El phishing sigue siendo una de las amenazas más rentables para los atacantes y una de las más peligrosas para las empresas. No solo porque roba credenciales o instala malware, sino porque suele ser la puerta de entrada a fraudes de pago, secuestro de cuentas, ransomware, robo de datos y compromisos mucho más amplios. El informe de ENISA sobre el panorama de amenazas 2025 indica que el phishing fue el método principal de intrusión inicial en el 60% de los casos observados, mientras que Microsoft reporta que el 28% de las brechas investigadas comenzó con phishing o ingeniería social.
Lo que cambió en 2026 es la calidad del engaño. Microsoft señala que el phishing impulsado por IA es tres veces más efectivo que las campañas tradicionales, y ENISA destaca que más del 80% de la actividad global observada de ingeniería social ya estaba apoyada por IA a inicios de 2025. Eso significa correos mejor escritos, campañas más personalizadas, clonación de estilo comunicacional, mensajes creíbles a escala y técnicas emergentes como quishing y ClickFix.
Por eso defenderse ya no consiste solo en pedirle al personal que “tenga cuidado con los correos raros”. Hace falta una estrategia por capas que combine identidad, filtros, procesos, capacitación, monitoreo y capacidad de respuesta. A continuación, te explico cómo implementarla paso a paso.
1. Entiende cómo funciona el phishing avanzado
El primer paso para defenderse bien es dejar de imaginar el phishing como un correo torpe con faltas de ortografía. El phishing moderno puede llegar por email, SMS, llamadas, WhatsApp, plataformas de colaboración, calendarios, páginas falsas de autenticación, códigos QR o incluso instrucciones para que el usuario ejecute comandos por su cuenta. ENISA advierte precisamente sobre el avance de técnicas como Phishing-as-a-Service, quishing y ClickFix, que industrializan el engaño y reducen la barrera de entrada para los atacantes.
Microsoft también señala que los actores de amenaza están incorporando nuevos métodos de acceso, incluido el device code phishing, y que los atacantes usan IA para escalar campañas de ingeniería social y automatizar intrusiones. Esto implica que el phishing ya no es solo una fase inicial artesanal, sino parte de una economía criminal profesionalizada.
La lección es simple: si la empresa sigue entrenando a su personal para detectar solo mensajes “sospechosos” de la vieja escuela, está preparándose para un problema antiguo, no para el actual. Hoy el phishing puede verse legítimo, sonar urgente y adaptarse al contexto real del negocio.
2. Protege primero la identidad
Si el phishing busca principalmente robar acceso, entonces la identidad debe ser la primera línea de defensa. Microsoft insiste en que la identidad sigue siendo el principal vector de ataque y recomienda reforzarla como prioridad estratégica, especialmente frente a campañas automatizadas, brokers de acceso e infostealers que comercializan credenciales robadas.
La medida más importante aquí es la autenticación multifactor. ENISA recomienda implementar MFA para contrarrestar el mal uso de credenciales, y Microsoft subraya la necesidad de usar MFA resistente al phishing en todas las cuentas, incluidas las administrativas.
No basta con activarla solo en algunos servicios. Una empresa debería priorizar MFA en correo corporativo, VPN, herramientas de colaboración, portales de administración, plataformas financieras y cualquier sistema crítico. Además, conviene revisar cuentas privilegiadas, eliminar accesos heredados y aplicar principio de mínimo privilegio para que una sola cuenta comprometida no abra toda la organización.
3. Refuerza el correo y los canales de entrada
Aunque el phishing ya no vive solo en el email, el correo sigue siendo un canal central. Microsoft procesa miles de millones de señales y describe el uso de IA defensiva, automatización y prácticas secure-by-default para bloquear amenazas a gran escala, precisamente porque el volumen y la velocidad del phishing ya superan lo que puede manejarse manualmente.
