El phishing con IA se refiere a correos electrónicos, SMS o llamadas fraudulentas generados o mejorados mediante inteligencia artificial. En 2026, no son mágicamente indetectables, pero sí mucho más creíbles: mejor francés, personalización, imitación del tono de un proveedor, enlaces trampa y, a veces, voces sintéticas. Para una pyme, lo importante es concreto: confiar menos solo en el ojo humano e invertir en controles sencillos antes de que se vean comprometidos una transferencia, una cuenta Microsoft 365 o datos de clientes.
Phishing con IA: lo que realmente ha cambiado en 2026
El cambio no es solo el volumen. Según la APWG, se registraron 971 181 ataques de phishing en el primer trimestre de 2026, es decir, un 13,8 % más que en el trimestre anterior. Por su parte, Microsoft Threat Intelligence indica haber detectado aproximadamente 8,3 mil millones de amenazas de phishing por correo electrónico entre enero y marzo de 2026.
La novedad más molesta para un directivo está en la calidad del engaño. Los modelos generativos, como los utilizados en ChatGPT, Claude o Gemini, permiten producir mensajes sin faltas graves, adaptados a un sector, a una lengua y, a veces, a una actualidad interna recuperada en LinkedIn, un sitio web o un comunicado.
Google Threat Intelligence describe en 2025-2026 un paso de usos experimentales de la IA a una utilización a gran escala en las cadenas de ataque. En otras palabras, la IA no sustituye todo el ataque. Hace que las etapas de identificación, redacción, traducción y seguimiento sean más rápidas.
La trampa, para una pyme, es creer que sus collaboradores siempre detectarán “el correo electrónico falso”. Este método a veces bastaba frente a las estafas mal traducidas. Se vuelve frágil ante un mensaje que retoma el nombre de un cliente, el vocabulario de un presupuesto y una firma de correo electrónico plausible.
Por qué estos correos electrónicos fraudulentos parecen casi indetectables
La palabra “casi” merece mantenerse. Las fuentes públicas serias no demuestran que los correos electrónicos fraudulentos sean todos indetectables en 2026. Más bien muestran que se acercan fortemente a los códigos de un correo electrónico normal, lo que cambia la forma de defenderse.
Un phishing con IA puede imitar un estilo de comunicación. Si su empresa publica muchos contenidos, fichas de equipo y noticias, el atacante dispone de material para escribir un correo electrónico creíble. También puede localizar el mensaje: IVA francesa, IBAN europeo, tono administrativo, menciones al RGPD de 2018 o a Microsoft 365.
Otra evolución: el ataque ya no busca siempre hacer descargar un archivo infectado. Microsoft rapporte que en el primer trimestre de 2026, el 78 % de las amenazas por correo electrónico se basaban en enlaces. Las cargas maliciosas en archivo adjunto representaban el 19 % en enero de 2026, y después el 13 % en febrero y marzo.
Es un cambio importante. Un antivirus detecta más fácilmente un archivo sospechoso que una página de inicio de sesión que se parece a la de un proveedor SaaS. Los sectores más atacados según la APWG en el primer trimestre de 2026 son precisamente las telecomunicaciones y el SaaS/webmail, es decir, los servicios en los que un identificador abre muchas portas.
Los escenarios que más afectan a las pymes
En los casos que vemos del lado de la agencia, el phishing no siempre llega como un correo electrónico dramático. A menudo se cuela en una rutina: validación de factura, compartición de archivo, renovación de nombre de dominio, alerta de buzón de correo saturado, solicitud urgente de acceso a una extranet.
Los ataques contra Microsoft 365 y Google Workspace son frecuentes porque estas suites concentran los correos electrónicos, los documentos, las agendas y, a veces, los accesos de terceros. Si duda entre estos entornos, la cuestión de la seguridad debe integrarse desde la elección de la suite collaborativa, no a posteriori; esta comparativa Microsoft 365 o Google Workspace para una empresa ya ofrece buenas referencias funcionales.
Los buzones de correo historiques no se libran. Una mensajería OVHcloud mal configurada, un correo web olvidado o una contraseña reutilizada pueden bastar para abrir una brecha. Para las estructuras que utilizan encore Roundcube, esta guía sobre la gestión del webmail OVHcloud ayuda a comprender el entorno antes de añadirle protecciones.
