Isotipo Kymatio
Por qué Kymatio
Partners
Pedir Demo
Solicita demo
ES
Isotipo Kymatio
Por qué Kymatio
Partners
Pide una demo
Este sitio web utiliza cookies

Usamos cookies para personalizar el contenido y los anuncios, para proporcionar funciones de redes sociales y para analizar nuestro tráfico. También compartimos información sobre el uso que hace de nuestro sitio con nuestros socios de redes sociales, publicidad y análisis, quienes pueden combinarla con otra información que les haya proporcionado o que hayan recopilado al utilizar sus servicios.

AceptoAjustes
Configuración de cookies
Kymatio utiliza cookies para mejorar su experiencia. Consulta nuestro Política de privacidad para obtener más información.
Estrictamente necesario (siempre activo)
Cookies necesarias para habilitar la funcionalidad básica del sitio web.
Aceptar todas las cookiesGuardar ajustes
Cerrar
artículos
Tendencias de phishing: AI-phishing, qrishing y ataques por voz
Ciberataques

Tendencias de phishing: AI-phishing, qrishing y ataques por voz

por
Kymatio
|
July 18, 2025

Descubre las nuevas amenazas de ciberseguridad: AI-phishing, qrishing y deepfakes de voz. Aprende cómo proteger a tu empresa y cumplir con NIS2 ante ataques cada vez más sofisticados.

EN ESTE artículo
Enlace de texto
Pedir una demo

2026 marca un punto de inflexión para los responsables de ciberseguridad en entornos regulados. La entrada en vigor de la Directiva NIS2 exige a las organizaciones reguladas demostrar un enfoque proactivo, estructurado y continuo frente a las amenazas digitales. No basta con tener un firewall o impartir una formación anual: ahora es necesario acreditar medidas efectivas para reducir el riesgo humano.

Esta presión regulatoria llega en el peor momento posible. La profesionalización de los ciberatacantes, el acceso masivo a herramientas de inteligencia artificial generativa y el uso de técnicas de ingeniería social hiperpersonalizada han transformado el AI phishing en una técnica difícil de distinguir de la comunicación interna legítima. Lo que antes eran errores ortográficos y dominios sospechosos, hoy son ataques de AI phishing con correos indistinguibles de los originales, firmados por directivos reales, enviados en el momento exacto y con datos internos creíbles.

Primera línea de defensa: Ciberseguridad y factor humano

El phishing avanzado en 2026 no solo se limita al correo electrónico. Ha evolucionado en múltiples frentes, y uno de los más preocupantes es el qrishing, una técnica que explota los códigos QR como vía de entrada en eventos corporativos, oficinas e incluso materiales impresos internos. Muchas organizaciones aún no tienen protocolos claros frente a estas amenazas ni sistemas de detección en endpoints físicos.

La realidad es incómoda: mientras las organizaciones fortalecen sus firewalls, los atacantes estudian el comportamiento humano, manipulan la confianza digital y detectan brechas en procesos aparentemente seguros. La brecha no es técnica; es cultural, estructural y muchas veces invisible en las auditorías.

Una evolución más rápida que las defensas

Hoy, la velocidad de innovación de los atacantes supera la capacidad de reacción de la mayoría de las organizaciones. En particular:

  • La IA permite automatizar campañas de engaño altamente dirigidas.
  • Los QR maliciosos se infiltran en soportes físicos sin levantar sospechas.
  • Las voces sintéticas se usan para manipular a empleados desde llamadas que parecen legítimas.

Todo esto en un entorno donde, en muchas organizaciones, aún no existen políticas claras ni procesos definidos para controlar estas herramientas sobre el uso interno de herramientas generativas ni ha implementado entrenamientos específicos frente a nuevas técnicas de suplantación.

Este artículo analiza las principales tendencias de AI phishing y qrishing en 2026, para ayudarte a anticipar los riesgos, entender las técnicas más utilizadas y tomar decisiones que refuercen la resiliencia humana de tu organización.

