5 Min. Tiempo de lectura<\/p>\n
El correo electr\u00f3nico de spear-phishing que la semana pasada pas\u00f3 por la pasarela de correo de una empresa mediana en DACH estaba gramaticalmente impecable, contextualmente preciso y no conten\u00eda un solo marcador heur\u00edstico que Proofpoint, SpamAssassin o Microsoft Defender conocieran como sospechoso. Fue escrito por un LLM, instruido por un actor de amenazas con treinta minutos de investigaci\u00f3n sobre el rol del destinatario. La capa de detecci\u00f3n, que durante veinte a\u00f1os se ha basado en la coincidencia de patrones y la reputaci\u00f3n de URL, ya no ve este tipo de correos electr\u00f3nicos y los CISOs no necesitan escalar la actualizaci\u00f3n del filtro en 2026, sino replantear la arquitectura.<\/strong><\/p>\n 10.05.2026<\/em><\/p>\n Lo m\u00e1s importante en resumen<\/p>\n Relacionado:<\/span>Agente de IA encuentra un zero-day de Linux en una hora<\/a> \/<\/span> ITDR junto con SIEM y EDR: Arquitectura de detecci\u00f3n 2026<\/a><\/p>\n \u00bfQu\u00e9 es el phishing con IA?<\/strong> El phishing con IA es una clase de ataques de phishing en los que los contenidos (cartas, pretexto, enlaces y archivos adjuntos) son generados o reescritos por un gran modelo de lenguaje como GPT-5, Claude 4.7 o un modelo de c\u00f3digo abierto ajustado. El objetivo es evitar la detecci\u00f3n basada en patrones, que ha sido entrenada durante a\u00f1os para detectar errores de escritura, huellas de plantilla y frases sospechosas.<\/p>\n Las primeras pruebas independientes de los informes de amenazas de Mimecast, Proofpoint y Group-IB muestran un patr\u00f3n claro. Un correo electr\u00f3nico de phishing escrito a mano es detenido por perfiles est\u00e1ndar con una probabilidad del 70 al 85 por ciento, mientras que una variante reescrita por LLM del mismo correo electr\u00f3nico solo es detenida en el 15 al 35 por ciento de los casos. Esto no es un problema de ajuste, sino un problema de arquitectura, ya que los filtros simplemente no ven marcadores sospechosos.<\/p>\n Adem\u00e1s, existe una asimetr\u00eda en el lado del atacante. Un actor de amenazas puede generar cincuenta variantes del mismo pretexto con treinta minutos de investigaci\u00f3n sobre el rol del destinatario, cada una formulada de manera ligeramente diferente. Quien no lo reconoce a nivel de comportamiento, sino a nivel de patr\u00f3n, falla matem\u00e1ticamente.<\/p>\n La arquitectura de detecci\u00f3n se desplaza hacia tres capas paralelas, cada una de las cuales es necesaria pero no suficiente.<\/p>\n Capa 1: ADN del remitente<\/p>\n SPF, DKIM y DMARC siguen siendo obligatorios. Los dominios frescos, las fluctuaciones de reputaci\u00f3n y los cambios en el comportamiento del remitente son los indicadores tempranos que deben activarse inmediatamente.<\/p>\n<\/div>\n Capa 2: L\u00ednea de base de comportamiento<\/p>\n Qu\u00e9 escribe normalmente el remitente a qui\u00e9n, en qu\u00e9 tono, con qu\u00e9 archivos adjuntos. Las anomal\u00edas frente a la l\u00ednea de base individual del destinatario son la palanca de detecci\u00f3n m\u00e1s importante.<\/p>\n<\/div>\n Capa 3: Clasificaci\u00f3n LLM<\/p>\n Modelos de clasificaci\u00f3n especializados (Proofpoint, Abnormal, Microsoft Defender for Office) leen el contenido del correo electr\u00f3nico y eval\u00faan la intenci\u00f3n frente al modelo de l\u00ednea de base de comportamiento del destinatario.<\/p>\n<\/div>\n<\/div>\n La pregunta abierta en la mayor\u00eda de las configuraciones de empresas medianas no es la elecci\u00f3n de la herramienta, sino la integraci\u00f3n. Quien mide el ADN del remitente en la plataforma de correo electr\u00f3nico, la anal\u00edtica de comportamiento en el SIEM y la clasificaci\u00f3n LLM en el EDR, tiene tres dep\u00f3sitos de datos que no se comunican entre s\u00ed. Esta brecha describe exactamente el cambio de arquitectura ITDR<\/a>: Detecci\u00f3n de identidad como capa central que ve a trav\u00e9s del correo electr\u00f3nico, el endpoint y la nube.