El phishing con IA y los deepfakes superan las defensas corporativas en la encuesta de 2025

El phishing con IA y los deepfakes superan las defensas corporativas en la encuesta de 2025

Una nueva encuesta a 3.500 líderes empresariales ofrece una imagen contradictoria de la ciberseguridad corporativa: el 82% de los encuestados se siente preparado para las amenazas modernas, pero los ataques impulsados por IA —incluidos la clonación de voz, las imágenes deepfake y el phishing generado por IA— evolucionan más rápido que las organizaciones diseñadas para detenerlos. La brecha entre la preparación percibida y la exposición real es exactamente donde los atacantes prosperan, y los individuos se encuentran cada vez más atrapados en el fuego cruzado.

Para los usuarios cotidianos, los resultados de la encuesta son una advertencia práctica. Cuando las defensas de nivel empresarial luchan por mantenerse al ritmo del phishing con IA y la ingeniería social basada en deepfakes, los individuos que utilizan dispositivos personales, redes domésticas y cuentas de correo electrónico de consumo se enfrentan a las mismas amenazas con muchas menos protecciones disponibles.

Cómo el phishing generado por IA y la clonación de voz actúan contra los usuarios cotidianos

El phishing tradicional dependía de señales evidentes: errores gramaticales, direcciones de remitente sospechosas y saludos genéricos. El phishing generado por IA elimina la mayoría de esas pistas. Mediante el uso de grandes modelos de lenguaje, los atacantes pueden ahora producir mensajes altamente personalizados que hacen referencia a datos reales sobre un objetivo: su empleador, compras recientes o actividad públicamente visible, todo rastreado y ensamblado de forma automática.

La clonación de voz añade otra capa. Con tan solo unos pocos segundos de audio, las herramientas disponibles comercialmente pueden replicar la voz de alguien de forma lo suficientemente convincente como para engañar a familiares, colegas o instituciones financieras. Una llamada falsa que suena como un ejecutivo de la empresa pidiendo a un empleado que transfiera fondos, o una voz clonada de un familiar que afirma estar en apuros, representa una capacidad de ingeniería social que ningún filtro de spam ni escáner de correo electrónico está diseñado para detectar.

Los deepfakes de vídeo profundamente convincentes siguen la misma lógica. Se utilizan para suplantar a figuras de autoridad en videollamadas, fabricar evidencia de eventos que nunca ocurrieron y manipular a los objetivos para que divulguen credenciales o autoricen accesos. En conjunto, estas técnicas representan un cambio del phishing oportunista a la recopilación de credenciales dirigida con precisión.

Por qué las herramientas de seguridad tradicionales tienen dificultades para detener la ingeniería social impulsada por IA

La mayoría de las herramientas de seguridad empresarial fueron diseñadas en torno a un modelo de amenaza diferente: archivos maliciosos, URLs comprometidas e intrusiones en la red. La ingeniería social impulsada por IA elude las tres. No hay ningún archivo adjunto con malware que marcar, ningún dominio sospechoso que bloquear y ninguna anomalía de red que detectar. El ataque vive por completo en la percepción humana.

Esta es la razón fundamental por la que las defensas corporativas tienen dificultades incluso cuando los presupuestos de seguridad son considerables. La formación en concienciación sobre seguridad enseña a los empleados a buscar las señales de alerta tradicionales que los ataques generados por IA ahora evitan de forma fiable. Incluso los controles técnicos como la autenticación multifactor, aunque siguen siendo valiosos, pueden ser eludidos cuando un objetivo es engañado para que entregue un código de un solo uso durante una llamada de clonación de voz.

El concepto de "IA en la sombra" agrava aún más este problema. Los empleados que utilizan herramientas de IA no autorizadas dentro de entornos corporativos crean riesgos de exposición de datos que los equipos de seguridad a menudo no pueden supervisar ni contener. Los documentos confidenciales introducidos en asistentes de IA personales, por ejemplo, pueden construir inadvertidamente los conjuntos de datos que hacen que el phishing dirigido sea más convincente.

Comprender cómo la IA ya se utiliza para perfilar y atacar a individuos es un punto de partida fundamental. La guía Vigilancia impulsada por IA: Lo que necesitas saber en 2026 ofrece un contexto importante sobre cómo la agregación de datos personales permite el tipo de segmentación de precisión que hace que estos ataques sean tan eficaces.