Forma parte de nuestra serie editorial sobre gestión integral del riesgo humano digital, que también aborda la concienciación adaptativa, las simulaciones avanzadas y las mejores prácticas sectoriales. Puedes profundizar en estos aspectos en nuestra guía completa de simulación de ataques y Security Awareness 2026.

Para más contexto regulatorio, consulta también el informe 2024 de ENISA, que detalla las exigencias de NIS2 y los riesgos emergentes para infraestructuras críticas.

El auge del AI phishing: cómo la IA amplifica los ataques

El phishing siempre ha evolucionado, pero en 2026 ha dado un salto cualitativo. Las tecnologías de IA generativa han multiplicado la capacidad de los atacantes para lanzar campañas de AI phishing más precisas y eficaces para diseñar mensajes persuasivos, automatizados y adaptados al contexto interno de cada empresa. El AI phishing ya no es un riesgo emergente, sino una técnica habitual en campañas dirigidas, rentable y en expansión.

A continuación, exploramos cómo se está utilizando esta tecnología, por qué el phishing con inteligencia artificial desborda los marcos de defensa convencionales y obliga a repensar los mecanismos de detección, así como las consecuencias reales que está teniendo para empresas reguladas en Europa.

1. Emails que parecen escritos por tu equipo

Las campañas de AI phishing ya no son burdas ni fácilmente detectables. Gracias al uso de modelos de lenguaje avanzados (LLMs), los atacantes generan correos prácticamente indistinguibles de los internos: con tono corporativo, contexto adecuado y sin errores.

Estos mensajes pueden:

  • Referirse a proyectos reales o empleados específicos.
  • Imitar con precisión la forma de escribir de un directivo.
  • Usar el lenguaje interno de la organización.

La automatización permite además enviar miles de versiones adaptadas por cargo, idioma o departamento, multiplicando las tasas de clic.

Un estudio reciente de Microsoft Security confirma el uso sistemático de LLMs en campañas dirigidas a personal de finanzas y administración.

2. Ingeniería social alimentada por datos filtrados

La personalización extrema de estos ataques se apoya en información obtenida mediante:

  • Brechas anteriores (como filtraciones de correos, credenciales o listas de empleados).
  • Scraping masivo de perfiles profesionales y redes sociales.
  • Análisis de estructuras organizativas disponibles públicamente.

Esto permite adaptar el mensaje al contexto del destinatario y explotar sus rutinas, relaciones laborales o proyectos conocidos. En entornos regulados, donde la confianza interna es crítica, este nivel de realismo convierte a los empleados en blanco fácil.

3. Casos reales: fraude dirigido con IA

En 2026, ya se han documentado ataques en los que se usó phishing con inteligencia artificial para suplantar a directivos, obtener accesos privilegiados y ordenar transferencias fraudulentas.

Ejemplos recientes incluyen:

  • Un email firmado digitalmente que imitaba la redacción exacta del CFO en varias sucursales de una aseguradora.
  • Campañas dirigidas a proveedores de infraestructuras críticas con órdenes falsas de auditoría urgente.

En muchos casos, los equipos ejecutaron la orden sin validación previa adicional, por la aparente legitimidad del mensaje.

Para prepararse frente a este escenario cambiante, es clave analizar cómo evolucionan los TTPs (Tácticas, Técnicas y Procedimientos) asociados al AI phishing. En nuestra serie de análisis incidentales, profundizamos en las lecciones más recientes de respuesta y recuperación tras estos ataques. Puedes consultarlo en nuestra pieza sobre primeras lecciones forenses tras campañas recientes de phishing con IA.

Qrishing en 2026: del QR al ataque silencioso

El uso de códigos QR ha crecido en todos los entornos corporativos: desde el control de acceso en eventos hasta encuestas internas o conexión a redes Wi-Fi. Esta adopción masiva ha abierto una puerta silenciosa a nuevas amenazas. El qrishing—una forma de phishing basada en códigos QR— se consolida en 2026 como una de las técnicas más efectivas y menos detectadas por las defensas tradicionales.