<\/p>\n En las configuraciones piloto de los \u00faltimos meses, tres perfiles avanzan a un ritmo notable. Aseguradoras y proveedores de servicios financieros que ya deben implementar los requisitos de MaRisk impulsados por BAFIN y ven la ola de phishing con inteligencia artificial como una extensi\u00f3n l\u00f3gica. Sistemas de atenci\u00f3n m\u00e9dica que est\u00e1n bajo observaci\u00f3n de auditor\u00eda externa despu\u00e9s de las filtraciones de datos de 2024 y 2025. Y proveedores de servicios de TI con clientes en el sector p\u00fablico, cuyos contratos exigen tiempos de reacci\u00f3n concretos para detectar el spear-phishing.<\/p>\n Tres perfiles m\u00e1s se mueven m\u00e1s lentamente de lo que deber\u00edan. Empresas industriales medianas cl\u00e1sicas sin cadenas de suministro relevantes para el BSI, que consideran la actualizaci\u00f3n del filtro de correo electr\u00f3nico como un tema cosm\u00e9tico. Casas familiares y propiedad de los propietarios que aparcan el tema en el proveedor de servicios de TI externo. Y departamentos de TI existentes que adoptan una estrategia exclusiva de Microsoft en configuraciones centradas en Outlook y reducen as\u00ed a una capa que tiene lagunas aisladas.<\/p>\n Los dos movimientos se encuentran en 2026 en la p\u00f3liza de seguro. Los aseguradores cibern\u00e9ticos ahora preguntan detalladamente sobre la pila de detecci\u00f3n y un cuestionario no respondido sobre la defensa contra el phishing por correo electr\u00f3nico cuesta entre 8 y 15 por ciento de la prima de la p\u00f3liza en 2026. La presi\u00f3n paralela del \u00e1rea del kernel de Linux, por ejemplo, despu\u00e9s del hallazgo de Zero Day del agente de inteligencia artificial de mayo<\/a>, solo acelera esta tendencia.<\/p>\n Quien no quiera esperar ahora tiene una capa mensurablemente mejor en un trimestre.<\/p>\n En la mayor\u00eda de los casos, no. Los filtros basados en patrones necesitan una actualizaci\u00f3n de arquitectura en an\u00e1lisis de comportamiento, que es m\u00e1s que un parche. Quien utilice Proofpoint, Mimecast o Microsoft Defender deber\u00eda activar activamente sus m\u00f3dulos de inteligencia artificial y tomarse en serio la fase de aprendizaje, de lo contrario, la segunda capa permanecer\u00e1 inactiva.<\/p>\n Sigue siendo importante, pero las expectativas deben adaptarse. Si el correo electr\u00f3nico est\u00e1 gramaticalmente correcto y contextualmente adecuado, los empleados no lo consideran phishing. El enfoque de la formaci\u00f3n en 2026 deber\u00eda estar en las anomal\u00edas de comportamiento (peticiones inusuales, urgencia, canal inusual), no en la detecci\u00f3n de errores de escritura.<\/p>\n NIS2 requiere una notificaci\u00f3n inicial dentro de las 24 horas en caso de un incidente significativo. Quien no detecte un ataque de spear-phishing exitoso hasta despu\u00e9s de varios d\u00edas porque carece de an\u00e1lisis de comportamiento, pierde el plazo de manera mec\u00e1nica. Esto es un desencadenante operativo, no solo un punto de cumplimiento.<\/p>\n Los precios de mercado para 2026 para Abnormal, Proofpoint Nexus AI y Mimecast CyberGraph se encuentran entre 4 y 9 euros por buz\u00f3n de correo electr\u00f3nico al mes en configuraciones de empresa mediana (200 a 2.000 buzones de correo electr\u00f3nico). Esto es de 9.600 a 216.000 euros al a\u00f1o, dependiendo del tama\u00f1o. Los aseguradores cibern\u00e9ticos lo tienen en cuenta en la negociaci\u00f3n de la p\u00f3liza.<\/p>\n Sobre el autor<\/p>\n Tobias Massow<\/strong> es CEO de Evernine Media GmbH y editor de las revistas MBF Media. Observa la realidad de la detecci\u00f3n a lo largo de las conversaciones sobre correo electr\u00f3nico, SOC y CISO que la revista mantiene diariamente y escribe a partir de esta observaci\u00f3n, no desde la promoci\u00f3n de herramientas.<\/p>\n<\/div>\n M\u00e1s del network de MBF Media<\/p>\n Cloudflare Containers: Cuando los Workers son demasiado peque\u00f1os<\/a><\/p>\n<\/div>\n\n
D\u00f3nde se rompe el filtro de correo cl\u00e1sico hoy en d\u00eda<\/h2>\n
Lo que realmente necesita la nueva capa de detecci\u00f3n<\/h2>\n
Qui\u00e9n mejorar\u00e1 en 2026 primero, qui\u00e9n esperar\u00e1<\/h2>\n
Plan de 90 d\u00edas para CISOs<\/h2>\n
Preguntas frecuentes<\/h2>\n
\u00bfEs suficiente actualizar la pasarela de correo electr\u00f3nico existente?<\/h3>\n
\u00bfQu\u00e9 papel juega la formaci\u00f3n del destinatario?<\/h3>\n
\u00bfC\u00f3mo se relaciona el phishing con IA con las obligaciones de notificaci\u00f3n de NIS2?<\/h3>\n
\u00bfCu\u00e1nto cuesta una capa de comportamiento en la empresa mediana?<\/h3>\n