Expertos BI.ZONE: la IA y los deepfakes hicieron el phishing en 2026 más preciso y peligroso

El phishing en 2026 se ha vuelto notablemente más inteligente: los correos electrónicos masivos no han desaparecido, pero el crecimiento principal ahora está en ataques personalizados y multietapa con IA y deepfakes. Los expertos de BI.ZONE afirman que la tecnología ha cambiado el empaque del fraude, pero no la lógica fundamental de la defensa: verificación, un segundo canal de comunicación y 2FA siguen resolviendo mucho.

Cómo Cambió el Phishing

La IA ha reducido dramáticamente los costos de preparación de ataques. Mientras que antes los atacantes se veían obligados a producir en masa correos electrónicos genéricos, ahora recopilan datos abiertos sobre una persona y personalizan el mensaje según su trabajo, círculo social y servicios familiares. Los deepfakes amplifican el efecto: una voz falsificada, un rostro similar y una manera de hablar familiar ayudan a generar confianza más rápidamente.

Los escenarios funcionan particularmente bien cuando el atacante se hace pasar por un pariente, colega o jefe y exige acción inmediata. Los canales también se han vuelto más precisos. Para llegar a una audiencia masiva, los estafadores recurren a redes sociales y aplicaciones de mensajería, crean chats temáticos, envían mensajes privados y dejan enlaces en comentarios.

Pero para los negocios, el correo electrónico sigue siendo el punto de entrada crítico: según datos de BI.ZONE, el 64% de los ataques dirigidos contra empresas en Rusia y la CEI comienzan con correos electrónicos de phishing. Las llamadas telefónicas y de vídeo añaden lo que el texto no tiene: presión, sensación de urgencia e ilusión de contacto personal, lo que hace que la víctima decida impulsivamente más rápido.

Qué Esquemas Funcionan

Según observaciones de BI.ZONE, desde octubre de 2025 ha habido un aumento notable en el interés de los estafadores por las cuentas de mensajería y portales personales de servicios gubernamentales. En paralelo, crece el esquema Ghost invoice: los atacantes registran dominios similares a los sitios de grandes empresas, envían ofertas comerciales e introducen facturas falsas. Para la víctima, parece una compra rutinaria, pero para la empresa siendo copiada, termina en daño reputacional. De ahí viene el conjunto de los escenarios más efectivos actualmente utilizados con mayor frecuencia.

• Notificaciones falsas de bancos, servicios fiscales y servicios gubernamentales
• Falso Jefe, cuando un empleado recibe un mensaje de un "gerente" y es preparado para una llamada de "fuerzas del orden" o regulador
• Esquemas TOAD, donde la víctima es pedida que devuelva la llamada por sí misma, evitando llamadas anti-spam
• Códigos QR en lugares concurridos que conducen a formularios falsos
• Aplicaciones móviles de phishing que imitan servicios originales

Una tendencia separada es la industrialización del phishing. Phishing-as-a-Service reduce la barrera de entrada: plataformas listas ayudan a desplegar páginas falsas, adaptarlas al comportamiento del usuario e incluso eludir algunos escenarios de MFA. Combinado con IA generativa, esto convierte el phishing en una línea de montaje. Al mismo tiempo, el número de sitios de phishing en el primer trimestre de 2026 bajó a 12.500 contra 17.500 un año antes, pero esto no significa que las amenazas hayan disminuido: los estafadores se están moviendo hacia ataques multietapa más complejos y lucrativos.

Qué Ayuda a Defenderse

Para el usuario promedio, las reglas básicas siguen siendo más efectivas que cualquier medida exótica. Es importante hacer clic solo en direcciones oficiales, no abrir archivos adjuntos y enlaces de mensajes inesperados, y verificar dos veces solicitudes urgentes a través de otro canal de comunicación. Si recibe un mensaje de voz o vídeo de una persona conocida pidiendo dinero, debe buscar inconsistencias: expresiones faciales extrañas, entonación poco natural, baja calidad de grabación, frases inusuales. Y por supuesto, es mejor habilitar autenticación de dos factores a través de una aplicación en lugar de confiar solo en SMS.

"Si algo se ve sospechoso—es mejor verificar dos veces a través de

canales oficiales."

Para las empresas, la defensa hace mucho que va más allá del anti-spam. Necesita canales de comunicación seguros, capacitación regular de empleados y verificaciones adicionales en procesos críticos. El principio de "segunda mano" funciona bien, cuando una transferencia, cambio de datos o concesión de acceso es confirmado por otro empleado confiable.

Además, necesita herramientas para detectar deepfakes, regulaciones claras y respuesta rápida a incidentes antes de que el ataque tenga tiempo de pasar por todas las etapas de la cadena. Los esquemas multietapa son particularmente peligrosos porque cada paso individual puede parecer inofensivo. Primero viene una "transferencia errónea", luego comienza la intimidación, luego la víctima es persuadida a transferir dinero más allá o entregarlo a un mensajero.

En otros escenarios, se usa bombardeo de SMS: una persona es inundada de mensajes y luego recibe una llamada en nombre del banco ofreciendo "salvar" urgentemente su cuenta. Tal teatro de presión está diseñado no para vulnerabilidad técnica, sino para fatiga y ansiedad.

Qué Significa Esto

El phishing en 2026 ya no es simplemente un correo electrónico falso, sino una economía de servicios de fraude, amplificada por IA, deepfakes y plataformas listas. Según la estimación de BI.ZONE, solo en 2025, el daño de tales esquemas superó los 18 mil millones de rublos. Para usuarios y empresas, la conclusión es simple: el ganador no es quien tiene las herramientas más de moda, sino quien verifica, disciplina y escepticismo saludable actúan más rápido.