El reto no es solo técnico: muchas organizaciones aún no han implementado políticas claras para gestionar estos vectores, lo que deja expuestos tanto a empleados como a visitantes.

¿Cómo funciona un ataque de qrishing?

El qrishing aprovecha la confianza implícita en un código QR impreso. A diferencia del phishing clásico por email, estos ataques se despliegan en espacios físicos: credenciales de visitante, folletos, carteles temporales o incluso tazas promocionales.

Al escanear el QR, la víctima es redirigida a:

  • Un sitio web que imita a uno legítimo (portal de login, reserva de salas, app interna).
  • Un dominio externo que descarga malware directamente en el dispositivo.
  • Una pasarela de autenticación que roba credenciales de acceso corporativo.

Todo ello sin necesidad de que el atacante esté presente.

Técnicas comunes y vectores utilizados

Los atacantes aprovechan múltiples debilidades:

  • URLs acortadas u ocultas que impiden la verificación visual previa.
  • Redirecciones invisibles que derivan a sitios maliciosos tras una primera carga neutra.
  • Falsos formularios incrustados en landings idénticas a las oficiales.
  • QRs pegados sobre señalética legítima en oficinas o ferias.

En muchos casos, ni siquiera los controles MDM (Mobile Device Management) o soluciones EDR (Endpoint Detection and Response) detectan el acceso inicial, ya que el usuario actúa desde un dispositivo personal no gestionado.

Casos reales y errores habituales

En varias organizaciones europeas se han detectado ataques de qrishing dirigidos a:

  • Visitantes de eventos corporativos, mediante kits de bienvenida manipulados.
  • Empleados en oficinas compartidas, donde los códigos QR de reserva de salas fueron sustituidos por otros maliciosos.
  • Clientes que escaneaban códigos en packaging de productos de software.

En todos los casos, las organizaciones no ejercieron control sobre los soportes, lo que facilitó el éxito de estas campañas de qrishing dirigidas a empleados y visitantes sobre los soportes físicos que mostraban los códigos y la falta de señalización que permitiera verificar su legitimidad.

Si tu organización utiliza códigos QR de forma habitual, es crucial reevaluar los procedimientos actuales. En nuestra guía especializada detallamos cómo abordar esta amenaza de forma estructurada, incluyendo medidas físicas, digitales y de concienciación. Te recomendamos consultar [nuestras recomendaciones para detectar y prevenir este tipo de ataques en entornos reales].

CISA también ha publicado recientemente una guía con buenas prácticas frente a qrishing en el entorno corporativo.

Vishing y deepfakes: cuando la voz del CEO juega en tu contra

En 2026, las tecnologías de clonación de voz ya no están reservadas a laboratorios ni a actores estatales. Con herramientas accesibles y entrenamientos mínimos, los atacantes pueden replicar la voz de un directivo a partir de fragmentos públicos, presentaciones grabadas o llamadas anteriores. El resultado: órdenes urgentes, creíbles y orquestadas con precisión, propias de ofensivas de AI vishing, altamente sofisticadas, que activan pagos, comparten credenciales o desbloquean accesos.

La autenticación basada en voz que ha sido durante mucho tiempo un atajo informal de confianza, se ha convertido en un vector crítico de ataque.

¿Qué es el fraude por voz sintética?

El vishing (“voice phishing”) se basa en engañar a una persona a través de una llamada telefónica. El uso de deepfakes de voz amplifica esta técnica permitiendo simular:

  • El tono y timbre exacto de un CEO, CFO o responsable de área.
  • Frases con patrones lingüísticos reales, sacadas de intervenciones previas.
  • Escenarios urgentes («tenemos una auditoría ahora», «necesito la transferencia ya»).

