Las reglas para phishing han cambiado radicalmente. Durante décadas, los equipos de seguridad enseñaban a los empleados a identificar errores gramaticales, formatos sospechosos y saludos genéricos como señales reveladoras de correos electrónicos maliciosos. Ahora, esas señales ya no sirven. La inteligencia artificial les ha dado a los atacantes la capacidad de crear mensajes impecables y súper personalizados que se salen de la intuición humana y los controles de seguridad tradicionales.
Según una investigación de IBM X-Force, los atacantes ahora pueden generar phishing en solo cinco minutos utilizando cinco indicaciones, un proceso que antes requería 16 horas de trabajo humano. El resultado es un panorama de amenazas en el que phishing generado por IA phishing tasas de clics del 54 %, en comparación con el 12 % de las campañas tradicionales, según una investigación de 2025 de Brightside AI. Para los analistas de seguridad, los responsables de SOC y los CISO, comprender este cambio no es opcional, sino esencial para proteger a las empresas modernas contra el vector de ataque más prevalente de 2026.
phishing mediante IA phishing una forma de ataque de ingeniería social que utiliza tecnologías de inteligencia artificial —incluidos grandes modelos lingüísticos, generación de deepfakes y sistemas de automatización— para crear phishing personalizadas y muy convincentes a gran escala. A diferencia phishing tradicional, phishing se basa en plantillas producidas en masa con defectos evidentes, phishing con IA phishing mensajes gramaticalmente perfectos y contextualmente relevantes que se adaptan a cada objetivo individual basándose en datos personales y profesionales recopilados.
La amenaza ha alcanzado un punto crítico. Según el informe «2025 Phishing Trends Report» (Tendencias en Phishing de phishing para 2025) de KnowBe4, el 82,6 % de phishing contienen ahora contenido generado por IA, lo que representa un aumento del 1265 % en los ataques relacionados con la IA desde 2023. El informe «Perspectivas globales sobre ciberseguridad 2026» del Foro Económico Mundial elevó el fraude cibernético, impulsado principalmente por phishing con IA phishing a la primera preocupación de las empresas, superando por primera vez al ransomware.
Lo que hace que phishing con IA sea phishing diferente es la eliminación de las señales de detección tradicionales. Los programas de concienciación sobre seguridad llevan mucho tiempo enseñando a los empleados a identificar phishing errores ortográficos, frases incómodas y saludos genéricos. La IA elimina por completo estos indicadores y añade capacidades que los humanos no pueden igualar a gran escala: personalización en tiempo real utilizando datos extraídos de las redes sociales, adaptación dinámica del contenido que burla la detección basada en firmas y la capacidad de generar miles de variantes únicas a partir de una sola campaña.
El equipo X-Force de IBM demostró este cambio mediante su «regla 5/5», que muestra que cinco indicaciones en cinco minutos pueden generar phishing que iguala o supera en eficacia a las campañas creadas por humanos. Esto supone una reducción del 95 % en los costes para los atacantes, al tiempo que se mantienen las mismas tasas de éxito, lo que cambia radicalmente la economía de phishing .
El contraste entre phishing tradicional y phishing mejorado con IA phishing por qué los equipos de seguridad deben actualizar sus estrategias defensivas.
Tabla 1: Comparación de capacidades entre phishing tradicionales y los mejorados con IA.
phishing con IA siguen un ciclo de vida estructurado que aprovecha la inteligencia artificial en cada etapa. Comprender este proceso ayuda a los equipos de seguridad a identificar puntos de intervención y desarrollar contramedidas eficaces.
phishing típico phishing con IA avanza a través de seis fases distintas, cada una de ellas potenciada por capacidades de inteligencia artificial.
Según estudios del sector, todo este ciclo puede completarse en 14 minutos, desde el robo de credenciales hasta la explotación activa, mucho más rápido de lo que la mayoría de los equipos de seguridad pueden detectar y responder.
