secure-os.org
ENFRESDEITPT
Todas las guíasQubes OSTailsWhonixLinux endurecidoCifrado de discoModelo de amenaza
phishing

Cómo prevenir el phishing en 2026 — ahora que la IA lo ha empeorado muchísimo

secure-os· Actualizado 21 de junio de 2026· 5 min de lectura #phishing#ai#security#scams#passwords
Ilustración de un estafador enmascarado engañando a un usuario para que introduzca su contraseña en un sitio web falso

El phishing — engañarte para que entregues una contraseña, un código o un pago en una página que solo parece legítima — siempre ha sido la forma más habitual de que se vulneren las cuentas. En 2026 empeoró de forma drástica, porque la IA generativa ahora redacta señuelos impecables y personalizados a gran escala. Investigadores de seguridad informaron de que el phishing generado por IA se multiplicó por unos 14× en 2026, y el Centro de Denuncias de Delitos en Internet del FBI registró 191.561 denuncias de phishing y suplantación en 2025 — más que cualquier otra categoría de delito, con unas pérdidas declaradas que se dispararon un 208% interanual.

La buena noticia: las defensas no han cambiado tanto como los ataques. Un puñado de hábitos sigue frenando la inmensa mayoría del phishing — solo tienes que aplicarlos de forma constante, porque ahora los correos son mucho más difíciles de detectar a simple vista.

Por qué el phishing empeoró de repente

Durante años, la señal más fácil para reconocer un correo de phishing era la mala redacción: gramática torpe, frases extrañas, saludos genéricos. La IA generativa borró esa señal. Ahora los atacantes producen mensajes fluidos y con el formato correcto en cualquier idioma, personalizados con datos extraídos de filtraciones de datos y redes sociales. Un informe registró que el phishing asistido por IA pasó de alrededor del 4% del phishing denunciado a finales de 2025 a un pico de más de la mitad en cuestión de semanas.

Esto significa que el viejo consejo — «busca erratas» — ya no basta. Las señales fiables hoy tienen que ver con el contexto y el comportamiento, no con la calidad del lenguaje.

Una alerta de seguridad roja sobre líneas de código
La IA no ha inventado ataques nuevos — ha hecho que los mismos señuelos de phishing de siempre sean fluidos, personalizados y mucho más difíciles de reconocer a simple vista.

Cómo detectar un intento de phishing moderno

Juzga la situación, no la ortografía:

  • Urgencia inesperada. «Tu cuenta se cerrará en 24 horas», «confirma este pago ahora». La presión de tiempo fabricada es la manipulación más habitual de todas.
  • Un enlace que quiere tus credenciales. Cualquier mensaje que te lleve a una página de inicio de sesión es sospechoso. Pasa el cursor (o mantén pulsado) sobre el enlace y lee el dominio real — paypa1.com o secure-paypal.account-verify.com no es paypal.com.
  • Una petición que esquiva los canales habituales. Un «director ejecutivo» pidiendo tarjetas regalo, un «proveedor» cambiando datos bancarios por correo, un «compañero» que necesita un código 2FA — verifícalo a través de un canal distinto y conocido.
  • Archivos adjuntos que no pediste, sobre todo documentos que te piden «habilitar el contenido» o visitar un enlace para verlos.
  • Remitente que no cuadra. El nombre que se muestra dice que es tu banco; la dirección real es un Gmail cualquiera. En el móvil, toca para ver el remitente real.

Cómo prevenir el phishing — los pasos que funcionan

  • Nunca introduzcas credenciales desde un enlace de un correo o un mensaje. Ve tú mismo al sitio, escribiendo la dirección o usando un marcador. Este único hábito derrota a la mayoría del phishing.
  • Activa la autenticación en dos pasos en todas partes, y prefiere una aplicación de autenticación o una passkey de hardware antes que el SMS. Aunque roben una contraseña por phishing, el atacante aún no podrá iniciar sesión.
  • Usa contraseñas únicas para cada cuenta, para que una sola credencial robada no pueda abrir el resto de tu vida.
  • Frena ante la urgencia. Las organizaciones legítimas no te cierran la cuenta por haber tardado diez minutos en verificar.
  • Verifica por otra vía. Cuando un mensaje pide dinero, credenciales o un código, confírmalo a través de un número o una aplicación en los que ya confíes — nunca con los datos de contacto del propio mensaje.
  • Mantén actualizados el software y los navegadores, para que las protecciones integradas detecten las páginas de phishing conocidas y los archivos adjuntos maliciosos.

Por qué un gestor de contraseñas es tu herramienta anti-phishing más potente

Un buen gestor de contraseñas hace algo que tus ojos no pueden hacer de forma fiable: comprueba el dominio. Su autocompletado solo ofrece tu contraseña guardada en el sitio exacto al que pertenece, de modo que en una página de phishing que imita a otra — donde una persona quizá no se fijaría en app1e.com — el gestor simplemente se queda en silencio. Ese silencio es una advertencia. Además genera y almacena una contraseña única para cada cuenta, de manera que un único phishing exitoso no puede propagarse a todo lo demás.

En resumen

La IA ha hecho que el phishing sea fluido, personalizado y constante — pero no ha cambiado lo que lo derrota. Nunca introduzcas tus credenciales desde un enlace, activa la autenticación en dos pasos, dale a cada cuenta una contraseña única, y frena siempre que un mensaje fabrique urgencia. Los ataques son más astutos; los hábitos que los detienen siguen siendo sencillos, y siguen funcionando.