Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial EXPLORAR KITEWORKS
Home > Blog de Seguridad y Cumplimiento > Sin categorizar > La suplantación de identidad (phishing) potenciada por IA ha superado la seguridad de correo electrónico tradicional: Lo que el informe de Osterman Research significa para las organizaciones que gestionan datos sensibles

La suplantación de identidad (phishing) potenciada por IA ha superado la seguridad de correo electrónico tradicional: Lo que el informe de Osterman Research significa para las organizaciones que gestionan datos sensibles

by Bob Ertl updated febrero 25, 2026 Gestión de Riesgos de Ciberseguridad
Reading Time: 8 minutes

Tu puerta de enlace de seguridad de correo electrónico no te está protegiendo. Te da una falsa sensación de seguridad mientras los ataques impulsados por IA entran por la puerta principal.

Esa es la principal conclusión de un nuevo informe de Osterman Research, encargado por IRONSCALES, titulado Restaurando la confianza en las comunicaciones empresariales. El estudio encuestó a 128 responsables de ciberseguridad y ofrece un veredicto que debería hacer que toda organización que gestione datos confidenciales de clientes — despachos contables, servicios financieros, bufetes de abogados, proveedores de salud — replantee por completo su enfoque de las comunicaciones seguras.

El 88% de las organizaciones experimentaron al menos un incidente de seguridad que minó la confianza en las comunicaciones digitales en los últimos 12 meses. No es un riesgo hipotético. No es una vulnerabilidad proyectada. Es una tasa de incidentes documentada que confirma lo que muchos profesionales de la seguridad ya sospechan: el modelo de detectar y bloquear en la seguridad del correo electrónico ha fracasado.

5 conclusiones clave

  1. El phishing impulsado por IA ha roto el modelo de detectar y bloquear. Osterman Research descubrió que el 88% de las organizaciones experimentaron al menos un incidente de seguridad que minó la confianza en las comunicaciones digitales en los últimos 12 meses. El phishing generado por IA ahora produce mensajes con gramática perfecta, contenido relevante y suplantaciones convincentes que las herramientas tradicionales de seguridad de correo electrónico nunca fueron diseñadas para detectar. El modelo de detección no funciona cuando no hay nada detectablemente incorrecto en el mensaje.
  2. Los ataques deepfake ya están aquí — y los equipos de seguridad no están preparados. El 60% de los responsables de ciberseguridad no confían en su capacidad para contrarrestar ataques deepfake. Los atacantes combinan correos generados por IA con voz y video deepfake de ejecutivos para autorizar transferencias y saltarse los protocolos de verificación. La formación en concienciación de seguridad está resultando ineficaz: el 38% la considera medianamente eficaz o peor frente a audio deepfake y el 39% frente a video deepfake.
  3. Los equipos financieros son el principal objetivo — y los menos preparados. El 59% de las organizaciones consideran que los departamentos financieros son objetivos de alta o extrema prioridad. Ese mismo 59% expresa gran preocupación por la preparación de los equipos financieros para defenderse de ataques basados en la confianza. El Business Email Compromise cuesta de media 125.000 dólares por incidente, y los ataques se vuelven más sofisticados cada trimestre.
  4. La curva de amenazas se ha reiniciado — y lo peor está por venir. Las organizaciones ya están siendo vulneradas a tasas alarmantes, pero los encuestados creen que los ataques potenciados por IA aún no han alcanzado su madurez total. El 28% afirma que el phishing generado por IA apenas está comenzando. La tasa de brechas actual del 88% representa el suelo, no el techo.
  5. Las organizaciones están listas para reemplazar toda su tecnología. El 70% de las organizaciones considera extremadamente importante detectar la suplantación de audio deepfake. El 68% está dispuesto a cambiar completamente de proveedor de seguridad de correo electrónico. El 70% está dispuesto a reemplazar toda su tecnología de seguridad.

La curva de amenazas acaba de reiniciarse

«La curva de amenazas acaba de reiniciarse», dijo Michael Sampson, analista principal en Osterman Research. «Incluso los tipos de ataque ‘resueltos’ como el phishing y el Business Email Compromise han vuelto a ser inmaduros. Los ataques BEC de 2025 se parecen poco a los de 2020 — ahora son hiperpersonalizados, multicanal y pueden lanzarse de forma autónoma a gran escala».

La IA ha eliminado todas las señales en las que empleados y sistemas de seguridad confiaban para identificar correos maliciosos. Los errores gramaticales han desaparecido. Las direcciones sospechosas han desaparecido. El lenguaje genérico ha desaparecido. El phishing generado por IA produce mensajes con sintaxis perfecta, contenido relevante extraído de fuentes públicas como LinkedIn y sitios web corporativos, y personalización que imita la comunicación empresarial legítima incluso en el tono y el formato.

