Kiteworks

Enabling Zero Trust Data Exchange in One Platform

Free Trial EXPLORAR KITEWORKS
Home > Blog de Seguridad y Cumplimiento > Sin categorizar > Los cebos de phishing con IA recuperan el primer puesto de acceso inicial en 2026

Los cebos de phishing con IA recuperan el primer puesto de acceso inicial en 2026

by Uri Kedem updated mayo 12, 2026 Correo Electrónico Seguro
Reading Time: 9 minutes

El phishing vuelve a ser la principal vía de acceso inicial. Los cebos ahora los escribe la IA.

Durante cuatro trimestres consecutivos, el phishing había perdido su liderazgo. La explotación de aplicaciones expuestas al público —impulsada por una ola de compromisos en instalaciones locales de Microsoft SharePoint— había pasado a ser el vector dominante de acceso inicial. Los equipos de respuesta a incidentes dejaron de tratar la bandeja de entrada como el principal punto de entrada.

Puntos clave

  1. El phishing vuelve a liderar. En el primer trimestre de 2026, el phishing representó más de un tercio de los incidentes donde se pudo determinar el acceso inicial —la primera vez que lidera la categoría desde el segundo trimestre de 2025, según una nueva investigación de Cisco Talos.
  2. Los atacantes usan LLM para industrializar los cebos. Se ha observado a grupos criminales y patrocinados por Estados usando modelos de lenguaje de gran tamaño para redactar correos de phishing, generar scripts maliciosos e incluso orquestar ataques DDoS. El umbral de sofisticación acaba de desplomarse.
  3. Las suposiciones tradicionales sobre seguridad del correo han caducado. La formación en concienciación se diseñó para un mundo donde los correos de phishing tenían señales claras: mala gramática, saludos genéricos, alertas evidentes. Los cebos escritos por IA no tienen esas señales. Son personalizados, adaptados culturalmente y gramaticalmente impecables.
  4. El phishing es un problema de intercambio de datos, no solo de correo electrónico. Cada correo de phishing es un intercambio de datos entrante no autorizado, no autenticado y no validado. Si la organización no puede gobernar qué remitentes pueden contactar a sus empleados, el resto de la infraestructura de seguridad del correo está defendiendo en el campo equivocado.
  5. La solución es una arquitectura de remitentes preaprobados. Las organizaciones que limitan el correo entrante a socios, clientes y proveedores preaprobados —aplicado en la capa de intercambio de datos, no en la puerta de enlace de correo— eliminan la superficie de ataque de la que dependen los cebos generados por IA.

Esa narrativa acaba de reiniciarse. Según la nueva investigación de Cisco Talos, el phishing ha vuelto a ser el método principal que los atacantes usan para infiltrarse en organizaciones, representando más de un tercio de los incidentes del primer trimestre de 2026 donde se pudo determinar el acceso inicial. El regreso no es gradual: es un cambio de régimen.

Y está ocurriendo por una razón concreta.

La IA no lo inventó. Lo industrializó.

Cisco Talos ha observado a grupos criminales y patrocinados por Estados usando modelos de lenguaje de gran tamaño para crear cebos de phishing y scripts maliciosos. Los operadores de DDoS como servicio han adoptado algoritmos de IA para orquestar ataques. No es experimental. Es operativo.

Esto importa por el cambio que la IA introduce en la economía del phishing. El Informe Global de Ciberseguridad 2026 del WEF describe cómo la IA generativa está reduciendo las barreras para ejecutar campañas de phishing y, al mismo tiempo, aumentando la sofisticación y credibilidad. Los actores criminales producen correos de phishing realistas, audios deepfake y documentación falsificada capaz de evadir la detección convencional y el escrutinio humano.

Antes, las organizaciones se protegían porque redactar un correo de phishing convincente a escala requería fluidez lingüística, conocimiento cultural o mucho tiempo por objetivo. Cada uno era un limitador natural. La IA elimina los tres. Ahora, un solo operador puede generar diez mil cebos personalizados, adaptados al idioma, contexto sectorial y rol aparente del destinatario, en el tiempo que antes tomaba escribir uno.

El Informe de Amenazas de Datos Thales 2026 lo corrobora: el 59% de las organizaciones han visto ataques deepfake y el 97% reporta algún tipo de daño organizacional por información falsa generada por IA, incluyendo compromiso de correo empresarial e impersonación de marca. El phishing y sus variantes deepfake ya son capacidades básicas para los atacantes, no servicios premium.

Por qué la formación en concienciación ya no es suficiente

Los programas de concienciación en seguridad se diseñaron bajo la idea de que los correos de phishing tienen señales claras. Gramática incorrecta. Saludos genéricos. Urgencia fabricada. Si entrenas a los empleados para detectar esas señales, la superficie de ataque se reduce.