Un estudio publicado en Nature Machine Intelligence documenta cómo las voces generadas por IA pueden engañar incluso a sistemas biométricos de autenticación.

Casos reales: la voz que desbloqueó pagos millonarios

Algunas organizaciones europeas han sufrido ataques donde:

  • Un empleado de finanzas recibió una llamada del supuesto CEO solicitando un pago urgente por “motivos de auditoría”.
  • Los atacantes combinaron voz sintética con ruidos de fondo (oficina, tráfico, eco) para simular credibilidad contextual.
  • El equipo validó verbalmente la orden sin comprobaciones adicionales.

En la mayoría de los casos, no se aplicó una doble verificación entre personas —por ejemplo, confirmar la orden con otro responsable— debido a la presión de tiempo o la autoridad percibida del supuesto remitente.

¿Podemos seguir confiando en la voz?

Ya no. A partir de cierto nivel de riesgo, la verificación vocal por sí sola es inaceptable. Recomendaciones básicas:

  • Establece palabras clave internas o métodos de validación en llamadas sensibles.
  • Forma a los equipos en detectar señales de manipulación por voz o urgencias fabricadas.
  • Revisa procesos de autorización que dependan exclusivamente de interacciones verbales.

En nuestra serie sobre amenazas basadas en voz, analizamos estos escenarios con más detalle. Puedes ampliar en la pieza sobre riesgos emergentes relacionados con fraudes por voz sintética y suplantación en llamadas internas.

Principales estadísticas y sectores más afectados en 2026

Las cifras de 2026 confirman lo que muchos equipos de ciberseguridad ya intuían: el phishing potenciado por IA y las variantes como el qrishing están impactando de forma desigual, pero sostenida, en sectores críticos. Con NIS2 exigiendo mayor trazabilidad y respuesta ante incidentes, entender los patrones por industria se vuelve imprescindible para priorizar recursos y reforzar defensas.

A continuación, repasamos los datos más relevantes recogidos en los informes sectoriales y de ciberinteligencia más recientes.

Sectores más atacados: banca, salud y energía lideran el ranking

Según el Data Breach Investigations Report (DBIR) 2026 de Verizon, estos son los sectores más afectados por intentos de AI phishing y variantes como el qrishing, según los datos de 2026:

  • Banca y seguros → 38% de las campañas detectadas.
  • Salud y pharma → 21%, con foco en personal administrativo.
  • Energía e infraestructuras críticas → 17%, especialmente en entornos industriales.
  • Administración pública → 12%, con repunte en procesos de contratación y becas.
  • Legal y consultoría → 8%, aprovechando la sensibilidad de documentos intercambiados.

Estas cifras confirman la orientación cada vez más vertical del phishing avanzado, adaptando mensajes y tácticas al lenguaje y operativa de cada sector.

Intentos sufridos y tiempo de detección

Un análisis transversal en organizaciones europeas muestra que:

  • 7 de cada 10 empresas reguladas han identificado al menos un intento de qrishing o phishing potenciado por IA en los últimos 12 meses.
  • Las organizaciones tardan una media de 28 días en detectar un ataque exitoso, especialmente cuando se produce desde dispositivos no gestionados.
  • En el 63% de los casos documentados, el vector de entrada fue una acción iniciada por un empleado con acceso a datos sensibles.

Conclusión operativa: priorizar según riesgo sectorial

Para reducir la exposición, es clave:

  • Mapear los patrones de ataque específicos de tu sector.
  • Evaluar el grado de madurez frente a amenazas como AI phishing y qrishing.
  • Reforzar las capas de verificación humana y detección temprana.

Hemos recopilado un resumen detallado por industria en el análisis sectorial de referencia para este año. Puedes consultarlo en nuestro informe sobre sectores más expuestos y las respuestas más eficaces aplicadas en 2026.

