Las técnicas basadas en IA y los nuevos métodos de evasión transforman el phishing

Actualmente, el phishing está experimentando un cambio impulsado por sofisticadas técnicas de engaño basadas en Inteligencia Artificial y nuevos métodos de evasión. Así lo indica el último informe sobre phishing del segundo trimestre de 2025 de Kaspersky, un período en el que las soluciones de la compañía han detectado y bloqueado más de 142 millones de clics en enlaces de phishing lo que supone un aumento del 41% en Europa respecto al trimestre anterior.

La IA ha convertido el phishing en una amenaza altamente personalizada. Los modelos de lenguaje permiten a los ciberdelincuentes crear correos, mensajes y sitios web muy convincentes que imitan a las fuentes legítimas y eliminan los errores gramaticales que antes delataban el fraude. Además, los bots impulsados por IA en redes sociales y aplicaciones de mensajería se hacen pasar por usuarios reales, entablando largas conversaciones para ganarse la confianza de la víctima. Con frecuencia alimentan estafas románticas o de inversión, atrayendo a las víctimas con mensajes de voz generados por IA o vídeos deepfake.

Los ciberdelincuentes también están creando audios y vídeos falsos hiperrealistas de personas de confianza, como compañeros de trabajo, celebridades o incluso empleados de banca, para promocionar sorteos fraudulentos o extraer información sensible. Un ejemplo son las llamadas automáticas que imitan a equipos de seguridad bancaria y utilizan voces generadas por IA para convencer a los usuarios de compartir sus códigos de autenticación en dos pasos (2FA),. Asimismo, hay herramientas basadas en IA que analizan datos públicos en redes sociales o páginas corporativas para lanzar ataques dirigidos, como correos con temas de recursos humanos o llamadas falsas que mencionan información personal.

 

Nuevas tácticas para eludir la detección

Los ciberdelincuentes también aprovechan servicios legítimos para prolongar sus campañas. Por ejemplo, utilizan Telegraph, la plataforma de Telegram para publicar textos extensos, como alojamiento de páginas de phishing. Del mismo modo, el traductor de Google genera enlaces que luego usan para evadir los filtros de seguridad.

Otra técnica cada vez más habitual consiste en integrar CAPTCHA en los sitios fraudulentos antes de dirigir al usuario a la página maliciosa. De este modo, se engañan los algoritmos antiphishing, ya que la presencia de CAPTCHA suele asociarse con páginas legítimas, lo que reduce las probabilidades de detección.

El foco ya no está solo en las contraseñas, sino en datos inmutables. Los ciberdelincientes buscan datos biométricos a través de sitios falsos que solicitan acceso a la cámara del smartphone bajo el pretexto de verificar la cuenta. Así capturan rasgos faciales u otros identificadores biométricos que no pueden modificarse, lo que permite acceder sin autorización a cuentas sensibles o vender la información en la dark web.

De manera similar, las firmas electrónicas y manuscritas (clave en transacciones legales y financieras) se roban mediante campañas de phishing que se hacen pasar por plataformas como DocuSign o que invitan al usuario a subir sus firmas a páginas fraudulentas, lo que expone a las empresas a graves riesgos financieros y reputacionales.

“La convergencia de la IA con técnicas de evasión ha convertido el phishing en una imitación casi perfecta de la comunicación legítima, incluso para los usuarios más precavidos. Los ciberdelincuentes ya no se conforman con robar contraseñas: ahora van a por datos biométricos y firmas electrónicas o manuscritas, lo que puede tener consecuencias devastadoras a largo plazo”, afirma Olga Altukhova, experta en seguridad de Kaspersky.