Phishing mediado con inteligencia artificial.
En el blog de Kaspersky, expertos de dicha firma, han publicado un articulo de importancia capital en el entorno digital actual. El tema central es cómo los ciberdelincuentes están aprovechando las bondades de la Inteligencia Artificial (IA) para perfeccionar sus estafas mediante el phishing y cómo inducir a las personas a caer en dichas trampas.
Se debe prestar mucha atención a porque a qué no solo deben verse amenazas, sino también cómo establecer los mecanismos de defensa ante ellas, a partir de la evolución de las técnicas delictivas con IA y como se menciona antes, aprender medidas de protección efectivas.
Debe partirse de las nuevas técnicas de los ciberdelincuentes para estafar usando la IA. Ha quedado atrás los correos electrónicos mal redactados, con la IA, sus ataques son más convincentes, personalizados y difíciles de detectar.
La técnica más importante es la suplantación de identidad hiperrealista basada en Deepfakes y Vishing.
El primero de ellos, la suplantación vocal (Vishing) se sustenta en la clonación de la voz de una persona con herramientas de IA, con tan solo unos segundos de audio de la voz original, los estafadores pueden llamar y hacerse pasar por un familiar en apuros, o un directivo solicitando una actuación urgente.
La segunda es la suplantación visual (Deepfakes de vídeo), que está asentada en la generación de vídeos falsos de una persona, que hacen que parezca que dice algo que nunca dijo. Es solo imaginar un vídeo de un directivo ordenando una operación financiera, que al final resulta ser fraudulenta.
Un aspecto importante es la creación de Phishing mediante la IA muestra un contenido impecable pues con herramientas de IA generativa (como ChatGPT) se crean textos con un léxico perfecto, sin errores gramaticales u ortográficos, lo que elimina la principal señal de alarma del phishing tradicional.
También se añade la personalización masificada, porque la IA analiza datos provenientes de las redes sociales o cualquier información pública para crear mensajes personalizados perfectos. Se sustituyen frases como «Estimado cliente» por Hola acompañado del nombre de la persona y un texto como “vi tu presentación”, utilizando el nombre específico de un evento en que se participara, para luego añadir el interés de intercambiar al respecto….
Otra técnica es la automatización y escalabilidad de los ataques porque la IA hace posible el desarrollo de campañas de phishing masivas y simultáneas, con alto nivel de personalización como se mencionára antes, cuestión imposible en la época de los ataques manuales. Así cada víctima recibe un mensaje único y creíble.
La prevención y defensa para garantizar la protección pasa por el desarrollo de medidas, que ante este tipo de , se sustentan en la agudización del sentido crítico y la aplicación de diversas técnicas.
La primera medida se sustenta en la prevención ante amenazas sofisticadas, para ello se debe desconfiar de todo y verificar siempre, o sea, mantener una posición crítica.
Para esto la verificación por un canal alternativo es vital cuando se reciben solicitudes urgentes de dinero o información confidencial (por correo, mensaje o llamada). Nunca se debe actuar de inmediato. Se debe cortar la comunicación y contactar directamente con la persona o empresa mediante canales oficiales que se conocen de antemano, por ejemplo a través del número de teléfono corporativo, nunca por el que brinda la pèrsona que contacta y que suele ser el estafador.
Otra medida conveniente es establecer de antemano preguntas de seguridad o palabras clave con familiares y colegas para confirmar su identidad en situaciones de emergencia.
También como medida de prevención se debe fortalecer la higiene digital básica a través de contraseñas fuertes y únicas, se debe utilizar un gestor de contraseñas y activar la autenticación de factores múltiples (2FA) en todos los servicios. El 2FA es una barrera crucial, incluso ante el robo de credenciales.
Una contribución importante la tienen las actualizaciones del sistema operativo, de los navegadores y de las aplicaciones. Estás y los parches de seguridad corrigen vulnerabilidades que los delincuentes explotan junto a las credenciales adquiridas a través de sus trampas.
Pero en temas de prevención un lugar esencial la capacitación y el escepticismo. La formación continua y por ende, el conocimiento de las nuevas tácticas son parte de la primera línea de defensa ante este tipo de amenazas. La preparación permite desentrañar los entuertos delos ciberdelincuentes para estafar, a pesar de lo sofisticado de los ataques que permite la IA.
Los estafadores usan la urgencia como factor detonante para inducir a facilitar los datos al utilizar frase como: «actúa ahora o tu cuenta será bloqueada», también manipulan las emociones a través del miedo, la codicia o la compasión para nublar el buen juicio. Ante este tipo de mensajes es esencial hacer pausa y.razonar.
Otra medida preventiva es el uso de soluciones de seguridad robustas donde el software antivirus es esencial para bloquear el phishing y bloquear enlaces a sitios web maliciosos, aunque el mensaje parezca legítimo.
Queda claro que la IA es un arma de doble filo. Si bien ofrece increíbles beneficios, también ha empoderado a los ciberdelincuentes, haciendo que el phishing sea más creíble y peligroso al hacerlo más refinado.
La clave hoy, no es buscar errores en el mensaje, sino cuestionar el origen y la intención, por eso la defensa más sólida es la combinación de la tecnología adecuada con la persona preparada y con un pensamiento cuya filosofía sea cuestionar lo que arriba mediante las TIC.
Para consultar el trabajo que da origen a este texto ver en el Blog de Kaspersky el artículo «Cómo usan la inteligencia artificial los phishers y estafadores» de Olga Altukhova del 6 de octubre de 2025.