Miguel López, director para el Sur de EMEA de Barracuda Networks.

Miguel López, director para el Sur de EMEA de Barracuda Networks.

Disruptores

La inteligencia artificial ha convertido el 'phishing' en una industria de bajo coste y alta precisión

Barracuda Networks detectó en abril de 2026 que más de la mitad del spam mundial ya era generado algorítmicamente, un cambio que obliga a replantear toda la estrategia de seguridad del correo corporativo.

Más información: Más del 95% de los incidentes de ciberseguridad tienen origen en el error de los usuarios

A.I.
Publicada
Las claves

Las claves

Más de la mitad del spam y correos maliciosos ya es generado por inteligencia artificial, aumentando su volumen y sofisticación.

La IA permite crear campañas de phishing masivas, creíbles y personalizadas, dificultando su detección por la ausencia de errores ortográficos clásicos.

Los atacantes usan técnicas como la suplantación de identidades y la apropiación de cuentas corporativas reales, lo que incrementa el daño potencial.

El 65% de los ataques de phishing se dirige a cuentas corporativas, buscando acceso a sistemas y datos críticos para obtener mayores beneficios económicos.

En abril de este año, más de la mitad del spam y los correos maliciosos que circulaban por internet ya había sido generado por inteligencia artificial. No es una proyección ni una advertencia futura: es el presente documentado por los estudios de Barracuda Networks. Miguel López, su director para el Sur de EMEA, lleva años midiendo esa evolución y observa que lo que está ocurriendo es un cambio sin vuelta atrás en la forma de operar de los atacantes.

"El impacto de la IA ha sido muy notable, sobre todo en el volumen y la sofisticación", señala López a DISRUPTORES - EL ESPAÑOL.

El correo electrónico sigue siendo el vector de entrada predilecto porque sigue funcionando. Aproximadamente uno de cada cuatro emails que circulan hoy puede considerarse malicioso o no deseado. Es evidente que la inteligencia artificial no ha inventado el phishing, pero sí que lo ha industrializado: permite crear campañas masivas, altamente creíbles, sin errores gramaticales y adaptadas al perfil y el lenguaje del destinatario. En otras palabras, el coste del ataque cae, la eficacia sube, y el volumen se dispara.

Y es que, durante años, el consejo estándar para identificar un correo fraudulento era buscar errores ortográficos, construcciones extrañas o un tono vagamente foráneo. Ese criterio ha quedado obsoleto.

"Los emails generados por IA suelen ser 'demasiado correctos'. A diferencia del phishing tradicional, ahora destacan por una redacción impecable, tono formal y coherencia lingüística", reconoce el experto de la firma.

Así que ahora el desafío ya no es detectar lo mal escrito, sino desconfiar de lo que parece demasiado bien escrito. Aunque Miguel López propone ser un poco más inteligentes: "Más que fijarse en errores, conviene observar elementos de contexto: solicitudes inusuales, especialmente urgentes o confidenciales, cambios sutiles en el estilo habitual de un contacto, o peticiones relacionadas con pagos o credenciales. El criterio pasa de 'cómo está escrito' a 'qué me están pidiendo y si encaja con el contexto'."

A eso añade la revisión de metadatos -dominio del remitente, enlace real detrás del texto visible- y una regla de oro que no ha cambiado con la llegada de la inteligencia artificial: desconfiar de cualquier mensaje que fuerce a actuar con rapidez. La urgencia fabricada sigue siendo la palanca más efectiva del engaño.

La IA defiende lo que la IA ataca

La respuesta defensiva no podía construirse sobre los mismos mecanismos que durante décadas permitieron filtrar correo no deseado mediante reglas estáticas y listas negras. Contra campañas generadas algorítmicamente y personalizadas en tiempo real, la única defensa viable es también algorítmica.

"Las soluciones modernas utilizan IA y machine learning para analizar múltiples capas del correo en tiempo real: patrones de comunicación, reputación del remitente, contenido lingüístico y comportamiento anómalo", detalla López. "Estas tecnologías permiten detectar phishing incluso cuando no hay indicadores clásicos, como enlaces sospechosos."

Así pues, el procesamiento de lenguaje natural permite a los sistemas identificar tono, urgencia o intentos de manipulación en el cuerpo del mensaje, mientras que el análisis de comportamiento detecta desviaciones respecto a las comunicaciones habituales de un remitente o de una cuenta. Gracias a estos mecanismos, la detección no espera a que el usuario haga clic: opera antes de que el correo llegue a la bandeja de entrada o intercepta la acción en el momento en que se produce.

Barracuda va más lejos en esa lógica. Añade su ejecutivo que "algunos fabricantes incorporamos capas adicionales de seguridad que, de nuevo mediante IA y con colaboración humana, permiten automatizar la respuesta en caso de incidente, haciendo posible detener la propagación del ataque incluso si el equipo humano del cliente no está disponible, en ataques en horario nocturno o periodos vacacionales".

Del e-mail comprometido a la apropiación de cuentas

Una funcionalidad especialmente útil en casos como los del Business Email Compromise (BEC), una modalidad de ataque que no depende de malware sino de ingeniería social y paciencia. "Los delincuentes no lanzan campañas masivas, sino que estudian cuidadosamente a la compañía, sus flujos de pago, sus proveedores e incluso el estilo de comunicación de sus directivos", explica Miguel López. "A partir de ahí, suplantan a un CEO, a un proveedor o a un departamento interno para inducir a un empleado a hacer algo específico: transferir dinero, modificar una cuenta bancaria o compartir información sensible."

Lo que hace especialmente peligroso al BEC es que se integra en la operativa normal de la empresa. No hay adjuntos sospechosos ni redirecciones extrañas. Es, en palabras del directivo, "una conversación aparentemente legítima", lo que lleva a definirlo menos como un ataque técnico y más como "un fraude de proceso".

El escenario se vuelve aún más complejo cuando el atacante no suplanta una identidad sino que la toma directamente. El account takeover -la apropiación de una cuenta corporativa real- multiplica el radio de daño de forma exponencial.

No en vano, con acceso legítimo a un buzón, el atacante puede leer el historial de conversaciones, comprender las relaciones internas, identificar a las personas con poder de decisión y lanzar nuevos ataques desde una identidad en la que nadie tiene motivos para desconfiar.

"En ese momento ya no solo busca un pago puntual, sino escalar dentro de la organización, robar información estratégica o incluso extender el fraude a clientes y partners", advierte el experto en ciberseguridad. "Los ciberataques a correo corporativo combinan dos niveles: un primer impacto táctico sobre el individuo -engañarlo- y un objetivo estratégico sobre la empresa: dinero, datos, acceso o reputación. Y precisamente por eso están creciendo tanto: porque con una sola interacción bien diseñada pueden generar pérdidas muy significativas".

El correo corporativo concentra 65% de los ataques de phishing

Los números confirman esa jerarquía de objetivos. Aproximadamente el 65% de los ataques de phishing apuntan a cuentas corporativas frente a un 35% que se dirige a usuarios personales. La razón es estrictamente económica: las cuentas de empresa son la llave de acceso a sistemas, datos críticos y procesos financieros que permiten una monetización directa y de mayor volumen.

Pero el correo personal no ha quedado al margen. López señala que "algunos grupos se especializan en el ataque a colectivos específicos, incluyendo usuarios domésticos pero también pymes y pequeñas administraciones públicas, para luego vender esos datos a otros grupos que serán los que lancen finalmente el ataque"

Es, en esencia, una cadena de suministro del fraude: unos roban, otros explotan. Porque la especialización ha llegado también al lado oscuro de la economía digital.