Las herramientas tradicionales de seguridad de correo electrónico — Proofpoint, Mimecast, Barracuda, Microsoft 365 Advanced Threat Protection — funcionan bajo el modelo de detectar y bloquear. Analizan el correo entrante usando bases de firmas, puntuación de reputación, sandboxing y aprendizaje automático para identificar contenido malicioso antes de que llegue a la bandeja de entrada. Cuando desaparecen las diferencias entre el phishing y el correo legítimo, el modelo de detección colapsa.

Y la sofisticación no para de crecer. El 28% de los encuestados dice que el phishing generado por IA apenas está comenzando. El 25% afirma que los ataques de audio deepfake están en fases iniciales. La tasa de brechas del 88% que experimentan las organizaciones hoy ocurre antes de que estos vectores de ataque alcancen su madurez total.

Confías en que tu organización es segura. Pero ¿puedes verificarlo?

Leer ahora

Los deepfakes han convertido la confianza en un arma

Los ataques impulsados por IA ya no se limitan al correo electrónico. Los actores de amenazas combinan correos de phishing con llamadas de voz y video deepfake para crear ataques de suplantación multicanal que superan todos los métodos tradicionales de verificación.

Un empleado recibe un correo del CEO solicitando una transferencia urgente. El correo parece legítimo. El empleado llama al CEO para verificar. La voz al otro lado es un deepfake generado por IA. La transferencia se realiza. El dinero desaparece. No es hipotético. Está ocurriendo. Y el 60% de los responsables de ciberseguridad no confían en su capacidad para contrarrestarlo.

La formación en concienciación de seguridad está resultando insuficiente. Casi uno de cada cinco líderes de seguridad considera la formación ineficaz frente a amenazas potenciadas por IA. El 38% calificó la formación como solo medianamente eficaz o peor para detectar audio deepfake, el 39% para video deepfake y el 43% para phishing generado por IA. No puedes entrenar a las personas para detectar ataques diseñados para ser indistinguibles de las comunicaciones legítimas.

Equipos financieros: objetivo de mayor valor, menor confianza

El 59% de las organizaciones considera que los equipos financieros son objetivos de alta o extrema prioridad para los actores de amenazas. Ese mismo 59% expresa gran preocupación por la preparación de esos equipos para defenderse de ataques basados en la confianza. El Business Email Compromise dirigido a departamentos financieros cuesta de media 125.000 dólares por incidente según datos del FBI IC3 — sin contar multas regulatorias, costes legales y daño reputacional.

La suplantación de proveedores está creciendo rápidamente. Más del 33% de las organizaciones vieron a actores de amenazas hacerse pasar por proveedores de confianza para robar fondos o información en el último año, con un 13% reportando aumentos importantes año tras año. Para despachos contables, empresas de servicios financieros y bufetes de abogados, un solo ataque exitoso contra una firma que gestiona datos financieros de clientes puede destruir décadas de relaciones. La convergencia de objetivos de alto valor y baja confianza defensiva es justo la brecha que explotan los atacantes.

Por qué la seguridad de correo electrónico tradicional no se puede arreglar

El correo electrónico nunca se diseñó para la seguridad. SMTP permite la suplantación del remitente, carece de autenticación integrada y transmite datos por canales que pueden ser interceptados. Todas las herramientas de seguridad de correo electrónico son parches sobre un protocolo que nunca se creó para esa función.

La detección requiere una señal que detectar. Cuando la IA genera correos de phishing gramaticalmente perfectos y estructuralmente idénticos al correo legítimo, no hay señal. La detección basada en firmas, el análisis de reputación y el análisis de comportamiento dependen de identificar anomalías. Los ataques generados por IA no producen anomalías.

Las arquitecturas reactivas no pueden superar a los atacantes proactivos. La IA permite a los actores de amenazas generar variaciones únicas y polimórficas de cada ataque e implementarlas a escala más rápido de lo que cualquier proveedor puede actualizar los modelos de detección.

Sampson lo dijo claramente: «Las protecciones de correo electrónico tradicionales son demasiado burdas para reconocer los sutiles indicadores de los ataques modernos impulsados por IA».

De detectar y bloquear a verificar y controlar

La respuesta requiere repensar desde cero cómo las organizaciones gestionan las comunicaciones confidenciales. En vez de intentar detectar contenido malicioso en un canal inherentemente inseguro, las organizaciones necesitan una arquitectura de comunicaciones que elimine por completo el vector de ataque — basada en la verificación de identidad y el control de acceso en lugar de la inspección de contenido.

