La inteligencia artificial está transformando diversos ámbitos, y uno de los más preocupantes es cómo los delincuentes están enviando correos maliciosos. Lo que antes era sencillo de identificar, ahora se disfraza con nombres familiares, un lenguaje persuasivo y un tono que resulta… demasiado cercano. En este artículo, te explicaré cómo operan estos nuevos ataques por email, qué los distingue y qué medidas puedes tomar de inmediato para protegerte. Vamos al grano, ya que esta amenaza es real y no debe subestimarse.
Años atrás, detectar un correo malicioso era bastante fácil. Solían tener traducciones deficientes, frases incomprensibles, nombres sin relación y archivos adjuntos dudosos. Sin embargo, eso ha cambiado drásticamente.
¿Por qué los nuevos correos maliciosos son más peligrosos?
Los ataques a través del correo electrónico son cada vez más sofisticados, y no es solo una impresión; es un hecho respaldado por informes de empresas de ciberseguridad. Los emails de phishing generados por LLMs (Modelos Lingüísticos Grandes) logran una tasa de clics del 54 %, una cifra alarmante, sobre todo si consideramos que los emails de phishing tradicionales tenían una tasa de clics de aproximadamente el 12 %.
Existen herramientas como FraudGPT o DarkGPT, estudiadas por empresas como Cisco Talos, que pueden crear campañas completas para atacar a usuarios y empleados de una empresa específica. Estas IA tienen la capacidad de personalizar mensajes a gran escala y de recopilar información de filtraciones de datos y perfiles públicos, lo que les permite realizar OSINT por sí mismas para parecer auténticas.
Con esa información, un bot puede enviarte un correo que parezca provenir de tu jefe, un cliente o una empresa con la que ya has trabajado. El mensaje es claro, sin errores y con un tono amigable. Podría incluir frases como: «Aquí tienes el informe del proyecto que mencionaste en la reunión del martes», para darle mayor credibilidad al intento de estafa.
Y claro, lo abres. Porque todo parece correcto. Pero al hacer clic, has caído en la trampa: podrías haber descargado malware que roba tus contraseñas, compartido involuntariamente tus credenciales o incluso infectado tu PC con ransomware.
Cómo protegerte de estos correos personalizados
La buena noticia es que existen formas efectivas de reducir el riesgo. No se trata de volverse paranoico, sino de adoptar algunos hábitos sencillos.
Activa siempre la verificación en dos pasos
De esta manera, aunque te roben una contraseña, no podrán acceder sin tu móvil o la app de autenticación.
Revisa la dirección real del remitente, no solo el nombre.
Los atacantes pueden falsificar el nombre visible, pero no pueden ocultar el dominio por completo. Pasa el cursor sobre el nombre del remitente (o mantén presionado en el móvil) para ver la dirección completa. Presta atención a estos detalles:
- Sustituciones de caracteres: servicio@paypa1.com (un «1» en lugar de una «l»).
- Dominios engañosos: soporte.empresa@ayuda-online.com (el dominio real es ayuda-online.com, no empresa.com).
- Errores tipográficos sutiles: info@microsft.com (falta la «o»).
Presta atención al contenido del mensaje
Si hay urgencia («necesito esto ya»), amenazas sutiles («si no lo haces, puede haber consecuencias») o presión emocional, desconfía. Aunque los modelos de IA actuales son muy avanzados, a veces delatan su origen artificial mediante cambios de tono abruptos o una urgencia desmedida.
Un correo que pasa de un tono extremadamente formal a uno coloquial, o que presiona para una acción inmediata sin justificación lógica, debe ser un indicativo de alerta.
Utiliza un buen filtro antiphishing
La mayoría de los servicios de email actuales, como Gmail o Outlook, ya cuentan con barreras inteligentes. Sin embargo, puedes reforzarlas con servicios adicionales como MailWasher, ProtonMail o incluso creando reglas personalizadas si usas un cliente como Thunderbird.
Comunica a tu equipo
Si trabajas en una empresa, lo mejor es compartir ejemplos de estos correos y establecer una rutina de verificación. Una cultura de ciberseguridad compartida es invaluable frente a estos ataques sigilosos.
¿Qué hacer si ya hice clic?
Si has hecho clic en un enlace de phishing o descargado un archivo malicioso, es crucial actuar con rapidez para mitigar daños y proteger tus datos. Estos pasos están basados en protocolos de ciberseguridad ampliamente recomendados:
- Desconecta tu dispositivo de internet: Apaga el WiFi o desconecta el cable de red. Esto detiene la comunicación con posibles atacantes y evita la propagación del malware.
- Realiza una copia de seguridad offline: Guarda tus documentos importantes en un disco duro externo o memoria USB. Desconéctalo al finalizar para que no se infecte.
- Ejecuta un análisis antivirus completo: Utiliza un software actualizado y realiza un escaneo profundo del sistema sin volver a conectarte a la red.
- Cambia todas tus contraseñas: Comienza por la cuenta afectada y sigue con las de email, banca online, redes sociales y apps. Utiliza contraseñas únicas y seguras.
- Informa al departamento de IT (si trabajas en una empresa): El equipo técnico puede ayudarte a contener la amenaza, aislar redes y analizar el alcance del ataque.
- Denuncia el incidente: En España, puedes reportarlo a la Oficina de Seguridad del Internauta (OSI) o a las fuerzas de seguridad. Si el phishing suplanta a una empresa real, notifícalo también a su servicio de atención al cliente.
La rapidez es esencial: según estudios, el 68% del impacto de un ataque de phishing ocurre en las primeras 6 horas. No lo dejes para más tarde.
La IA ha cambiado las reglas del juego
La protección más eficaz se basa en tres pilares fundamentales que cualquiera puede implementar:
- Verificación sistemática: desconfía por defecto de cualquier solicitud inesperada.
- Múltiples capas de seguridad: utiliza siempre la autenticación de dos factores.
- Formación continua: mantente al tanto de las nuevas tácticas, como las que se explican en esta guía.
Solo necesitas estar alerta, adoptar buenos hábitos y, sobre todo, no confiar ciegamente en nada que no esperabas. Cuanto más preparados estemos, menos posibilidades tendrán de sorprendernos.
A continuación, puedes ver algunas excelentes opciones de correo electrónico, con protección adicional contra el phishing:
| Herramienta | Característica Destacada | Análisis de Adjuntos | Plan Gratuito | Ideal para |
|---|---|---|---|---|
| ProtonMail | Cifrado de extremo a extremo y filtros avanzados | Avanzado (con sandboxing) | Sí (con limitaciones) | Usuarios centrados en la máxima privacidad |
| MailWasher | Previsualización segura de correos en el servidor | Básico | Sí | Filtrar spam antes de que llegue a tu bandeja |
| Barracuda Sentinel | Protección basada en IA contra spear-phishing | Completo (con IA) | No (Empresarial) | Empresas y profesionales |
| Gmail / Outlook | Filtros integrados de alta eficacia | Integrado y potente | Sí | Usuarios domésticos que buscan buena protección por defecto |
Preguntas frecuentes sobre los ataques de IA en el email
¿Qué diferencia a los nuevos correos de phishing por IA de los antiguos?
¿Cómo consiguen los atacantes mi información personal para estos correos?
¿Qué debo hacer si sospecho que he recibido un email falso generado por IA?
¿Son suficientes los filtros de spam de Gmail o Outlook para protegerme?
¿Qué es la verificación en dos pasos y por qué es tan importante?
