La IA en el phishing, aprende a reconocer y evitar estas nuevas amenazas

Las trampas digitales se han vuelto progresivamente más sofisticadas. Si en el pasado los correos de phishing podían detectarse con relativa facilidad por errores gramaticales o direcciones electrónicas inusuales, hoy muchos de estos mensajes son prácticamente indistinguibles de las comunicaciones legítimas. Lo más inquietante es que la inteligencia artificial ha superado a los especialistas humanos en la creación de estas estrategias de engaño, marcando un punto de inflexión preocupante en el ámbito de la ciberseguridad.

Un informe reciente de Hoxhunt, compañía especializada en protección digital, demuestra por primera vez que los agentes de IA superan a los equipos humanos más experimentados en la elaboración de campañas de phishing simuladas. Este hallazgo no solo revela el nivel de madurez tecnológica alcanzado, sino que también plantea serias preguntas sobre la capacidad actual para enfrentar amenazas de este tipo y las medidas urgentes que deben adoptarse para mitigar su impacto.

El phishing consiste en una modalidad de fraude informático mediante la cual el atacante suplanta la identidad de una entidad confiable como una institución bancaria, una red social o un proveedor de servicios con el objetivo de obtener información confidencial del usuario, como contraseñas o datos bancarios. El usuario recibe, por ejemplo, un mensaje que aparenta provenir de su banco, informándole sobre una supuesta actividad sospechosa y pidiéndole que acceda a un enlace para verificar su cuenta. Dicha dirección conduce a una página fraudulenta que imita a la original y que ha sido diseñada con el único propósito de robar información sensible. Mientras que en el pasado este tipo de intentos eran burdos y fácilmente reconocibles, hoy pueden presentar un nivel de verosimilitud que los vuelve prácticamente indetectables.

La evolución del phishing se ha visto acelerada por el perfeccionamiento de la inteligencia artificial. En 2023, los ensayos de Hoxhunt aún mostraban una ligera superioridad humana, con ataques generados por personas que lograban engañar al 4,2 % de los usuarios, frente a un 2,9 % de efectividad de los generados por IA. Sin embargo, en marzo de 2025 esta tendencia se revirtió de forma radical: los agentes automatizados superaron a los humanos en un 24 %, lo que representa una mejora de rendimiento del 55 % en tan solo dos años.

El responsable de este avance es un sistema desarrollado por Hoxhunt y denominado JKR (acrónimo de “joker”), un agente de inteligencia artificial especializado en spear phishing, una modalidad aún más peligrosa que personaliza los ataques en función del perfil del destinatario. Este sistema analiza información contextual del usuario —como su cargo, su localización geográfica o el tipo de empresa en la que trabaja— y genera mensajes perfectamente adaptados a su realidad, aumentando drásticamente la probabilidad de que el destinatario caiga en la trampa.

La peligrosidad del sistema JKR radica no solo en su capacidad para redactar textos persuasivos, sino también en su habilidad para personalizar los ataques con un grado de detalle sin precedentes. Es capaz de crear mensajes desde cero que imitan con precisión el estilo comunicativo de un jefe, un colega o una empresa conocida, así como de mejorar mensajes redactados por humanos, afinando su tono y estructura. Esto significa que los ataques ya no dependen exclusivamente del descuido humano, sino que explotan patrones de comportamiento, dinámicas laborales y estilos de comunicación internos para aumentar su eficacia.

Como advierte Pyry Åvist, director tecnológico y cofundador de Hoxhunt, “el gran lobo feroz de la inteligencia artificial ya está tocando la puerta y claramente es mejor entrando. Está soplando con fuerza, pero muchas organizaciones aún tienen defensas construidas con paja”. Esta metáfora refleja la vulnerabilidad estructural frente a una amenaza que ha adquirido una capacidad de camuflaje casi perfecta.

Para comprender la magnitud de este fenómeno, el CEO de Hoxhunt, Mika Aalto, propone una analogía reveladora: en los años ochenta, los primeros virus informáticos sorprendieron al mundo entero. Fue entonces cuando se comenzaron a desarrollar herramientas como los antivirus o los cortafuegos, pilares actuales de la seguridad informática. Hoy, una situación análoga se repite con la irrupción de la IA en las campañas de phishing. Al igual que los sistemas informáticos desarrollaron en su momento un “sistema inmunológico”, ahora es urgente construir uno para los propios usuarios. Esta vez, sin embargo, las defensas no solo deben ser tecnológicas, sino también cognitivas y adaptadas a los hábitos humanos, y deberán contar con inteligencia artificial como aliada fundamental.

Ante este nuevo paradigma, se impone un cambio drástico en la forma de abordar la seguridad digital. Las organizaciones deben incorporar soluciones basadas en IA no solo para defenderse, sino también para anticiparse al comportamiento del atacante. Esto incluye la detección de patrones sospechosos, el análisis automatizado de enlaces y la generación de alertas antes de que el usuario interactúe con contenidos maliciosos. Asimismo, los programas de formación en ciberseguridad deben actualizarse, simulando situaciones que reflejen el nivel actual de sofisticación, a fin de preparar a los empleados para detectar señales mucho más sutiles.

En este contexto, fomentar una cultura de verificación y pensamiento crítico resulta esencial. La confianza automática en correos, incluso cuando parecen provenir de fuentes legítimas, debe ser sustituida por protocolos de validación más rigurosos. Mecanismos como la autenticación en dos pasos, las verificaciones por otros canales y políticas internas que limiten las acciones sensibles por correo electrónico deben convertirse en prácticas habituales.

La situación actual exige, además, una inversión sostenida en plataformas de ciberseguridad que integren herramientas basadas en inteligencia artificial capaces de emular y anticipar los métodos empleados por los atacantes. Solo mediante esta simetría tecnológica será posible mantener un margen de seguridad razonable.

La idea de que una máquina pueda redactar un correo electrónico más convincente que un ser humano ha dejado de ser una hipótesis futurista: es una realidad tangible que se manifiesta en el presente y que continuará avanzando a un ritmo vertiginoso. El reto no reside en frenar el desarrollo tecnológico porque eso no ocurrirá, sino en aprender a convivir con él de manera segura. Así como una cerradura inteligente protege mejor que una convencional, hoy es imprescindible disponer de mecanismos digitales que no solo respondan a la amenaza, sino que la anticipen y actúen antes de que golpee la puerta.