Ha surgido un ecosistema cada vez mayor de herramientas de IA maliciosas diseñadas específicamente para apoyar phishing . Estas herramientas eliminan las barreras técnicas que antes limitaban los ataques sofisticados a los actores maliciosos avanzados.
WormGPT funciona como una alternativa sin censura a los modelos lingüísticos legítimos, diseñada específicamente para la generación de contenido malicioso. Las suscripciones oscilan entre 60 dólares al mes y 550 dólares al año, con opciones de personalización avanzadas que alcanzan los 5000 dólares para la variante v2. La herramienta ha dado lugar a derivados como Keanu-WormGPT (basado en Grok de xAI) y xzin0vich-WormGPT (basado en Mistral).
FraudGPT ofrece capacidades similares por 200 dólares al mes o 1700 dólares al año, posicionándose hacia los estafadores novatos con requisitos técnicos mínimos. Ambas herramientas se distribuyen a través de canales de Telegram y foros de la web oscura, creando un ecosistema phishing que refleja los modelos de negocio legítimos de SaaS.
Más allá de las herramientas específicas, los atacantes utilizan cada vez más técnicas de jailbreak contra los modelos más habituales. El análisis de Netcraft sobre la plataforma phishing Darcula documentó cómo la integración de la IA permite a los operadores crear phishing en cualquier idioma, dirigidos a cualquier marca, con un esfuerzo mínimo.
La aparición del «vibe hacking» —una filosofía según la cual los atacantes prescinden de dominar las habilidades tradicionales en favor de atajos de IA— ha democratizado aún más los ataques sofisticados. Este cambio significa que las organizaciones se enfrentan a amenazas procedentes de un grupo de adversarios mucho más amplio, que ahora puede llevar a cabo campañas que antes requerían una gran experiencia.
La mejora de la IA ha creado distintas categorías de ataques, cada una de las cuales aprovecha diferentes señales de confianza y canales de comunicación. La cobertura moderna de la superficie de ataque debe tener en cuenta todas las variantes.
Tabla 2: Tipos phishing con IA y sus características únicas
La tecnología deepfake ha avanzado desde la detección de imágenes falsas hasta permitir la suplantación de identidad en vídeo en tiempo real durante llamadas en directo. El caso más significativo documentado ocurrió en la empresa multinacional de ingeniería Arup a principios de 2024. Un empleado del departamento financiero recibió un mensaje de lo que parecía ser el director financiero con sede en el Reino Unido solicitando su participación en una discusión confidencial sobre una transacción. Durante la videollamada, aparecieron en pantalla varios altos ejecutivos, todos ellos deepfakes generados por IA a partir de imágenes disponibles públicamente. El empleado transfirió 25 millones de dólares antes de que se descubriera el fraude.
Este incidente demostró que las videollamadas, consideradas históricamente un método de autenticación fiable, ya no son seguras sin una verificación adicional. Los incidentes relacionados con deepfakes aumentaron un 680 % interanual en 2025, y solo en el primer trimestre de 2025 se registraron 179 incidentes, un 19 % más que en todo 2024, según los datos de seguimiento del sector.
La clonación de voz impulsada por la inteligencia artificial ha reducido drásticamente la barrera para lograr una imitación convincente de la voz. Los sistemas modernos solo necesitan cinco minutos de audio grabado —que se puede obtener fácilmente de conferencias telefónicas, presentaciones en congresos o redes sociales— para generar una réplica convincente de cualquier voz.
Los ataques de vishing que aprovechan esta tecnología aumentaron un 442 % en 2025, según un estudio de DeepStrike. Uno de los primeros casos documentados consistió en que los atacantes replicaron la voz de un director ejecutivo alemán con suficiente precisión como para engañar a un ejecutivo británico y que este transfiriera 243 000 dólares. La víctima informó de que la voz sintetizada captaba con precisión el acento, el tono y los patrones de habla del ejecutivo.
