Grupo PLaza
+ Seguir en Google Discover

Opinión

Opinión

Ecosistema Digital

Phishing 2026: la amenaza invisible que crece al ritmo de la inteligencia artificial

"En apenas una década ha pasado de ser una estafa de correos masivos a convertirse en un fenómeno sofisticado"

Murcia Plaza
Op
Isidoro López Briones
Opinión
Publicado: 09/01/2026 ·06:00
Actualizado: 09/01/2026 · 06:00

Últimas Noticias

Suscríbe al canal de whatsapp

Suscríbete al canal de Whatsapp

Siempre al día de las últimas noticias

¡Quiero suscribirme!
Suscríbe nuestro newsletter

Suscríbete nuestro newsletter

Siempre al día de las últimas noticias

A comienzos de 2026, el phishing continúa siendo una de las mayores preocupaciones en el ámbito de la ciberseguridad. En apenas una década ha pasado de ser una estafa de correos masivos a convertirse en un fenómeno sofisticado que combina inteligencia artificial, ingeniería social y automatización para engañar incluso a los usuarios más experimentados. Según el Informe de Amenazas 2025 de Europol, más del 36 % de los incidentes de seguridad reportados por empresas en Europa estuvieron relacionados con tentativas o ataques de phishing un aumento del 18 % respecto a 2024. 

Las empresas españolas tampoco escapan a esta tendencia. De acuerdo con datos del Instituto Nacional de Ciberseguridad (INCIBE), los casos de fraude por phishing smishing crecieron un 25 % en 2025, especialmente en sectores bancario, logístico y sanitario. Este repunte demuestra que, aunque las tecnologías defensivas avanzan, la creatividad de los ciberdelincuentes evoluciona más rápido. 

Qué es el phishing y cómo ha cambiado 

El término phishing deriva del inglés fishing (“pescar”), en alusión a la captura de víctimas mediante el cebo de mensajes falsos. Su objetivo es obtener datos confidenciales como contraseñas, números de tarjeta o credenciales corporativas haciéndose pasar por entidades legítimas. 

En sus inicios, allá por finales de los noventa, el phishing se limitaba a correos electrónicos que imitaban a bancos o plataformas de pago. Hoy, sin embargo, los métodos se diversifican y profesionalizan. Existen variantes como el smishing, mediante mensajes SMS; el vishing, a través de llamadas telefónicas; o el pharming, que manipula servidores DNS para redirigir a los usuarios hacia sitios web falsos idénticos a los originales. 

Una modalidad especialmente peligrosa es el spear phishing, que selecciona a víctimas concretas, por ejemplo, ejecutivos o responsables financieros y personaliza los mensajes con información obtenida en redes sociales o filtraciones previas. Estas campañas logran tasas de éxito hasta 10 veces mayores que el phishing masivo convencional, según el European Cybersecurity Journal (2025). 

La inteligencia artificial como multiplicador del fraude 

Si algo ha transformado el panorama en estos dos últimos años, es el uso de la inteligencia artificial generativa en las campañas de phishing. Los ciberdelincuentes ya utilizan modelos de lenguaje y herramientas de voz sintética para crear mensajes libres de errores, con tono natural y, en algunos casos, incluso con acentos regionales. 

 

Un ataque exitoso va más allá del robo: puede provocar filtraciones de datos personales, sanciones regulatorias, pérdida de confianza y daño reputacional irreversible" 

 

El Centro Europeo de Ciberdelincuencia (EC3) ha advertido que los deepfakes de voz se están utilizando para suplantar directivos y convencer a empleados de realizar transferencias o compartir información interna. Este fenómeno, conocido como “whaling” o pesca de ballenas, ha provocado pérdidas millonarias en grandes corporaciones internacionales durante 2024 y 2025. 

A la vez, los delincuentes emplean IA para analizar el comportamiento de las víctimas, segmentar audiencias, probar mensajes y optimizar los tiempos de envío. En otras palabras: el phishing ya no es artesanal, sino industrial. Lo que antes era un ataque puntual ahora puede ser una campaña global ejecutada en cuestión de minutos. 

Daños económicos, reputacionales y legales 

Las consecuencias del phishing van mucho más allá del robo directo de dinero. Un ataque exitoso puede provocar filtraciones de datos personales, sanciones regulatorias, pérdida de confianza y, en última instancia, daño reputacional irreversible. 

Según un estudio conjunto de IBM Security y el Ponemon Institute, el coste medio de una brecha de datos causada por phishing alcanzó en 2025 los 4,8 millones de dólares, mientras que el tiempo medio de detección superó los 180 días. En pequeñas y medianas empresas, el golpe puede ser definitivo: el 60 % de las que sufren un ataque grave no logra recuperarse al año siguiente. 

A nivel legal, los marcos normativos como el Reglamento General de Protección de Datos (RGPD) o la Directiva NIS2 obligan a las organizaciones a notificar incidentes y demostrar que tienen políticas de prevención. No hacerlo puede implicar multas millonarias, además de un severo perjuicio en la imagen pública. 