El phishing con IA también ataca los espacios privados. Una extranet de cliente, un portal de RR. HH. o un espacio de nóminas se convierten en objetivos si un enlace fraudulento recupera un identificador. El diseño de un extranet seguro y eficiente debe por tanto prever la autenticación, los permisos y los registros de acceso desde el principio.
- Falsa alerta de seguridad que solicita “revalidar” una cuenta Microsoft 365 o Google Workspace.
- Falso enlace de DocuSign, SharePoint, Dropbox o Google Drive que lleva a una página de inicio de sesión copiada.
- Solicitud de cambio de IBAN enviada al departamento contable, con tono creíble e historico de factura.
- Código QR impreso o enviado por correo electrónico, que elude parte del análisis de los enlaces.
- Llamada de voz que imita a un proveedor informático, seguida de un correo electrónico de confirmación trampa.
Cifras 2026: volúmenes, canales y señales que conviene tener en cuenta
Las cifras dan un orden de magnitud útil para arbitrar un presupuesto. Sobre todo muestran que la amenaza no es marginal y que se desplaza hacia los enlaces, las cuentas cloud y la manipulación humana.
| Fuente | Periodo | Observación publicada | Lectura para una pyme |
|---|---|---|---|
| APWG | T1 2026 | 971 181 ataques de phishing, +13,8 % frente a T4 2025 | Aumento claro del volumen, necesidad de procedimientos repetibles |
| Microsoft Threat Intelligence | Enero-marzo 2026 | Aproximadamente 8,3 mil millones de amenazas de phishing por correo electrónico detectadas | Los filtros de correo electrónico son indispensables, pero no suficientes |
| Microsoft | T1 2026 | 78 % de las amenazas de correo electrónico basadas en enlaces | Formar sobre las páginas de inicio de sesión y no solo sobre los archivos adjuntos |
| Microsoft | T1 2026 | El phishing por códigos QR se ha más que duplicado durante el trimestre | Prohibir las validaciones sensibles mediante código QR no verificado |
| Google/Mandiant M-Trends 2026 | Investigaciones 2025 | El voice phishing alcanza el 11 % de los vectores iniciales observados | Prever una verificación hors por correo electrónico para las solicitudes urgentes |
Estos datos no significan que todo correo electrónico sea sospechoso. Muestran que el canal del correo electrónico sigue siendo el punto de entrada dominante, mientras que la voz y los códigos QR ganan terreno. Por tanto, la reacción adecuada no es bloquear la actividad, sino definir qué no debe validarse nunca con un simple mensaje.
Presupuesto y plazos: ¿cuánto cuesta una defensa realista?
Para una pyme francesa, un primer nivel serio no cuesta forcément necesariamente decenas de miles de euros. Sinceramente, con menos de 20 collaborateurs, a menudo es mejor empezar por una configuración correcta de las cuentas, la autenticación multifororial y una breve formación, en lugar de una herramienta compleja mal aprovechada.
Calcule, según los proveedores, entre 1 500 y 4 000 euros sin IVA para una auditoría ligera del correo, DNS y buenas prácticas en una pequeña estructura: SPF, DKIM y DMARC (mecanismos que demuestran que un correo electrónico procede efectivamente de su dominio), derechos de administrador, reglas de transferencia, copias de seguridad y registros. El plazo realista es de una a tres semanas si los accesos están disponibles.
La formación contra el phishing suele costar entre 20 y 60 euros sin IVA por usuario y por año para una plataforma de concienciación, a veces más con campañas personalizadas. Para una sesión impartida por un experto, prevea más bien entre unos cientos y unos miles de euros según el número de equipos y el nivel de simulación.
En Microsoft 365, Google Workspace, Cloudflare, OVHcloud o un alojamiento aplicativo, las opciones de seguridad ya existen en parte. El coste oculto proviene de la configuración. Un MFA (autenticación multifactororial, por ejemplo una aplicación móvil además de la contraseña) activado sin procedimiento de recuperación puede bloquear a un directivo desplazado. En cambio, un MFA que puede eludirse por SMS protege peor los accesos sensibles.
Los proyectos web o móviles deben integrar este riesgo desde la concepción. Un formulario de contacto, un espacio cliente o una aplicación interna puede convertirse en un punto de apoyo para defraudadores. Si maneja datos personales, el RGPD también impone reducir los riesgos de acceso no autorizado y documentar sus medidas de seguridad.
Las protecciones que funcionan y sus límites
La defensa eficaz combina técnica y procedimiento. Un filtro de correo moderno detiene parte del ruido, pero no siempre sabrá juzgar si “¿Puede validar esta transferencia antes de las 16 h?” es legítimo. El control humano sigue siendo útil, siempre que esté enmarcado.
