El phishing no nació en internet. El término viene de phreaking, aquellas viejas técnicas de manipulación telefónica utilizadas hace décadas para engañar personas y sistemas. Mucho antes del correo electrónico, el atacante ya entendía algo fundamental: la tecnología más vulnerable siempre ha sido la confianza humana.
En Latinoamérica existe incluso una forma muy folclórica de describirlo: “el cazabobos”. Con Z, de cazar. Suena duro, pero refleja perfectamente la lógica detrás de estos ataques. El delincuente no siempre busca vulnerar al más débil técnicamente. Busca al más distraído, al más apresurado o al que simplemente bajó la guardia por unos segundos.
Recuerdo una campaña de concientización de un banco muy reconocido donde aparecía un conejo acompañado de una frase simple: “No seas un conejo”. Más allá del tono publicitario, el mensaje era brillante. En buena parte de nuestra cultura popular, el conejo representa a alguien fácil de engañar o atrapar. Y eso era exactamente lo que intentaban evitar: que las personas se convirtieran en presas digitales sin darse cuenta.
Puede parecer una campaña sencilla, incluso humorística, pero entendía algo que muchas organizaciones todavía no comprenden: la ciberseguridad también se comunica. Y cuando no se comunica bien, se pierde.
Porque el problema ya no vive solamente en el correo.
Ahora el atacante aparece en Teams con la voz de tu jefe. Entra a una videollamada con un rostro generado por inteligencia artificial. Escribe desde una cuenta corporativa legítima porque alguien, en algún punto de la cadena, cayó primero.
Y eso cambia las reglas del juego.
La semana pasada, varios reportes internacionales alertaron que el phishing impulsado por IA migró hacia plataformas internas de trabajo, chats corporativos, calendarios y herramientas de colaboración. El atacante ya no intenta entrar disfrazado desde afuera. Ahora parece parte del equipo.
Durante años entrenamos a las personas para detectar “lo raro”. Pero la inteligencia artificial está borrando precisamente eso. Los errores ortográficos desaparecieron. Las voces robóticas desaparecieron. Incluso la improvisación torpe del delincuente desapareció. Hoy un atacante puede estudiar durante semanas cómo redacta un ejecutivo, cómo presiona, cómo solicita una transferencia o cómo maneja una crisis, para luego replicarlo con una precisión inquietante.
Es el equivalente digital a un ladrón que ya no necesita romper la puerta porque tiene uniforme del edificio, acceso al ascensor y copia de las llaves.
Y allí aparece otra realidad que muchas empresas todavía subestiman: no se puede dejar sola esta batalla en manos del CISO. La concientización moderna necesita al equipo de comunicaciones, mercadeo, recursos humanos y liderazgo corporativo trabajando juntos. Porque esto ya no es únicamente un problema técnico. Es un problema cultural.
Por eso las organizaciones más maduras están reforzando autenticación resistente al phishing, passkeys, validaciones fuera de banda y doble verificación humana antes de mover dinero o accesos críticos. Pero incluso esas medidas tienen un límite si las personas dejan de cuestionar lo que ven y escuchan.
La próxima gran brecha probablemente no comenzará con un malware sofisticado.
Comenzará con una conversación aparentemente normal.
Rafael Núñez Aponte
CEO @MasQueSeguridad
Columnista Radar Cibernético
Caraota Digital no se hace responsable por las opiniones, calificaciones y conceptos emitidos en las columnas de opinión publicadas en este medio.