La combinación de la clonación de voz con guiones generados por IA da lugar a ataques de vishing que parecen totalmente auténticos. Los atacantes pueden mantener conversaciones en tiempo real, respondiendo con naturalidad a preguntas y objeciones mientras mantienen la identidad suplantada.
phishing mediante códigos QR phishing quishing phishing se ha convertido en un importante vector de ataque, ya que los códigos QR eluden el escaneo tradicional de enlaces de correo electrónico. Según una investigación de Kaspersky, los códigos QR maliciosos se multiplicaron por cinco entre agosto y noviembre de 2025, con 1,7 millones de códigos maliciosos únicos detectados.
Aproximadamente el 25 % del phishing por correo electrónico utiliza phishing códigos QR como mecanismo de ataque principal, y el 89,3 % de los incidentes tiene como objetivo el robo de credenciales. Los códigos suelen dirigir a las víctimas a réplicas convincentes de páginas de inicio de sesión de Microsoft 365, VPN corporativas o aplicaciones financieras.
La IA mejora los ataques de quishing mediante la optimización de la ubicación, la generación de contexto y la personalización de la página de destino. La segmentación geográfica muestra que el 76 % de phishing con códigos QR se centran en organizaciones estadounidenses, principalmente en las credenciales de Microsoft 365, con el fin de detectar amenazas de identidad y eludir las respuestas.
El impacto financiero y operativo del phishing con IA phishing alcanzado niveles que amenazan a las empresas. Las organizaciones de todos los sectores se enfrentan a pérdidas cada vez mayores, ya que la sofisticación de los ataques supera las capacidades defensivas.
Los casos documentados ilustran patrones de ataque que los equipos de seguridad deben reconocer y para los que deben estar preparados.
El incidente de deepfake de Arup (25 millones de dólares, 2024) demostró la sofisticación de los ataques multicanal. Los atacantes combinaron el contacto inicial por correo electrónico con un vídeo deepfake en tiempo real para crear un ataque que eludió todos los métodos de verificación tradicionales. El caso puso de relieve que incluso las organizaciones conscientes de la seguridad en sectores sofisticados siguen siendo vulnerables cuando los atacantes aprovechan la IA para explotar la confianza en la comunicación por vídeo.
El clon de voz del sector energético alemán (243 000 dólares, documentado por primera vez en 2019, técnica que se extendió entre 2024 y 2025) estableció la voz como un factor de autenticación poco fiable. El ataque tuvo éxito porque las organizaciones solían confiar en la verificación por voz para las solicitudes confidenciales.
La prueba A/B de IBM Healthcare (2024) proporcionó datos de investigación controlados sobre phishing con IA. Las pruebas realizadas con más de 800 empleados del sector sanitario demostraron que phishing generado por IA phishing cinco minutos para crearse, frente a las 16 horas que necesitaban los equipos humanos, y que conseguía tasas de clics comparables. Esta investigación demostró que phishing con IA phishing la barrera de la rentabilidad que antes limitaba phishing sofisticado spear phishing objetivos de alto valor.
Las diferentes industrias se enfrentan a distintos perfiles de riesgo en función de la sensibilidad de los datos, la exposición a la normativa y las preferencias de los atacantes.
Tabla 3: Matriz de riesgos del sector para phishing relacionadas con la IA
Según el informe «Cost of a Data Breach Report 2024» de IBM, el sector sanitario sigue siendo el más afectado por los ataques informáticos por decimocuarto año consecutivo. La tasa de vulnerabilidad del sector, que se sitúa en el 41,9 %, refleja la combinación de datos de gran valor, entornos complejos y una plantilla con distintos niveles de concienciación sobre la seguridad.