DMARC en modo de rechazo, SPF y DKIM reducen la suplantación de su dominio. No es glamuroso, pero es una de las mejores relacorts coste/beneficio. Muchas empresas siguen dejando DMARC en simple observación, lo que informa sin bloquear.
La segunda protección es organizativa: toda solicitud de cambio de IBAN, de pago urgente, de incorporación de administrador o de export de datos debe confirmarse por un canal separado. Una llamada a un número ya conocido, no al que figura en el correo electrónico. Simple. Muy eficaz.
La tercera capa se refiere a las cuentas. Implemente el MFA, limite los administradores, supervise las transferencias automáticas de correos y desactive las cuentas dormants. El software malicioso sigue siendo un riesgo complementario; esta síntesis sobre las grandes familias de malware que hay que conocer ayuda a distinguir phishing, ransomware y spyware.
Un caso en el que la solución evidente es mala: comprar una plateforma de simulación sofisticada sin haber corrigido las bases DNS y los derechos de acceso. Obtendrá bonitos cuadros de bord, pero un atacante siempre podrá suplantar un dominio vecino o explotar una cuenta antigua. Con ese presupuesto, a veces es mejor financiar dos días de refuerzo técnico y un procedimiento contable claro.
Por último, la IA también puede ayudar a la defensa. Herramientas de detección analizan el tono, la URL, el dominio, el historial del remitente o las anomalías comportamentales. Pero cuidado con los datos enviados a estas herramientas: el uso de ChatGPT, Claude u otros asistentes debe seguir siendo conforme con sus normas internas y con la AI Act europea, tema tratado en esta guía sobre la conformidad de IA para las pymes.
Cómo decidir qué hacer ahora
Empiece por los activos más expuestos: mensajería, cuentas de administrador, banco, CRM, alojamiento, herramientas SaaS. Una cartografía de media jornada suele bastar para hacer aparecer las dependencias peligrosas. ¿Quién puede restablecer una contraseña? ¿Quién valida una transferencia? ¿Quién recibe las alertas de seguridad?
En los proyectos que llevamos a cabo, vemos a menudo la misma debilidad: la empresa ha comprado buenas herramientas, pero nadie ha formalizado las decisiones sensibles. El phishing con IA explota precisamente estas zonas grises. Un proceso corto, conocido y probado vale más que un documento de 40 páginas que nadie lee.
Fije después un nivel objetivo realista. Para una microempresa, esto puede ser MFA en todas partes, copias de seguridad probadas, DMARC configurado, verificación telefónica de los pagos y formación anual. Para una pyme con datos de clientes, añada supervisión, registro de eventos, revisión trimestral de los accesos y escenario de crisis.
Delimitar este tipo de riesgo de antemano evita la mayoría de las malas sorpresas: desviación presupuestaria, bloqueo de acceso, elección de una herramienta demasiado pesada o falsa sensación de seguridad. Una mirada externa ayuda sobre todo a priorrizar, porque no todas las protecciones valen lo mismo en el mismo grado de madurez.
Preguntas frecuentes sobre el phishing con IA
¿Puede realmente el phishing con IA eludir la autenticación de doble factor?
A veces puede eludirlo indirectamente, por ejemplo robando una cookie de sesión o empujando al usuario a validar una conexión fraudulenta. El MFA sigue siendo útil, pero debe complementarse con la supervisión de las conexiones y reglas de validación.
¿Cómo reconocer un correo electrónico de phishing generado por IA?
Hay que buscar menos los errores que las incoherencias: urgencia inusual, enlace a un dominio parecido pero distinto, petición hors de procedimiento, código QR inesperado, cambio de IBAN. La mejor prueba sigue siendo la verificación por un canal ya conocido.
¿Debe una pyme comprar una herramienta antiphishing específica?
No siempre al principio. Si MFA, SPF, DKIM, DMARC, las copias de seguridad y los procedimientos de pago no están implantados, empiece por ahí. Una herramienta específica pasa a ser pertinente cuando estas bases están dominadas.
¿Cuánto tiempo se necesita para proteger el correo electrónico de una empresa?
Para una estructura pequeña, una primera puesta al día suele llevar de una a tres semanas. Los casos más complejos, con varios dominios, cuentas antiguas y numerosas herramientas SaaS, requieren más bien un mes o más.