Eso obliga a fortalecer la seguridad del correo con múltiples capas: filtros antiphishing, autenticación de dominio, protección de enlaces, análisis de adjuntos, bloqueo de mensajes desde remitentes sospechosos y políticas para reducir suplantación de marca. Ninguna capa es perfecta por sí sola, pero juntas reducen mucho la exposición.
También conviene ampliar la mirada a otros canales. ENISA destaca el crecimiento del quishing y de campañas que se apoyan en ejecución manual de comandos. Por eso la defensa debe incluir políticas para QR en entornos corporativos, advertencias en plataformas internas, controles en navegación y validación de enlaces fuera del correo tradicional.
4. Establece reglas claras de verificación
El phishing avanzado se aprovecha de la urgencia, la autoridad y la rutina. Por eso no basta con enseñar a “sospechar”: hace falta crear reglas simples de verificación que la empresa pueda aplicar siempre, incluso bajo presión.
Un ejemplo útil es este:
- Ningún cambio de cuenta bancaria se valida solo por correo.
- Ninguna transferencia urgente se aprueba sin confirmación por un segundo canal.
- Ningún usuario introduce credenciales desde un enlace recibido sin validar dominio y contexto.
- Ningún administrador ejecuta comandos sugeridos por una ventana emergente o un supuesto soporte sin verificación formal.
Estas reglas importan porque muchos ataques no triunfan por sofisticación técnica, sino porque explotan una decisión apresurada. ENISA subraya que el phishing se usa para robar credenciales, secuestrar sesiones, desplegar cargas maliciosas o ejecutar comandos; una política de verificación bien diseñada corta esa cadena antes de que avance.
5. Capacita por rol, no de forma genérica
La formación anual y genérica ya no alcanza. Si el phishing con IA es más convincente y los atacantes personalizan mejor sus campañas, la capacitación también debe ser más específica.
Las áreas de finanzas deben entrenarse contra fraude de facturas, cambios de cuenta y falsas urgencias ejecutivas. Recursos humanos necesita atención especial sobre CVs maliciosos, robo de datos personales y suplantación de candidatos o exempleados. El equipo directivo debe prepararse para BEC, deepfakes de voz y mensajes que apelan a autoridad, confidencialidad o presión de tiempo.
ENISA remarca que la formación de usuarios sigue siendo una medida esencial de resiliencia, y Microsoft deja claro que la escala de las amenazas exige combinar tecnología con cultura y coordinación. La mejor capacitación no busca convertir a todos en analistas; busca que cada área sepa reconocer las trampas más probables en su trabajo real.
6. Simula ataques y mide resultados
Una empresa no sabe si su gente está preparada hasta que lo prueba. Las simulaciones de phishing permiten medir qué tan bien responden distintas áreas, qué mensajes engañan más, quién necesita refuerzo y qué patrones de riesgo persisten con el tiempo.
Esto no debe hacerse para humillar empleados, sino para mejorar decisiones. Las simulaciones funcionan mejor cuando se integran a una cultura de aprendizaje: clics reportados, tiempos de reacción, áreas más expuestas y mejora progresiva.
Dado que ENISA observa que el phishing sigue siendo el principal punto de intrusión y que Microsoft advierte que la efectividad aumentó con IA, las pruebas internas se vuelven más valiosas que nunca. Lo que no se ejercita, no se corrige.
7. Reduce impacto con segmentación y mínimo privilegio
Aunque el objetivo es evitar que el phishing funcione, también hay que asumir que algún intento tendrá éxito. Microsoft recomienda diseñar con el principio de asumir brecha y construir continuidad, especialmente ante ataques que afectan identidad, nube e infraestructura.
Eso significa limitar el daño posible. Si una credencial cae, el atacante no debería poder moverse libremente por la empresa. Para eso sirven la segmentación de red, el mínimo privilegio, el control de cuentas administrativas, la separación entre usuarios estándar y privilegios elevados, y la revisión constante de accesos innecesarios.