Defensas recomendadas: del endpoint a la cultura corporativa

Ante amenazas que evolucionan con rapidez y precisión como el AI phishing o el qrishing, las organizaciones no pueden limitarse a soluciones técnicas. La Directiva NIS2 deja claro que la protección debe ser proactiva, demostrable y orientada a reducir el riesgo humano. A continuación, presentamos un enfoque integral que combina tecnología, procesos y cultura corporativa.

Formación continua y evaluación del riesgo humano

Los ataques más sofisticados se dirigen a las personas, no a las máquinas. Por eso, la primera línea de defensa sigue siendo el comportamiento humano.

Recomendaciones:

  • Realiza evaluaciones periódicas de riesgo humano digital segmentadas por perfil y rol.
  • Sustituye las formaciones genéricas por entrenamientos adaptativos, basados en contextos reales y casos recientes.
  • Alinea los programas de awareness con las técnicas emergentes como el AI phishing, el vishing o los ataques qrishing.

Esta evaluación debe estar integrada en un sistema continuo, no como una acción puntual. La concienciación no es un fin; es un proceso de mejora sostenida.

Señalización y detección desde el primer punto de contacto

Muchos ataques se activan al escanear un código o abrir un email. Aplicar controles de detección temprana reduce drásticamente la superficie de riesgo.

Checklist:

  • Estandariza la señalización de códigos QR internos con diseño corporativo validado.
  • Asegura que todos los accesos vía QR estén monitorizados y auditados.
  • Desarrolla protocolos internos para verificar solicitudes por voz, especialmente en roles sensibles.
  • Refuerza las herramientas de email gateway con módulos de detección de intentos de phishing con IA generativa.

Puedes consultar más detalles prácticos en nuestras recomendaciones para prevenir ataques QR en espacios corporativos o eventos empresariales.

Políticas claras sobre el uso de IA generativa

La entrada masiva de herramientas de IA en el entorno laboral no solo es una oportunidad, también es una fuente potencial de fuga de datos, ingeniería social inversa y exposición inadvertida.

Pasos clave:

  • Establece una política corporativa clara y accesible sobre el uso de IA generativa en entornos profesionales.
  • Define qué herramientas están aprobadas, qué tipos de prompts están permitidos y qué datos no pueden compartirse.
  • Controla accesos y registros de actividad mediante soluciones de seguridad en el endpoint o el navegador.

En nuestra guía especializada abordamos este punto con criterios de cumplimiento alineados con NIS2. Puedes consultarla en el documento sobre uso responsable y seguro de la IA generativa en entornos corporativos.

Como marco de referencia, recomendamos revisar los controles propuestos en la norma ISO/IEC 27002, que incluyen directrices sobre gestión de activos digitales, control de accesos y seguridad en el uso de tecnologías emergentes.

Conclusiones y próximos pasos para CISOs y dirección

La sofisticación del AI phishing y la proliferación de nuevas técnicas como el qrishing y el fraude por voz sintética (vishing y deepfakes) han reconfigurado las prioridades en ciberseguridad corporativa. Las amenazas ya no dependen de exploits técnicos; ahora apuntan al comportamiento humano, la cultura organizativa y la falta de protocolos actualizados. Y con NIS2 en vigor, ignorar esta evolución ya no es una opción.

¿Qué puede hacer hoy tu organización?

Prioriza medidas accionables y medibles. Algunos pasos inmediatos:

  • Audita tus procesos actuales de verificación, acceso y señalización.
  • Evalúa el nivel real de exposición al riesgo humano en cada área.
  • Actualiza tus formaciones para incluir AI phishing, qrishing y vishing.
  • Define e implementa una política clara sobre el uso interno de IA generativa.
  • Sincroniza esfuerzos entre ciberseguridad, RRHH y cumplimiento normativo en torno a objetivos compartidos.

Checklist rápida de autodiagnóstico

¿Tu organización…?