Los servicios financieros se enfrentan a phishing mediante IA especialmente grave, ya que el 60 % de las instituciones han informado de ataques mejorados con IA en el último año y se ha producido un aumento del 400 % en los intentos de fraude impulsados por la IA. El informe IC3 2024 del FBI documentó pérdidas por valor de 2770 millones de dólares en BEC a partir de 21 442 denuncias, y según la investigación de VIPRE Security Group, el 40 % de los correos electrónicos de BEC ahora se generan mediante IA.
En general, las perspectivas para 2026 del Foro Económico Mundial revelaron que el 73 % de las organizaciones se vieron afectadas por el fraude cibernético en 2025, lo que consolidó phishing mejorado con IA phishing el vector de amenaza dominante para los equipos de seguridad empresarial.
Una defensa eficaz contra phishing basado en IA phishing abandonar los métodos de detección obsoletos e implementar controles que aborden las características únicas de los ataques generados por IA.
Cuando las señales tradicionales fallan, los equipos de seguridad deben centrarse en las anomalías de comportamiento y las irregularidades contextuales.
Desviaciones en los patrones de comunicación:
Indicadores técnicos:
Señales de alerta conductuales:
Según un estudio de DeepStrike, el 68 % de los analistas de amenazas cibernéticas afirman que phishing generado por IA phishing más difícil de detectar en 2025 que en años anteriores. Este hallazgo subraya la necesidad de pasar de la inspección de contenidos al análisis del comportamiento para la detección.
La formación en materia de seguridad debe evolucionar más allá de los ejercicios anuales de cumplimiento normativo para convertirse en programas continuos y adaptables que estén a la altura de la sofisticación de los atacantes.
Requisitos de formación modernos:
El marco de defensa de 5 puntos de IBM X-Force hace hincapié en que el entrenamiento en detección basado en la gramática es ahora contraproducente, ya que crea una falsa confianza y pasa por alto ataques sofisticados. En su lugar, el entrenamiento debe hacer hincapié en los comportamientos de verificación: protocolos de devolución de llamada, confirmación fuera de banda y escepticismo saludable hacia cualquier solicitud inusual, independientemente de lo legítima que parezca.
Cuando se producen phishing con IA, los procedimientos de respuesta a incidentes deben tener en cuenta los indicadores específicos del ataque y la posible coordinación multicanal.
Fase de detección y triaje:
Fase de contención:
Fase de recuperación:
Las organizaciones que implementan capacidades de detección y respuesta en red obtienen una visibilidad de la actividad posterior al compromiso que la seguridad del correo electrónico por sí sola no puede proporcionar, lo que permite identificar más rápidamente los movimientos laterales desde cuentas phishing.
El cambio de la detección basada en el contenido a la detección basada en el comportamiento requiere actualizar los controles defensivos en múltiples capas.
Tabla 4: Marco de defensa que compara los enfoques tradicionales y los de la era de la IA.
La autenticación multifactorial (MFA) Phishing representa el control individual más eficaz. Los autenticadores FIDO2 y WebAuthn se vinculan criptográficamente a dominios específicos, lo que evita el robo de credenciales incluso cuando los usuarios interactúan con phishing convincentes. Las recomendaciones de la Operación Winter SHIELD del FBI hacen especial hincapié en este control como esencial para las organizaciones que se enfrentan a sofisticadas phishing .
Comprender cómo phishing basado en IA a los marcos establecidos ayuda a los equipos de seguridad a comunicar los riesgos, justificar las inversiones y alinear la ingeniería de detección con los estándares del sector.
phishing mejoradas con IA se alinean con múltiples MITRE ATT&CK , lo que proporciona un enfoque estructurado para el modelado de amenazas y el desarrollo de la detección.
Tabla 5: MITRE ATT&CK entre MITRE ATT&CK y phishing con IA
El Marco de Ciberseguridad 2.0 del NIST aborda phishing IA phishing múltiples funciones, con especial énfasis en PROTECT (PR.AT para la formación en materia de concienciación, PR.AA para el control de acceso) y DETECT (DE.CM para la supervisión continua, DE.AE para el análisis de eventos adversos). Las organizaciones sujetas a requisitos de cumplimiento deben asignar sus phishing mediante IA a estas categorías del marco.