Ese modelo dependía de que el atacante fuera peor redactando que el empleado promedio. La IA acaba de romper esa suposición. Según la investigación del WEF, la traducción y localización habilitadas por IA hacen que las suplantaciones sean más auténticas y convincentes culturalmente, permitiendo a los atacantes llegar a poblaciones que antes no podían atacar con eficacia.

La implicación práctica: un empleado que recibe un correo que suena exactamente como el de su proveedor, menciona el número de orden correcto y llega desde un dominio visualmente idéntico al legítimo, no tiene una oportunidad razonable de detectar el phishing leyendo con atención. Las señales han desaparecido.

La formación en concienciación sigue siendo útil: cambia hábitos sobre el manejo de credenciales, solicitudes inusuales y verificación fuera de canal. Pero ya no basta como control principal. Las organizaciones que confían en la concienciación como defensa contra el phishing están luchando una guerra que terminó cuando el primer LLM comercial se volvió bueno escribiendo inglés empresarial.

La bandeja de entrada es un canal de intercambio de datos. Gobierna como tal.

Aquí está el cambio de perspectiva importante. El correo electrónico se ha tratado como un canal de comunicación durante cuatro décadas. Por eso la industria creó puertas de enlace, filtros de spam y formación de usuarios como defensas principales contra el phishing. Todas asumen que el correo trata fundamentalmente de entregar mensajes que hay que filtrar tras su llegada.

Una perspectiva más precisa: cada correo es un evento de intercambio de datos. Cada correo entrante entrega datos al empleado —a veces legítimos, a veces maliciosos—. Cada correo saliente exporta datos de la organización. La bandeja de entrada es un canal bidireccional de intercambio de datos que simplemente usa SMTP como transporte.

Cuando el correo se ve como intercambio de datos, la arquitectura de seguridad cambia. La pregunta deja de ser «¿cómo filtramos los correos malos?» y pasa a ser «¿a quién permitimos intercambiar datos con nuestros empleados desde el principio?»

Este cambio es clave porque el phishing generado por IA está diseñado para vencer defensas basadas en filtros. El Índice de Amenazas X-Force 2026 de IBM encontró que la IA acelera el ciclo de vida del atacante, comprimiendo el tiempo entre el contacto inicial de phishing y la exfiltración de datos. Las defensas basadas en filtros son reactivas por diseño. Necesitan detectar algo novedoso, y la IA es muy buena generando novedades a escala.

Las arquitecturas de remitentes preaprobados —donde solo se permite correo entrante de socios, clientes y proveedores autorizados explícitamente— eliminan el problema de categoría. Si el cebo generado por IA llega de un remitente no aprobado, no llega al empleado. El filtro no necesita detectar el phishing. El phishing nunca se entrega.

Qué dicen los datos sobre el destino del phishing

El regreso del phishing a la cima del acceso inicial importa por lo que ocurre después en la cadena de ataque. Según el Informe Global de Amenazas CrowdStrike 2026, el tiempo promedio de ruptura de eCrime —el intervalo entre el acceso inicial y el movimiento lateral— es ahora de 29 minutos. El phishing adversario-en-el-medio contra Microsoft 365 y Entra ID puede robar cookies y tokens para evadir MFA y acceder directamente a correo, SharePoint y otros servicios ricos en datos.

En otras palabras: el phishing es la puerta de entrada a los datos en la nube, no solo un vector molesto para malware. El Informe de Investigaciones de Brechas de Datos Verizon 2025 analizó 12,195 brechas confirmadas y destacó el phishing, abuso de credenciales y participación de terceros como patrones dominantes —con la participación de terceros duplicándose año tras año del 15% al 30%.

Cuando el phishing tiene éxito, el atacante suele obtener credenciales o tokens de sesión y luego los usa para acceder a plataformas de colaboración y uso compartido de archivos donde residen datos regulados. El Informe Global de Ciberseguridad 2026 del WEF indica que el 62% de los encuestados experimentó ataques de phishing, vishing o smishing en los últimos doce meses, y el 73% fue afectado personalmente por fraude habilitado por ciberataques.

La conclusión no es que la seguridad del correo sea opcional. Es que, por sí sola, la seguridad del correo no protege el canal de intercambio de datos que el phishing busca comprometer.

El enfoque de Kiteworks: intercambio seguro de datos para minimizar el phishing

Kiteworks aborda el problema del phishing como un reto de gobernanza del intercambio de datos, no solo de filtrado de mensajes. Su arquitectura elimina la superficie de ataque de la que dependen los cebos generados por IA.