Dónde encajan las VPN y el cifrado en tu defensa contra el robo de credenciales

Las VPN y el cifrado no evitan que un vídeo deepfake sea convincente. Lo que hacen es reducir la superficie de ataque que alimenta el proceso de segmentación y proteger tus credenciales si un ataque tiene éxito parcialmente.

Los ataques de recopilación de credenciales suelen comenzar con la recolección pasiva de datos: interceptar el tráfico no cifrado en redes públicas o domésticas, capturar sesiones de inicio de sesión en conexiones no seguras, o monitorear el comportamiento de navegación para identificar qué servicios utiliza un objetivo. Una VPN cifra el tráfico entre tu dispositivo y la internet más amplia, eliminando los puntos de interceptación más sencillos de esa cadena.

El cifrado también importa en reposo. Los gestores de contraseñas con cifrado robusto garantizan que, incluso si un ataque de phishing captura una credencial, esta no se propague en cascada hacia el acceso a todos los servicios que utilizas. Combinado con la autenticación multifactor en las cuentas que la admiten, el almacenamiento cifrado de credenciales eleva de forma significativa el coste de un ataque exitoso.

Para los trabajadores remotos que se conectan a sistemas corporativos, el uso de VPN es aún más directamente relevante. Muchas campañas de recopilación de credenciales tienen como objetivo el momento de la autenticación, y un túnel cifrado hace que ese momento sea mucho más difícil de monitorear desde fuera de la conexión.

Pasos prácticos que los usuarios conscientes de la privacidad pueden tomar ahora mismo

Los resultados de la encuesta sugieren que esperar a que las organizaciones resuelvan este problema de arriba abajo no es una estrategia fiable. A continuación se presentan pasos concretos que los individuos pueden tomar:

Audita qué datos son públicamente accesibles sobre ti. El phishing generado por IA se nutre de fuentes públicas: perfiles de redes sociales, directorios profesionales y bases de datos de intermediarios de datos. Reducir tu huella pública limita el material bruto disponible para ataques personalizados. Revisa tu configuración de privacidad en todas las plataformas sociales y considera enviar solicitudes de exclusión a los principales sitios de intermediarios de datos.

Desconfía de la urgencia inesperada en cualquier canal. Los ataques de clonación de voz y deepfake casi siempre generan presión de tiempo: un ejecutivo que necesita una transferencia bancaria ahora mismo, un familiar que necesita ayuda de inmediato. Establece un protocolo de verificación personal, como llamar a un número que ya tengas guardado, en lugar de confiar en el número o canal que inició el contacto.

Usa una VPN en todas las redes, no solo en el Wi-Fi público. Las redes domésticas son cada vez más el objetivo, ya que el trabajo remoto las ha convertido en un punto de entrada creíble hacia los sistemas corporativos. Cifrar tu tráfico de forma consistente cierra un vector de interceptación que la mayoría de los usuarios deja abierto.

Activa la autenticación resistente al phishing donde esté disponible. Las llaves de seguridad de hardware y las claves de acceso son significativamente más difíciles de eludir mediante ingeniería social que los códigos de un solo uso tradicionales, porque no producen un valor que un atacante pueda retransmitir en tiempo real.

Mantente informado sobre cómo funciona la elaboración de perfiles con IA. Cuanto más comprendas cómo se agrega y analiza tu comportamiento digital, mejor equipado estarás para reconocer cuándo algo diseñado para parecer personal y urgente puede haber sido construido algorítmicamente. La guía de Vigilancia impulsada por IA es un recurso práctico para desarrollar esa comprensión.

Los datos de la encuesta de 2025 son un recordatorio de que la brecha de confianza en ciberseguridad no es solo un problema corporativo. Cuando los ataques de phishing con IA y deepfake evolucionan más rápido que las defensas empresariales, los individuos necesitan ser participantes activos en su propia seguridad, en lugar de beneficiarios pasivos de sistemas que, según la evidencia, tienen dificultades para mantenerse al ritmo. Auditar tu exposición personal a amenazas ahora, antes de que una llamada de voz convincente o un mensaje perfectamente redactado ponga a prueba tus defensas, es el movimiento más eficaz que puedes hacer.