Las trampas digitales son cada vez más sofisticadas. Si antes los correos de phishing se detectaban fácilmente por errores gramaticales o direcciones sospechosas, hoy muchos de estos ataques parecen legítimos, casi imposibles de distinguir de los mensajes auténticos. Y lo más preocupante: la inteligencia artificial (IA) ya está superando a los expertos humanos en la creación de estos engaños.
Un nuevo informe de la empresa Hoxhunt, especializada en ciberseguridad, revela que, por primera vez, los agentes de IA utilizados en simulaciones han sido más efectivos que los equipos humanos más capacitados al diseñar campañas de phishing. Veamos qué significa esto, cómo llegamos hasta aquí y qué podemos hacer para protegernos.
¿Qué es el phishing y por qué debería preocuparte?
El phishing es una técnica de fraude digital en la que un atacante se hace pasar por una entidad legítima —como un banco, una red social o un proveedor de servicios— para engañar al usuario y obtener información confidencial, como contraseñas, datos bancarios o números de tarjeta.
Un ejemplo cotidiano sería recibir un correo aparentemente de tu banco diciendo que detectaron actividad sospechosa y que debes ingresar a un enlace para verificar tu cuenta. El enlace lleva a una página falsa diseñada para robar tus datos. Si antes estos fraudes eran torpes y evidentes, hoy pueden parecer tan reales como un mensaje verdadero.
De la torpeza al perfeccionismo: cómo ha evolucionado el phishing con IA
En 2023, los simulacros realizados por Hoxhunt mostraban que los humanos aún tenían la delantera: los ataques creados por personas engañaban al 4,2 % de los usuarios, frente a un 2,9 % de efectividad en los generados por IA. Sin embargo, eso cambió rápidamente.
Gracias al avance de los modelos de lenguaje como GPT, en marzo de 2025 los agentes de IA ya lograban resultados un 24 % mejores que los de los equipos humanos de élite. En solo dos años, su rendimiento mejoró un 55 %. Una evolución vertiginosa que ha puesto en alerta a la comunidad de ciberseguridad.
El responsable de este salto es un sistema desarrollado por Hoxhunt y apodado JKR (por “joker”), un agente de IA especializado en spear phishing, que es una variante más personalizada del phishing. En lugar de enviar correos genéricos, este sistema analiza el contexto del usuario (su cargo, ubicación, tipo de empresa, etc.) y genera mensajes altamente creíbles, diseñados para que esa persona en particular haga clic.
¿Qué hace tan peligrosa esta IA?
Lo que distingue al agente JKR no es solo su capacidad de redactar textos convincentes, sino su habilidad para personalizar el ataque con un nivel de detalle inédito. No solo puede crear desde cero un mensaje persuasivo; también puede mejorar uno ya escrito por humanos, afinando cada palabra, ajustando el tono y simulando con precisión cómo escribiría un colega, un jefe o una empresa conocida.
Esto significa que ya no se trata solo de errores humanos al hacer clic donde no debemos. La IA está explotando nuestras rutinas, nuestros roles y hasta nuestro estilo de comunicación para atacar con mayor eficacia.
Como señala Pyry Åvist, CTO y cofundador de Hoxhunt: “El gran lobo feroz de la IA ya está tocando la puerta y es claramente mejor en entrar. Está soplando fuerte, pero muchas organizaciones aún tienen defensas construidas con paja”.
El paralelismo con los virus de los 80: ¿hemos aprendido?
Para comprender el momento actual, el CEO de Hoxhunt, Mika Aalto, hace una analogía interesante: en los años 80, la aparición de los primeros virus informáticos tomó por sorpresa a todo el mundo. Nadie imaginaba que las computadoras pudieran ser utilizadas como armas. Pero eso impulsó la creación de antivirus, firewalls y otras defensas que hoy damos por sentadas.
Hoy estamos ante un nuevo punto de inflexión. Así como los ordenadores desarrollaron un «sistema inmunológico», ahora necesitamos crear uno para las personas. Pero esta vez, la defensa también debe usar IA.
La clave no está solo en bloquear el ataque, sino en entender cómo pensamos y actuamos los humanos para prevenirlo. La protección futura será una combinación de tecnología avanzada y educación en ciberseguridad.
¿Qué pueden hacer las empresas (y las personas) ante esta nueva realidad?
Ante este nuevo escenario, es urgente cambiar la manera en que abordamos la seguridad digital. Aquí algunas recomendaciones clave:
Adoptar IA para defensa, no solo para ataque
Así como los atacantes usan IA para generar mensajes más creíbles, las organizaciones deben incorporar IA para detectar patrones sospechosos, analizar enlaces en tiempo real y advertir al usuario antes de hacer clic.
Formación continua y realista
La capacitación en ciberseguridad debe adaptarse a este nuevo nivel de sofisticación. Simulaciones de phishing deben ser más realistas, actualizadas con ejemplos que reflejen los ataques impulsados por IA.
Promover una cultura de duda
No se trata de vivir con paranoia, pero sí de fomentar el pensamiento crítico. Si algo parece extraño, aunque venga del jefe o un proveedor habitual, conviene confirmar por otro canal antes de actuar.
Revisar procesos de validación
Es momento de implementar mecanismos adicionales, como autenticación en dos pasos, verificación por mensaje directo, y políticas internas que limiten acciones sensibles por correo electrónico.
Invertir en plataformas de ciberseguridad con IA
Herramientas como las que desarrolla Hoxhunt pueden ayudar a las organizaciones a estar un paso adelante, simulando ataques con IA para probar sus defensas y entrenar a sus empleados.
No es ciencia ficción, es una urgencia actual
La idea de que una máquina pueda escribir un correo más persuasivo que un humano ya no pertenece al terreno de la ciencia ficción. Es una realidad que ya está ocurriendo, y que seguirá evolucionando rápidamente.
Frente a esta situación, el desafío no es frenar la tecnología —porque eso no va a pasar— sino aprender a convivir con ella y usarla también a nuestro favor. Así como una cerradura sofisticada protege mejor que una simple, hoy necesitamos cerraduras digitales inteligentes, capaces de anticipar los movimientos del ladrón y protegernos antes de que golpee la puerta.