Solo comunicaciones autenticadas. Cada mensaje requiere identidad verificada del remitente mediante autenticación multifactor y firmas digitales. La suplantación de ejecutivos — la táctica número uno del phishing por IA — se vuelve imposible.

Verificación fuera de banda. Las transacciones de alto riesgo requieren aprobación multiparte a través de canales de verificación independientes. Incluso con credenciales comprometidas, los atacantes no pueden completar transacciones fraudulentas.

Comunicaciones cifradas de extremo a extremo. Los datos confidenciales viajan por una red privada cifrada usando TLS 1.3 y criptografía validada FIPS 140-3 — nunca por protocolos SMTP.

Controles de acceso granulares. El acceso a los datos opera bajo el principio de mínima necesidad, con permisos temporales, restricciones por dispositivo y controles de geolocalización.

Registros de auditoría completos. Cada acción se registra para evidencias de cumplimiento, detección de anomalías e investigación forense.

Qué significa esto para las firmas que gestionan datos confidenciales de clientes

Despachos contables y CPA enfrentan phishing por IA dirigido a la temporada fiscal — comunicaciones falsas de la IRS, suplantación de clientes, robo de W-2. Un portal seguro para clientes con canales autenticados y cifrados elimina el correo como vector de ataque. La verificación de identidad del cliente mediante MFA, flujos de aprobación para solicitudes de alto riesgo y registros de auditoría completos proporcionan documentación para la protección de responsabilidad profesional y cumplimiento de la Publicación 4557 de la IRS.

Empresas de servicios financieros enfrentan fraude de CEO por IA y suplantación de clientes, con exposición regulatoria bajo GDPR, DORA, NIS2 y PCI DSS. Comunicaciones verificadas con clientes, flujos de aprobación multiparte y controles de cumplimiento integrados cubren múltiples marcos regulatorios desde una sola plataforma.

Bufetes de abogados y firmas de servicios profesionales enfrentan suplantación de abogados y robo de información privilegiada. Las comunicaciones cifradas y autenticadas preservan el privilegio abogado-cliente. Las barreras de información refuerzan los muros éticos. Los registros de auditoría documentan la cadena de custodia para litigios e investigaciones regulatorias.

Organizaciones de salud enfrentan suplantación de pacientes, fraude de proveedores y violaciones de la ley HIPAA por brechas de correo electrónico. Canales cifrados compatibles con HIPAA, verificación de identidad del paciente mediante MFA y comunicaciones seguras entre proveedores eliminan el correo como vector de transmisión de PHI.

Kiteworks: comunicaciones Zero-Trust que eliminan el vector de ataque

Este es el problema que la Red de Datos Privados de Kiteworks está diseñada para resolver.

Kiteworks no intenta detectar phishing por IA en el correo electrónico. Ofrece una arquitectura de comunicaciones completamente diferente que elimina el vector de ataque por completo. En vez de escanear en busca de contenido malicioso en un protocolo inherentemente inseguro, Kiteworks verifica la identidad y controla el acceso antes de que ocurra cualquier comunicación.

Las puertas de enlace de correo seguro de Proofpoint, Mimecast y Barracuda dependen de detectar contenido malicioso — un enfoque que fracasa cuando los ataques generados por IA no producen anomalías detectables. Microsoft 365 Advanced Threat Protection sigue anclado en el modelo de detectar y bloquear. La formación en concienciación de seguridad depende del juicio humano frente a ataques diseñados para ser indistinguibles de las comunicaciones legítimas. Kiteworks reemplaza los tres con una arquitectura de verificar y controlar donde todas las comunicaciones no autenticadas se bloquean por diseño.

Para los CISOs, es la arquitectura de comunicaciones de confianza cero que elimina los ataques de suplantación. Para los CFOs, es el marco de control que previene incidentes BEC de 125.000 dólares antes de que ocurran. Para los responsables de cumplimiento, es el registro de auditoría que satisface a los reguladores cuando el 82% de las organizaciones reportan mayor interés de los actores de amenazas en explotar comunicaciones de confianza.

La ventana se está cerrando

Los ataques impulsados por IA han vulnerado al 88% de las organizaciones. Los ataques aún no han alcanzado su madurez total. Las capacidades deepfake siguen en fases tempranas. Las herramientas tradicionales de seguridad de correo electrónico no pueden seguir el ritmo, y la formación en concienciación de seguridad no puede compensar amenazas diseñadas para ser invisibles.

Las organizaciones que adopten ahora una arquitectura de comunicaciones de confianza cero eliminarán el vector de ataque por correo, protegerán los datos confidenciales de sus clientes y preservarán la confianza de la que depende su negocio. Las que esperen descubrirán su brecha con el próximo ataque impulsado por IA que sus herramientas tradicionales no puedan detener.

