El panorama de la ciberseguridad de 2026 es más sólido que nunca con innumerables recursos de seguridad y herramientas de protección. A pesar de las sólidas defensas al alcance de cualquiera, las estafas de phishing y los ataques de suplantación de identidad comunes siguen siendo un problema constante. Lamentablemente, la realidad es que estos ataques no están desapareciendo; simplemente están evolucionando.
Si bien no podemos predecir con certeza las estadísticas futuras de este tipo de ataques, los datos de los últimos cinco años muestran tendencias similares, a pesar de los avances en las tecnologías de seguridad. En 2025, la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) informó que los correos electrónicos de phishing están asociados con más del 90% de los ciberataques exitosos. Aunque el número total de ataques de phishing ha disminuido ligeramente, su eficacia en términos de activos monetarios robados ha aumentado. [PDF]. Pero ¿por qué es así? ¿Por qué estas tácticas siguen siendo efectivas incluso con defensas elevadas?
La psicología del phishing
El phishing es un delito cibernético multifacético que ha evolucionado enormemente. Los atacantes mejoran constantemente sus técnicas con cualquier medio disponible, lo que da como resultado intrusiones más selectivas y sigilosas. No existe un indicador sólido sobre lo que garantiza que un ataque de phishing tendrá éxito. Sin embargo, una variedad de tácticas giran en torno a la misma vía común: el elemento humano.
En su artículo Threat Vector, la consultora de Palo Alto Networks, Sama Manchanda, detalla cómo los atacantes utilizan teorías psicológicas para garantizar la máxima eficacia al atacar a sus víctimas potenciales. Hay tres etapas principales:
- El cebo: Los atacantes primero investigan a las víctimas para descubrir exactamente qué las atraerá
- El gancho: Entregan información atractiva diseñada para captar la atención de la víctima.
- La captura: Una vez que la víctima participa realizando una acción (por ejemplo, haciendo clic en un enlace o ingresando credenciales), se inicia el compromiso.
Estas etapas proporcionan el modelo de cómo los atacantes explotan las emociones humanas para eludir las defensas. Los ataques más eficaces también emplean tácticas de ingeniería social. La Unidad 42 ha observado tres técnicas predominantes:
- Urgencia y miedo: Los atacantes combinan tácticas de miedo, como el robo de identidad, acciones legales o suspensión de cuentas, con extrema urgencia para provocar que las víctimas entren en pánico y hagan clic en enlaces maliciosos o revelen datos confidenciales sin considerar plenamente las consecuencias.
- Autoridad y confianza: Los atacantes se hacen pasar por figuras legítimas, como ejecutivos de empresas, personal de TI o administradores universitarios para engañar a la víctima y hacer que confíe en ellos. Estas tácticas suelen contar con la ayuda del uso de deepfakes de IA.
- Distracción: Los atacantes se aprovechan de las actitudes insensibles de los individuos hacia acciones rutinarias como hacer clic en un enlace o escanear un código QR. Cuando las personas tienen prisa o se encuentran entre tareas, los atacantes aprovechan estos momentos fugaces para atacar.
Estas tácticas demuestran cómo los atacantes han dominado los desencadenantes psicológicos necesarios para manipular a los usuarios para que entreguen sus activos. También sirven como claro recordatorio de que la tecnología por sí sola no puede prevenir estos ataques. La verdadera seguridad requiere un cambio en la mentalidad personal y un compromiso proactivo con la vigilancia digital.
Cómo el sesgo cognitivo abre la puerta
Fuera del conjunto de herramientas de un atacante, ciertos rasgos humanos inherentes en realidad pueden aumentar la vulnerabilidad de una persona. En su artículo Threat Vector, Lisa Plaggemier, directora ejecutiva de la Alianza Nacional de Seguridad Cibernética, analiza cómo el exceso de confianza y la “ilusión de control” crean puntos ciegos peligrosos.
Después de encuestar a personas de todo el mundo, Plaggemier descubrió una tendencia alarmante: una gran mayoría de personas calificaron sus habilidades de detección de phishing como casi perfectas. Esta tendencia universal a sobreestimar la propia experiencia es exactamente de lo que se aprovechan los atacantes. Cuando la confianza excede la competencia real, el riesgo de violación aumenta exponencialmente.
Los estudios de Plaggemier destacan cómo las personas priorizan su propia intuición en lugar de confiar en protocolos de seguridad probados. Al sobrevalorar los hábitos personales, los usuarios disminuyen internamente el valor de los controles técnicos fiables. Esta confianza plantea un riesgo importante porque puede anular el conocimiento intelectual de una persona al impulsarla a ignorar la lógica en favor de la autovalidación. Promueve la «mentalidad contraria» donde los humanos tienden a rechazar los mensajes educativos que contradicen su creencia en sus propias habilidades. En lugar de aprender o adaptarse a situaciones del tiempo real, adoptan una postura defensiva. Esta reacción crea un ciclo peligroso que refuerza los malos hábitos y deja lugar a concesiones.
El futuro del phishing
El avance de la IA ha alterado permanentemente el panorama del phishing al borrar las palabras mal escritas y las frases incómodas que alguna vez delataron a los atacantes. Esto, combinado con la adición de deepfakes y mimetismo de voz, ha hecho que sea casi imposible distinguir a un amigo de un fraude por los medios tradicionales. Como resultado, estos avances plantean la pregunta crítica de cómo las personas pueden mantenerse verdaderamente protegidas.
La dura verdad es que nadie está nunca 100% seguro. Los atacantes más persistentes encontrarán constantemente formas de innovar y adaptarse. Factores como el sesgo cognitivo y la “ilusión de control” nos dicen que podemos identificar con precisión los intentos de phishing, pero está claro que salirse estrictamente de la intuición es un enfoque defectuoso. Para sobrevivir al cambio de la IA, debemos dejar de confiar en el instinto y empezar a confiar en esfuerzos consistentes como:
- Mantenga una mentalidad de confianza cero: Suponga que cada solicitud no solicitada requiere verificación
- Manténgase informado: Manténgase al día con las últimas tendencias de phishing y tácticas impulsadas por IA
- Reconocer los desencadenantes psicológicos: Tenga cuidado con los mensajes diseñados para crear miedo o urgencia extrema.
- Práctica higiene cibernética: Abstenerse de hacer clic en enlaces desconocidos y mantener las credenciales seguras
El mayor consejo de la Unidad 42: haga una pausa e identifique los hechos
No importa cuán convincente parezca un mensaje o cuán urgente parezca una solicitud, deténgase y evalúe verdaderamente la situación. Tomarse un momento para verificar la fuente antes de realizar cualquier tipo de acción puede detener un ataque en seco.
La seguridad es un viaje continuo más que un destino final. Al elegir analizar la información proporcionada en lugar de sucumbir a las estrategias de un atacante, usted pasa de ser una víctima potencial a convertirse en un defensor activo de su vida digital.