Los contextos normativos, incluyendo la notificación de infracciones del RGPD (plazo de 72 horas), las normas de seguridad de la HIPAA y los requisitos de la PCI DSS 4.0, tienen implicaciones para phishing mediante IA. El informe Phishing mediante IA de HHS HC3 ofrece orientación específica para las organizaciones sanitarias que se enfrentan a estas amenazas.
El sector ha reconocido que la seguridad del correo electrónico tradicional no puede hacer frente a las amenazas mejoradas por la inteligencia artificial. Las arquitecturas defensivas modernas combinan múltiples enfoques de detección con posturas de seguridad centradas en la identidad.
Las soluciones de seguridad de correo electrónico nativas de IA implementan modelos de aprendizaje automático entrenados específicamente en las características del contenido generado por IA. Estas soluciones analizan patrones de comportamiento, relaciones de comunicación y anomalías en las solicitudes, en lugar de firmas de contenido. Según las perspectivas para 2026 del Foro Económico Mundial, el 77 % de las organizaciones han adoptado la IA para la defensa de la ciberseguridad, y el 52 % la implementa específicamente para phishing .
La convergencia de la detección y respuesta de red, la detección de amenazas de identidad y la seguridad del correo electrónico refleja el reconocimiento de que phishing la fase de acceso inicial de ataques más amplios. Una defensa eficaz requiere correlacionar las señales entre estos dominios para detectar tanto el phishing como la actividad posterior del atacante.
Zero trust aplicados a las comunicaciones significa que ninguna solicitud, independientemente de su origen aparente, recibe confianza implícita. Las organizaciones que implementan este enfoque requieren la verificación de todas las solicitudes confidenciales, eliminando las suposiciones de confianza que phishing de IA.
El enfoque Vectra AI para phishing basado en IA se centra en el principio de que la inspección de contenidos es una batalla perdida. Los atacantes siempre mejorarán su generación de contenidos más rápido de lo que los defensores pueden actualizar las reglas de detección.
Attack Signal Intelligence se centra, en cambio, en señales de comportamiento que persisten independientemente del contenido del mensaje. Cuando los atacantes comprometen las credenciales mediante phishing, sus acciones posteriores (reconocimiento, escalada de privilegios, movimiento lateral, acceso a datos) generan patrones detectables que el contenido generado por IA no puede enmascarar.
Este enfoque centrado en la identidad correlaciona las señales entre los planos de red, cloud e identidad para detectar ataques que la seguridad del correo electrónico por sí sola no podría detectar. En lugar de intentar detectar todos phishing , el enfoque se centra en detectar y neutralizar a los atacantes que logran eludir las defensas iniciales, un enfoque alineado con la filosofía de «asumir el compromiso», que reconoce que los atacantes sofisticados inevitablemente obtendrán acceso inicial.
phishing con IA sigue evolucionando rápidamente, con varios avances que probablemente darán forma al entorno de amenazas durante los próximos 12 a 24 meses.
phishing autónomos representan la próxima evolución más allá de los ataques actuales basados en LLM. Estos sistemas llevarán a cabo campañas de ataque completas de forma independiente: seleccionarán objetivos, generarán contenido, se adaptarán a las respuestas y cambiarán de estrategia en función de las tasas de éxito. Los primeros indicios de esta tendencia aparecen en la sofisticación de las plataformas actuales phishing.
Los ataques multimodales combinarán cada vez más el correo electrónico, la voz, el vídeo y la mensajería en campañas coordinadas. El incidente de Arup demostró este enfoque con un correo electrónico seguido de un vídeo deepfake. Es probable que los ataques futuros orquesten estos canales en tiempo real, con sistemas de IA que adapten los mensajes en todas las plataformas en función de las respuestas de las víctimas.
