Instituto Nacional de ciberseguridad. Sección Incibe
Protege tu empresa. Sección empresas

Phishing 2.0: la nueva era de los ataques personalizados impulsados por IA

Fecha de publicación 31/07/2025
Autor
INCIBE (INCIBE)
Phishing 2.0: la nueva era de los ataques personalizados impulsados por IA

Hoy en día, caer en una trampa por correo es más fácil de lo que parece. Ya no llegan esos mensajes llenos de errores que se detectaban al instante. Ahora los atacantes hacen los deberes: investigan a la empresa, sacan información sobre ella, conocen trabajadores, proveedores y clientes, los proyectos que está realizando e incluso el tono con el que se escriben entre compañeros.

Con toda esa información, crean correos que parecen normales. Tal vez sea una supuesta indicación del jefe, una confirmación de una reunión real o un archivo que parece legítimo. A primera vista, no hay nada que despierte sospechas. Y justo ahí está el riesgo: el engaño ya no es evidente.

Estos ataques no se lanzan al azar. Están pensados para una persona concreta, en un momento determinado, y con datos que encajan perfectamente con su día a día. Se trata de ingeniería social muy afinada, donde cada palabra cuenta y todo parece tener sentido.

Por eso ya no basta con decir “si ves algo raro, no lo abras”. A veces son muy realistas. La diferencia está en tener la formación adecuada, en pararse un segundo antes de hacer clic y en saber que, aunque el correo parezca de confianza, puede no serlo.

Estos correos pueden estar perfectamente integrados en una conversación real, y es ahí donde reside el verdadero peligro.


Como protegerte de estas nuevas ciberestafas

El phishing, actualmente se redacta cuidadosamente, contiene información real y parece provenir de contactos confiables.

A menudo, estos correos llegan justo cuando uno espera una actualización sobre un proyecto, una reunión o un trámite específico. Incluyen detalles que generan confianza, pero que podrían haber sido obtenidos de manera fraudulenta. Cuando el mensaje parece demasiado oportuno o personalizado, es importante detenerse y cuestionar su autenticidad.

Otro signo de alerta son los pequeños cambios en el estilo de comunicación. El saludo puede sonar distinto, las expresiones pueden no coincidir con las habituales o la firma puede estar ausente. Estos detalles, aunque sutiles, pueden indicar que no se trata realmente del usuario que aparenta ser.

También es común que el mensaje contenga solicitudes aparentemente normales, pero con un sentido de urgencia poco habitual. Solicitudes por parte del supuesto ciberdelincuente sobre actualizar datos bancarios, autorizar pagos o compartir contraseñas con rapidez, deben siempre generar sospecha.

Además, los detalles técnicos pueden revelar la verdadera intención del correo. Direcciones que difieren por un solo carácter, enlaces que no llevan al dominio esperado o archivos adjuntos con nombres o extensiones diferentes, extrañas y desconocidas, son señales claras de posible fraude.

A diferencia de el phishing clásico, los atacantes no solo se limitan al correo electrónico. También utilizan llamadas, mensajes de texto, aplicaciones de mensajería o incluso redes sociales para reforzar la credibilidad del engaño. A veces, se infiltran en conversaciones reales o suplantan proveedores conocidos para ganar la confianza del destinatario.

Ante cualquier duda, lo más recomendable es no actuar de inmediato. Verificar y comprobar la información por un canal distinto, como una llamada telefónica o una conversación directa. 


Consecuencias de ataques de Phishing 2.0.