En términos simples, una buena defensa contra phishing no solo intenta bloquear el engaño; también intenta evitar que una sola cuenta comprometida se convierta en una crisis generalizada.
8. Monitorea señales de compromiso
Un programa serio contra phishing necesita detección temprana. Microsoft describe que casi el 80% de sus investigaciones de respuesta a incidentes involucró recolección de datos, y que los atacantes combinan credenciales robadas, herramientas remotas y automatización para acelerar la explotación posterior.
Por eso conviene monitorear al menos estas señales:
- Inicios de sesión inusuales o desde ubicaciones anómalas.
- Múltiples intentos fallidos seguidos de acceso exitoso.
- Reglas extrañas en buzones de correo.
- Reenvíos automáticos no autorizados.
- Descargas masivas o accesos atípicos a datos.
- Uso inesperado de herramientas administrativas o remotas.
La meta es reducir el tiempo entre compromiso y descubrimiento. Muchas empresas no fallan porque el phishing fue perfecto, sino porque no detectan que una cuenta ya fue tomada hasta que el daño está hecho.
9. Prepara una respuesta rápida y repetible
Cuando un usuario cae en una campaña, cada minuto importa. ENISA insiste en combinar prevención con resiliencia, y Microsoft destaca la necesidad de procedimientos claros para responder rápido a amenazas que se mueven a gran velocidad.
Un playbook básico de respuesta a phishing debería incluir:
- Aislar o suspender la cuenta afectada.
- Forzar cambio de credenciales y revocar sesiones activas.
- Revisar MFA, reglas de correo y accesos recientes.
- Buscar mensajes similares enviados a otros usuarios.
- Verificar si hubo exfiltración, fraude o cambios no autorizados.
- Documentar el incidente y escalar según impacto.
Microsoft incluso destaca que los agentes de IA defensiva pueden actuar en segundos, suspendiendo cuentas comprometidas y activando reseteos cuando múltiples señales de riesgo coinciden. Aunque no todas las empresas tendrán ese nivel de automatización, sí deberían aspirar a una respuesta clara, rápida y ensayada.
10. Incluye deepfakes y fraude ejecutivo en tu modelo
El phishing avanzado ya no se limita al texto. Microsoft advierte que los deepfakes y las identidades generadas por IA están siendo usados para superar puntos de verificación y que las falsificaciones impulsadas por IA crecieron 195% a nivel global.
Eso obliga a ampliar la defensa hacia fraudes por voz, videollamadas falsas, mensajes urgentes desde supuestos ejecutivos y manipulación de identidad en procesos de aprobación. Las empresas deberían crear controles fuera de banda para decisiones sensibles, especialmente en pagos, cambios de proveedores, acceso privilegiado y transferencias de datos.
En otras palabras, protegerse del phishing avanzado también exige protegerse de la suplantación sintética. Si una organización solo piensa en correos, deja fuera una parte creciente del riesgo.
11. Convierte la defensa en programa continuo
El error final sería tratar el phishing como una campaña puntual de concientización. Tanto Microsoft como ENISA muestran que la amenaza es persistente, industrializada y cada vez más automatizada.
Por eso la defensa debe convertirse en programa con métricas simples y seguimiento constante. Algunos indicadores útiles son: porcentaje de cuentas con MFA, porcentaje de usuarios que reportan correos sospechosos, tiempo de respuesta ante cuentas comprometidas, número de accesos privilegiados revisados y resultados de simulaciones por área.
Proteger una empresa del phishing avanzado no requiere una solución mágica. Requiere disciplina. Primero, fortalecer identidad. Segundo, reforzar canales de entrada. Tercero, entrenar a las personas correctas. Cuarto, diseñar verificación y respuesta. Quinto, limitar impacto cuando algo falle. En un escenario donde el phishing ya es más convincente, más escalable y más rentable para el atacante, la empresa que se protege mejor no es la que confía más en la intuición de su gente, sino la que construye un sistema donde el engaño tiene menos espacio para prosperar.