El compromiso de los agentes de IA representa una superficie de ataque emergente a medida que las empresas implementan sistemas de IA autónomos. Los atacantes están explorando técnicas para manipular los agentes de IA mediante la inyección de comandos y enfoques de ingeniería social adaptados a los objetivos de las máquinas. Las organizaciones que implementan agentes de IA deben anticiparse a los ataques phishing dirigidos a estos sistemas.
La evolución normativa continúa a medida que los gobiernos reconocen las amenazas potenciadas por la IA. El perfil del marco de ciberseguridad de IA del NIST (IR 8596) cierra su periodo de comentarios públicos el 30 de enero de 2026, y se espera que esté finalizado en el segundo trimestre de 2026. El marco proporcionará orientación específica sobre la defensa contra los ciberataques habilitados por la IA, incluido phishing.
Según el Foro Económico Mundial, el 94 % de los responsables de seguridad esperan que la IA influya significativamente en el panorama de la ciberseguridad en 2026. Las organizaciones deben dar prioridad a la implementación de autenticación phishing, capacidades de detección de comportamientos y programas de formación continua que estén a la altura de la sofisticación de los atacantes. La inversión en detección correlacionada con la identidad que abarque cloud de correo electrónico, redes y cloud resultará esencial a medida que los ataques se coordinen cada vez más entre los distintos canales.
phishing tradicional phishing en mensajes plantillas con errores gramaticales comunes, objetivos genéricos y distribución masiva de contenido idéntico. Estas características hacían que su detección fuera relativamente sencilla: los equipos de seguridad formaban a los empleados para que detectaran errores ortográficos, frases incómodas y formatos sospechosos como señales de alerta.
phishing con IA phishing por completo estas señales. Los grandes modelos lingüísticos generan contenido gramaticalmente perfecto y contextualmente relevante que se adapta a objetivos individuales. Según una investigación de IBM X-Force, la IA reduce la creación phishing de 16 horas a cinco minutos, al tiempo que alcanza tasas de clics del 54 %, en comparación con el 12 % de las campañas tradicionales. La reducción del 95 % en los costes significa que los atacantes ahora pueden desplegar sofisticados phishing spear phishing miles de objetivos simultáneamente, una escala que antes era imposible sin importantes recursos humanos.
Los atacantes utilizan tres enfoques principales para obtener capacidades de IA para phishing. En primer lugar, las versiones liberadas de modelos lingüísticos legítimos eluden las restricciones de contenido mediante técnicas de ingeniería de prompts que evolucionan continuamente. En segundo lugar, herramientas maliciosas diseñadas específicamente para este fin, como WormGPT (entre 60 y 550 dólares al año) y FraudGPT (200 dólares al mes), operan sin barreras éticas y se centran específicamente en casos phishing . En tercer lugar, las plataformas phishing, como Darcula, integran capacidades de IA directamente en su infraestructura.
Estas herramientas se distribuyen a través de canales de Telegram y foros de la web oscura, y suelen dirigirse a estafadores novatos con requisitos técnicos mínimos. El modelo de negocio es similar al de los SaaS legítimos (precios de suscripción, niveles de funciones y atención al cliente), lo que reduce drásticamente las barreras para los ataques sofisticados.
Sí. phishing generado por IA phishing los errores gramaticales, las inconsistencias de formato y los patrones sospechosos que detectan las pasarelas de correo electrónico tradicionales. Las investigaciones indican que el 76 % de phishing en 2024 incluían características polimórficas que adaptaban dinámicamente el contenido a cada destinatario, lo que anulaba por completo la detección basada en firmas.