Los ataques de phishing 2.0 tienen impactos graves y múltiples:

  • Pérdidas económicas. Estos ataques van dirigidos a personas con acceso a recursos clave. Las transferencias fraudulentas o desvíos de pagos pueden alcanzar cifras elevadas.
    Acceso a los sistemas. La sofisticación de los métodos retrasa su detección, permitiendo a los atacantes permanecer más tiempo dentro de los entornos corporativos, exfiltrar datos y preparar nuevos ataques.
  • Compromiso de información crítica. Se ponen en riesgo bases de datos, secretos industriales, información de clientes y documentación confidencial.
  • Consecuencias legales. Si se filtran datos personales, la empresa puede enfrentar sanciones por incumplimiento del RGPD, además de los costes asociados a la notificación y respuesta ante la brecha.
    Un ataque no solo compromete datos. También deja tocada la confianza. Cuando los clientes empiezan a desconfiar, cuesta volver a ganarse su apoyo. Eso afecta, sobre todo, en sectores donde la fiabilidad lo es todo.
  • No es solo imagen. Muchas veces hay que apagar equipos, cortar accesos o hacer tareas que normalmente son automáticas, pero ahora toca hacer a mano. Eso retrasa entregas, frena el trabajo y puede generar problemas con clientes o proveedores.

     

Buenas prácticas para prevenir el Phishing 2.0

No basta con tener filtros para los correos; hoy en día, los ataques son más eficientes y es necesario usar varias defensas al mismo tiempo. Por ejemplo, sistemas que revisen bien los mensajes antes de que lleguen y bloqueen enlaces o archivos peligrosos.

También es fundamental usar la doble verificación para entrar en los sistemas. Aunque alguien consiga una contraseña, sin la doble verificación no podrá acceder. Esto es clave en las partes más sensibles de la empresa.

Hay que estar pendiente de quién puede entrar a qué. A veces se quedan puertas abiertas sin querer, y eso puede traer problemas si cae en manos equivocadas.

Formar a todos los que trabajan en la empresa es igual de importante. No basta con explicarles una vez: hay que repetir, mostrar ejemplos reales y hacer que sepan qué mirar para no caer en estos ataques.

Cuando alguien pide algo fuera de lo normal, como cambiar una cuenta bancaria o hacer una transferencia rápida, hay que confirmarlo por otro medio antes de actuar. Nunca hay que dar nada por sentado.

También es recomendable revisar cómo están funcionando las defensas y los permisos, no solo con máquinas, sino asegurándose de que las normas se cumplen y que no hay errores humanos.

Además, estar en contacto con otras empresas o grupos ayuda a enterarse de nuevas formas de ataque que están apareciendo, para poder prepararse antes de que pase.

Y si algún día ocurre algo, tener un plan claro para saber qué hacer, cómo controlar la situación y cómo informar a todos evita que el problema crezca y cause más daño.


Conclusiones

El phishing ya no es lo que era. Hoy, los atacantes no mandan correos masivos a ver si alguien pica. Van directos al trabajador, investigan, imitan mensajes reales y los hacen casi imposibles de distinguir de uno auténtico. Son mucho más realistas.

La tecnología ayuda, pero si el equipo no sabe identificar una señal de alerta, de poco sirve. Las herramientas por sí solas no paran un ataque si el usuario que recibe el correo lo abre sin sospechar.
Por eso, la ciberseguridad no puede ser algo secundario. No se trata solo de comprar soluciones: se trata de formar a los trabajadores, estar preparados para detectar y actuar rápido. Al final, proteger el negocio es también proteger a quienes lo hacen posible.

La diferencia entre una empresa protegida y una vulnerable está en la preparación. El phishing 2.0 no avisa ni da tiempo para reaccionar. Sin embargo, con una estrategia clara y equipos capacitados, se puede anticipar, contener y neutralizar.

Recuerda que puedes contactar con nosotros a través de la Línea de Ayuda en Ciberseguridad de INCIBE (017), los canales de mensajería instantánea de WhatsApp (900 116 117) y Telegram (@INCIBE017), o el formulario de contacto (seleccionando la opción de usuario de empresa o profesional) que encontrarás en nuestra web. Expertos en la materia resolverán cualquier conflicto online relacionado con el uso de la tecnología y los dispositivos conectados.

Tu Ayuda en Ciberseguridad