñado a través de IA

Para protegerse de estos ataques sofisticados, es fundamental adoptar las siguientes medidas:

• Verificación directa: Antes de proporcionar información sensible o realizar transferencias, confirma la autenticidad de la solicitud contactando directamente a la entidad o persona mediante canales oficiales.​
  
  
• Análisis crítico de mensajes: Desconfía de mensajes que generen un sentido de urgencia o alarmismo. Revisa cuidadosamente la dirección de correo electrónico del remitente y los enlaces incluidos, buscando discrepancias o anomalías.​
  
  
• Formación y concienciación: Mantenerse al día e informado sobre las tácticas de phishing más recientes es importante para evitar caer en estafas. ​Por lo que hace a las empresas, estas pueden proporcionar formación en ciberseguridad a sus empleados, para prevenir caer en este tipo de estafas y engaños que pueden poner en riesgo la infraestructura informática de la organización.
  
  
• Uso de herramientas de seguridad: Instala y mantén actualizados programas antivirus y filtros de spam que puedan detectar y bloquear intentos de phishing.
  ​
• Autenticación multifactor (2FA): Implementa la verificación de doble factor (2FA) en todas las cuentas posibles, para añadir una capa adicional de seguridad y dificultar el acceso no autorizado.​

La inteligencia artificial ha transformado el panorama del phishing, haciendo que los ataques sean más convincentes y difíciles de detectar. Sin embargo, con una combinación de precaución, educación y herramientas de seguridad adecuadas, es posible protegerse eficazmente de estas amenazas en constante evolución.

Por otro lado, recomendamos que realices auditorías periódicas de tu sistema, para conocer su nivel de seguridad y detectar brechas de seguridad o vulnerabilidades que pueden convertirse en la puerta de entrada de un ciberataque.