Aplicación de remitentes preaprobados. Con Kiteworks, los empleados solo reciben comunicaciones de remitentes preautorizados por la organización —socios, clientes, proveedores—. Los correos de phishing generados por IA desde remitentes no autorizados no llegan a la bandeja de entrada, porque la arquitectura no permite comunicaciones entrantes no validadas. El atacante puede generar mil cebos perfectos; ninguno llega.

Canales unificados y seguros para datos sensibles. Cuando terceros necesitan enviar datos regulados a la organización —contratos, archivos, formularios— lo hacen a través de canales autenticados, cifrados y gobernados por políticas. El cebo de phishing que dice «haz clic en este enlace para ver tu documento cifrado» no tiene equivalente en un entorno bien diseñado, porque los documentos sensibles legítimos llegan mediante intercambio de datos gobernado, no por un enlace en un correo.

Registros auditables en todos los canales. Cada comunicación entrante y saliente queda registrada en una trazabilidad de auditoría a prueba de manipulaciones. Cuando ocurre un evento de phishing exitoso —porque ninguna defensa es absoluta— el alcance de la exposición de datos se determina en minutos, no en semanas. Reguladores, auditores y equipos de respuesta a incidentes obtienen la misma evidencia de calidad.

Integración con la infraestructura de seguridad existente. La integración con SIEM, la aplicación de políticas DLP y la alineación con proveedores de identidad significan que Kiteworks no reemplaza la infraestructura de seguridad actual: cierra la brecha que las defensas basadas en filtros no pueden cubrir por sí solas.

Este es el patrón arquitectónico que hace que el phishing generado por IA sea económicamente irracional para el atacante. Cuando la carga útil no puede entregarse, la sofisticación del cebo es irrelevante.

Qué deben hacer las organizaciones ahora

Primero, trata la bandeja de entrada como un canal gobernado de intercambio de datos, no solo de entrega de mensajes. Cada correo entrante es una entrada de datos. Cada correo saliente es una exportación de datos. Las políticas de gobernanza que aplican a transferencias de archivos, SFTP y API deben aplicarse también al correo, porque los atacantes han descubierto que el correo es el camino de menor resistencia.

Segundo, implementa arquitecturas de remitentes preaprobados para los empleados de alto valor. Finanzas, ejecutivos, RRHH y legal son los objetivos preferidos del phishing. Estas áreas se benefician especialmente de limitar el correo entrante a partes autorizadas. La investigación de Cisco Talos muestra que el phishing ha recuperado su posición dominante precisamente porque la IA eliminó los limitadores de calidad de los cebos.

Tercero, reduce la dependencia de la formación en concienciación como control principal. Continúa con el programa —sigue influyendo en el manejo de credenciales y la verificación fuera de canal—, pero reconoce que la formación asume que los empleados pueden distinguir los cebos generados por IA de las comunicaciones legítimas, y el Informe Global de Ciberseguridad 2026 del WEF demuestra que esa suposición ya no es fiable.

Cuarto, exige canales autenticados y cifrados para todo intercambio de datos sensibles con terceros. Si un proveedor debe enviar un contrato, que lo haga a través de una plataforma de intercambio seguro de datos, no como un adjunto de correo con enlace de descarga. Esto elimina la plantilla que los cebos de phishing imitan, haciendo menos efectiva la suplantación generada por IA.

Quinto, invierte en registros auditables de calidad en todos los canales de intercambio de datos. Cuando el phishing tiene éxito, la capacidad de determinar qué datos se accedieron, por quién y cuándo —en minutos— marca la diferencia entre un incidente contenido y una crisis regulatoria. Según el Informe de Costos de Brechas de Datos de IBM 2025, las organizaciones con gobernanza madura resuelven brechas aproximadamente 70 días más rápido que las que no la tienen.

Sexto, alinea la estrategia de seguridad del correo con el panorama más amplio de amenazas de IA. El phishing generado por IA no es una amenaza aislada: es un ejemplo de cómo los atacantes usan IA para escalar la sofisticación. El Informe de Amenazas de Datos Thales 2026 identifica la desinformación y los deepfakes generados por IA como amenazas generalizadas que potencian la efectividad del phishing. Tratar la seguridad del correo de forma aislada ignora la arquitectura de fraude habilitada por IA que los atacantes ya están usando.

El regreso del phishing a la cima del acceso inicial no es una sorpresa. La sorpresa es cuánta infraestructura de seguridad empresarial seguía basada en la suposición de que los cebos de phishing eran identificables por humanos. La IA cambió esa ecuación. La arquitectura debe adaptarse.