Más allá de la evasión de contenidos, la IA permite ataques que se aprovechan de la confianza de formas que el escaneo de correos electrónicos no puede abordar. Las videollamadas deepfake, la clonación de voz y phishing con códigos QR eluden phishing modelos de seguridad centrados en el correo electrónico. Una defensa eficaz requiere ahora análisis de comportamiento, correlación de identidades y capacidades de detección que vayan más allá de la puerta de enlace del correo electrónico.
phishing deepfake phishing la confianza implícita que los seres humanos depositan en la comunicación por vídeo. Cuando las personas ven y oyen a alguien que reconocen, las barreras psicológicas ante comportamientos sospechosos se reducen drásticamente. El incidente de Arup en 2024 demostró esta vulnerabilidad cuando los empleados del departamento financiero transfirieron 25 millones de dólares tras participar en una videollamada en la que aparecían deepfakes generados por IA de varios ejecutivos de la empresa.
La tecnología moderna de deepfake puede funcionar en tiempo real durante videollamadas en directo, respondiendo con naturalidad a las preguntas y manteniendo una suplantación coherente a lo largo de interacciones prolongadas. La clonación de voz solo requiere cinco minutos de audio grabado para generar réplicas convincentes. Estas capacidades significan que ni la verificación de voz ni la de vídeo pueden servir como factores de autenticación fiables sin una confirmación adicional fuera de banda.
La detección debe pasar del análisis de contenido a los indicadores de comportamiento. Las señales clave incluyen anomalías en los patrones de comunicación, como solicitudes inusuales en cuanto al momento en que se realizan, solicitudes financieras fuera de contexto o urgencia incompatible con el estilo habitual del remitente. Los indicadores técnicos incluyen fallos en la autenticación del correo electrónico a pesar de un contenido convincente, discrepancias en las direcciones de respuesta y dominios registrados recientemente.
Las organizaciones deben implementar soluciones de seguridad de correo electrónico nativas de IA que analicen los patrones de comportamiento y las relaciones de comunicación en lugar de las firmas de contenido. La autenticación multifactorial (MFA) PhishingFIDO2/WebAuthn) proporciona protección incluso cuando falla la detección, vinculando criptográficamente la autenticación a dominios específicos y evitando el robo de credenciales a través de phishing convincentes.
El Marco de Ciberseguridad 2.0 del NIST abarca phishing con IA phishing las funciones PROTECT (PR.AT para la formación en materia de sensibilización, PR.AA para el control de acceso) y DETECT (DE.CM para la supervisión continua, DE.AE para el análisis de eventos adversos). MITRE ATT&CK phishing con IA a T1566 (Phishing) con la adquisición de capacidades de IA en T1588.007.
El NIST está ultimando el Perfil del Marco de Ciberseguridad de la IA (IR 8596), cuya finalización está prevista para el segundo trimestre de 2026, y que ofrece orientación específica sobre los ciberataques basados en la IA, incluido phishing. Las organizaciones sanitarias deben consultar el Phishing con IA del HHS HC3 para obtener orientación específica para el sector. Otros contextos normativos adicionales son los requisitos de notificación de infracciones del RGPD, las normas de seguridad de la HIPAA y las disposiciones de la PCI DSS 4.0.
El compromiso del correo electrónico empresarial es un tipo de ataque específico que la IA mejora significativamente, pero no son sinónimos. El BEC tradicionalmente implica suplantar la identidad de ejecutivos o socios comerciales para autorizar transacciones fraudulentas. La IA permite el BEC a una escala sin precedentes al automatizar la suplantación de identidad de ejecutivos, generar solicitudes contextualmente apropiadas y eliminar las inconsistencias gramaticales y estilísticas que antes ayudaban a identificar las comunicaciones fraudulentas.
Según una investigación de VIPRE Security Group, el 40 % de los correos electrónicos BEC ahora son generados por IA. El FBI IC3 documentó pérdidas por valor de 2770 millones de dólares en 21 442 denuncias relacionadas con BEC en 2024, lo que lo convierte en una de las aplicaciones de phishing con IA más perjudiciales desde el punto de vista financiero. Las organizaciones deben tratar el BEC mejorado con IA como una amenaza específica de alta prioridad dentro de phishing más amplia phishing con IA.