El correo electrónico ya no es confiable para comunicaciones empresariales sensibles. La pregunta es si tu organización adoptará una alternativa segura antes de que el próximo ataque encuentre la brecha que tus herramientas actuales no pueden cerrar.

Para descubrir cómo puede ayudarte Kiteworks, agenda una demo personalizada hoy.

Preguntas frecuentes

El informe de Osterman Research, Restaurando la confianza en las comunicaciones empresariales, reveló que el 88% de las organizaciones experimentaron al menos un incidente de seguridad que minó la confianza en las comunicaciones digitales en los últimos 12 meses. El estudio encuestó a 128 responsables de ciberseguridad y encontró que el 82% reporta mayor interés de los actores de amenazas en explotar comunicaciones de confianza, mientras que el 60% no confía en su capacidad para contrarrestar ataques deepfake. Las herramientas tradicionales de detectar y bloquear en el correo electrónico están fallando frente al phishing impulsado por IA, la suplantación deepfake y los ataques de ingeniería social multicanal.

Las herramientas tradicionales de seguridad de correo de Proofpoint, Mimecast y Barracuda funcionan bajo un modelo de detectar y bloquear que depende de identificar anomalías — errores gramaticales, remitentes sospechosos, firmas maliciosas conocidas. El phishing generado por IA elimina estas señales produciendo mensajes con gramática perfecta, contenido relevante y personalización convincente. Cuando no hay diferencia detectable entre phishing y correo legítimo, el modelo de detección falla. El protocolo SMTP agrava el problema permitiendo la suplantación del remitente y careciendo de autenticación integrada. La Puerta de Enlace de Protección de Correo de Kiteworks soluciona esto cambiando de la detección a un modelo de verificar y controlar donde las comunicaciones no autenticadas se bloquean por diseño.

Los sectores que gestionan información personal y financiera confidencial enfrentan el mayor riesgo: despachos contables y CPA atacados con comunicaciones falsas de la IRS y suplantación de clientes durante la temporada fiscal; empresas de servicios financieros enfrentando fraude de CEO por IA y suplantación de clientes con exposición regulatoria bajo GDPR, DORA y PCI DSS; bufetes de abogados enfrentando suplantación de abogados y robo de información privilegiada; y organizaciones de salud enfrentando suplantación de pacientes y violaciones de la ley HIPAA. El informe de Osterman encontró que los equipos financieros son el objetivo de mayor prioridad, con el 59% de las organizaciones calificándolos como objetivos de alta o extrema prioridad.

Kiteworks ofrece una arquitectura de comunicaciones de confianza cero que elimina el vector de ataque por correo. Todas las comunicaciones requieren identidad autenticada del remitente mediante MFA y firmas digitales, haciendo imposible la suplantación de ejecutivos. Los datos confidenciales viajan por una red privada cifrada usando TLS 1.3 y criptografía validada FIPS 140-3, nunca por protocolos SMTP vulnerables. Los controles de acceso granulares, permisos temporales y flujos de aprobación multiparte previenen el Business Email Compromise. Los registros de auditoría completos proporcionan evidencia de cumplimiento y capacidad de investigación forense.

Proofpoint, Mimecast y Barracuda son puertas de enlace de correo seguro que detectan y bloquean correos maliciosos usando IA/ML, sandboxing y análisis de reputación. Este enfoque fracasa frente al phishing generado por IA que no produce anomalías detectables. Kiteworks adopta un enfoque completamente diferente con una arquitectura de comunicaciones de confianza cero que verifica la identidad antes de permitir la comunicación. Todas las comunicaciones no autenticadas se bloquean por diseño. Los datos confidenciales viajan por redes privadas cifradas de extremo a extremo, no por SMTP. El resultado es un modelo proactivo que no depende de detectar amenazas diseñadas para ser indetectables.

Recursos adicionales

  • Artículo del Blog Arquitectura Zero Trust: nunca confíes, siempre verifica
  • Video Microsoft GCC High: desventajas que llevan a los contratistas de defensa hacia ventajas más inteligentes
  • Artículo del Blog Cómo proteger datos clasificados una vez que DSPM los identifica
  • Artículo del Blog Generar confianza en la IA generativa con un enfoque Zero Trust
  • Video Guía definitiva para el almacenamiento seguro de datos sensibles para líderes de TI

Comienza ahora.

Es fácil comenzar a asegurar el cumplimiento normativo y gestionar eficazmente los riesgos con Kiteworks. Únete a las miles de organizaciones que confían en cómo intercambian datos confidenciales entre personas, máquinas y sistemas. Empieza hoy mismo.

Agenda una Demo

Table of Contents

Table of Content
Compartir
Twittear
Compartir
Explore Kiteworks