El patrón más amplio: la IA está reescribiendo la economía del acceso inicial

El regreso del phishing al primer puesto es solo una señal de un patrón mayor que merece ser nombrado. La IA está reduciendo sistemáticamente los costos de los atacantes en cada fase del ciclo de vida del ataque.

Reconocimiento: la IA resume información pública sobre los objetivos más rápido que cualquier analista humano. Scripting: la IA escribe código malicioso funcional a partir de descripciones en lenguaje natural. Ingeniería social: la IA genera cebos personalizados a escala industrial. Movimiento lateral: la IA ayuda a los atacantes a navegar entornos desconocidos tras el acceso inicial. El Informe Global de Amenazas CrowdStrike 2026 documenta un aumento del 89% en ataques de adversarios habilitados por IA respecto al año anterior.

Cada una de estas capacidades potencia a las demás. Una campaña de phishing que usa IA para investigar objetivos, escribir cebos, localizarlos por cultura y rol, y orquestar el seguimiento es fundamentalmente distinta de las campañas que solían enfrentar los equipos de respuesta a incidentes. La sofisticación ya no es el diferenciador. Lo es la economía.

Cuando el costo por cebo baja de horas de trabajo humano a segundos de cómputo, el diseño de la campaña del atacante cambia. Se vuelve racional atacar a todos, personalizar cada mensaje, responder a cada interacción e invertir en cada respuesta. No es un escenario futuro: los datos de Cisco Talos del primer trimestre de 2026 que muestran al phishing de nuevo en la cima del acceso inicial son la evidencia actual.

Las organizaciones que se defienden ante este cambio económico deben adaptar su propia economía. Las defensas basadas en filtros escalan con el volumen de mensajes entrantes —que la IA hace prácticamente infinito—. Las defensas basadas en autorización de remitentes escalan con el número de remitentes aprobados —que está limitado por la realidad del negocio—. La economía favorece al defensor solo cuando la defensa opera sobre una superficie que el atacante no puede expandir trivialmente.

Preguntas frecuentes

Según Cisco Talos, el phishing representó más de un tercio de los incidentes del primer trimestre de 2026 donde se pudo determinar el acceso inicial, volviendo al primer puesto por primera vez desde el segundo trimestre de 2025. El regreso se debe principalmente a que los atacantes usan modelos de lenguaje de gran tamaño para generar cebos de phishing y scripts maliciosos a escala, mejorando drásticamente la relación calidad-costo de las campañas de phishing.

El phishing tradicional se basaba en plantillas, lenguaje genérico y volumen. El phishing generado por IA es personalizado, adaptado culturalmente y gramaticalmente impecable. El Informe Global de Ciberseguridad 2026 del WEF señala que la IA permite a los atacantes automatizar y escalar la ingeniería social, produciendo correos realistas, audio y video deepfake, y documentos falsificados que evaden tanto los filtros automáticos como el escrutinio humano.

La formación en concienciación sigue siendo valiosa para el manejo de credenciales, verificación fuera de canal y reporte de actividades sospechosas, pero ya no es fiable como control principal de detección. La suposición de que los empleados pueden distinguir los cebos generados por IA de las comunicaciones legítimas leyendo con atención no se sostiene cuando los cebos los generan LLM comerciales con dominio del inglés empresarial.

El phishing compromete identidades y credenciales humanas. Las fallas en la seguridad de agentes de IA comprometen identidades no humanas y sus tokens de acceso. Ambos caminos llevan a los mismos datos. El Informe de Costos de Brechas de Datos de IBM 2025 documenta que las brechas relacionadas con IA suelen implicar controles de acceso insuficientes en ambas categorías —humanos y máquinas—, y el Informe de Pronóstico de Riesgos de Seguridad y Cumplimiento de Datos 2026 de Kiteworks recomienda una gobernanza unificada para ambas.

Una arquitectura de remitentes preaprobados restringe el correo entrante a remitentes que la organización ha autorizado explícitamente —normalmente socios, clientes y proveedores—. El phishing generado por IA depende de poder entregar el cebo a la bandeja de entrada del objetivo. Cuando la entrega se controla en la capa de autorización de remitentes y no en la de contenido del mensaje, la sofisticación generada por IA no ayuda al atacante. El phishing simplemente no llega. Este es el patrón arquitectónico más resistente a campañas de phishing escaladas por IA.

Comienza ahora.

Es fácil comenzar a asegurar el cumplimiento normativo y gestionar eficazmente los riesgos con Kiteworks. Únete a las miles de organizaciones que confían en cómo intercambian datos confidenciales entre personas, máquinas y sistemas. Empieza hoy mismo.

Agenda una Demo

Table of Contents

Table of Content
Compartir
Twittear
Compartir
Explore Kiteworks