Cómo detectar las señales del engaño 

Aunque las técnicas se perfeccionan, los ataques de phishing dejan rastros sutiles. Algunos signos de alerta incluyen: 

  • -Enlaces acortados o con dominios levemente modificados. 
  • -Mensajes que generan sensación de urgencia o miedo (“su cuenta será bloqueada”). 
  • -Peticiones inusuales de credenciales o transferencias. 
  • -Correos firmados con identidades aparentemente legítimas, pero enviadas desde dominios externos. 
  • -Fallos en certificados de seguridad o direcciones https falsas. 

Los sistemas de detección basados en inteligencia artificial ayudan, pero el factor humano sigue siendo crucial. De hecho, el Informe ENISA Threat Landscape 2025 destaca que el 82 % de los incidentes de phishing exitosos podrían haberse evitado con una verificación manual o doble confirmación. 

Prevención: la cultura digital como mejor defensa 

La principal barrera contra el phishing no es tecnológica, sino cultural. Educar a empleados y ciudadanos en hábitos de ciberseguridad reduce drásticamente el riesgo. Las organizaciones deben invertir en formación continua que enseñe a verificar enlaces, dudar de los mensajes urgentes y reportar comportamientos sospechosos. 

A nivel técnico, es fundamental aplicar medidas como: 

  • -Autenticación multifactor (MFA) para todas las cuentas sensibles. 
  • -Filtros antiphishing y antivirus actualizados. 
  • -Políticas de verificación por canales secundarios (por ejemplo, confirmar una solicitud económica vía llamada interna). 
  • -Simulacros de phishing corporativo, que ayudan a medir el nivel real de exposición de los equipos. 
  • -Como apunta el INCIBE, la prevención no consiste solo en usar tecnología, sino en crear un entorno en el que cada usuario sea parte activa de la seguridad colectiva. 

La auténtica fortaleza de una organización reside en su factor humano. Por muy avanzadas que sean las soluciones técnicas, un clic erróneo sigue siendo el punto de entrada más habitual para los atacantes. Nosotros recomendamos hacer simulacros de phishing y evaluaciones periódicas que permitan medir el nivel de preparación de los equipos, identificar vulnerabilidades conductuales y diseñar planes de formación específicos. 

Casos recientes y lecciones aprendidas 

Durante 2025 se registraron varios ataques de phishing masivo en Europa. En España, una campaña que imitaba a la Agencia Tributaria logró recolectar miles de datos personales antes de ser desmantelada. En Alemania, un grupo cibercriminal utilizó deepfakes de voz para suplantar a directivos de una empresa energética, obteniendo transferencias fraudulentas por más de 2 millones de euros. 

Estos ejemplos dejaron claro que ni la reputación ni el tamaño protegen por sí solos. Lo que sí marca la diferencia es la rapidez de respuesta y la transparencia. Empresas que cuentan con protocolos de crisis y comunicación efectiva reducen el impacto y evitan la pérdida de confianza de clientes y socios. 

El futuro del phishing: redes sociales, IA y desinformación 

En 2026, el phishing avanza hacia nuevas plataformas: redes sociales, aplicaciones de mensajería y entornos inmersivos. Cada vez más ataques se inician mediante conversaciones en WhatsApp, LinkedIn o Telegram, donde los delincuentes construyen relaciones de confianza antes de lanzar el fraude. 

 

El phishing no desaparecerá, pero sí puede ser controlado"

 

La convergencia entre inteligencia artificial, ingeniería social y desinformación plantea un desafío inédito: distinguir lo falso de lo real será aún más difícil. Para contrarrestarlo, los expertos apuestan por defensas basadas en IA ética, capaces de identificar patrones anómalos de comportamiento, detectar suplantaciones de voz y validar identidades en tiempo real. 

Sin embargo, la tecnología no basta sin colaboración internacional. Las agencias europeas y los organismos nacionales deberán seguir fortaleciendo la cooperación público-privada para anticipar amenazas y compartir inteligencia cibernética. 

Conclusión: confianza digital como bien común 

El phishing no desaparecerá, pero sí puede ser controlado. La clave está en combinar innovación tecnológica con responsabilidad humana. La confianza digital, al fin y al cabo, se construye entre todos: empresas, instituciones y ciudadanos. 

A medida que la inteligencia artificial redefine los límites entre lo real y lo simulado, proteger esa confianza requerirá una mirada ética y sostenida sobre cómo usamos la tecnología. Invertir en ciberseguridad ya no es un gasto: es la base misma de la continuidad y credibilidad de cualquier organización en la era digital. 
 

Isidoro López Briones

Gerente Gowtech

Recibe toda la actualidad
Murcia Plaza

Recibe toda la actualidad de Murcia Plaza en tu correo

Quiero suscribirme
El aguinaldo de la División Azul