  • Tiene identificadas las amenazas emergentes como el qrishing y el vishing.
  • Aplica controles sobre la autenticación basada en voz o mensajes QR.
  • Cuenta con un protocolo interno ante correos o llamadas sospechosas.
  • Evalúa periódicamente el riesgo humano con datos y criterios actualizados.
  • Ha definido una política interna para el uso de IA en entornos laborales.

Preguntas Frecuentes

¿Qué es el AI phishing y por qué es tan peligroso?

Es phishing potenciado por IA, capaz de generar mensajes creíbles a escala y engañar incluso a empleados entrenados.

¿Cómo puedo detectar un ataque de qrishing en mi empresa?

Verifica siempre la URL tras escanear un QR, evita imprimir códigos sin contexto y usa señalización segura.

¿Qué sectores son más vulnerables al phishing por IA?

Banca, salud, energía y administración pública lideran el ranking en 2026 según informes de ciberseguridad.

¿Qué medidas debo tomar para cumplir con NIS2 frente a estas amenazas?

Implementa formación continua, detección en endpoints y políticas sobre uso de IA generativa en entornos críticos.

¿La voz del CEO puede ser suplantada con IA?

Sí, los deepfakes de voz ya han sido usados para engañar a empleados y provocar transferencias fraudulentas.

Hacia una estrategia real de gestión del riesgo humano

Abandonar la lógica reactiva implica rediseñar los fundamentos de la prevención. Recomendamos:

  • Incorporar auditorías específicas como las que analizamos en el informe sobre tácticas y trazabilidad en ataques de phishing asistido por IA.
  • Revisar los puntos ciegos en los procesos de verificación de identidad, especialmente en llamadas o acciones remotas. Lo detallamos en nuestra pieza sobre fraudes vocales dirigidos a ejecutivos y departamentos financieros.
  • Alinear la estrategia de cumplimiento con los requisitos de la Directiva NIS2, que pone el foco en medidas demostrables y orientadas a la prevención.

Invertir en gestión del riesgo humano es esencial para anticiparse al AI phishing, prevenir campañas de qrishing y cumplir con NIS2. Es una ventaja competitiva en un entorno donde la resiliencia organizativa empieza por las personas.

artículos relacionados

Explora más artículos

Por Qué un Benchmark de AI-Phishing es Crítico para tu Estrategia 2025
Ciberataques
Por Qué un Benchmark de AI-Phishing es Crítico para tu Estrategia 2025
por
Kymatio
|
August 19, 2025
Comparativa NIS2 vs. DORA — qué aplica a tu organización
Bienestar Laboral
Normativas Digitales
Comparativa NIS2 vs. DORA — qué aplica a tu organización
por
Kymatio
|
August 1, 2025
Calendario Anual de Campañas: Phishing, Smishing, Vishing y QRishing
Ciberataques
Calendario Anual de Campañas: Phishing, Smishing, Vishing y QRishing
por
Kymatio
|
July 29, 2025
ACTIVA TUS FIREWALLS HUMANOS

Listo para descubrir el riesgo real dentro de tu organización

Pide una demo
Conoce el riesgo real
4,8 en Capterra
Español

Suscríbete al boletín de Kymatio® y recibe consejos e insights sobre ciberseguridad directamente en tu correo.

¡Gracias! ¡Hemos recibido tu email correctamente!
¡Uy! Algo salió mal al enviar el formulario.
Servicios
HRMAssessment  & AwarenessAttack SimulationsBreach ScanDigital Wellbeing
Casos de uso
Sector públicoSector financieroSector sanitarioGrandes empresas
Sobre nosotros
Por qué KymatioConoce KymatioNuestros valoresHistorias de éxito
Recursos
BlogWebinarsWhitepapersNoticias
Contacto
ContactarLinkedInXFacebookYoutube
© 2025 Kymatio. Todos los derechos reservados.
Política de privacidad
·
Cumplimiento
·
Política de cookies
·
Aviso Legal
·
Política de IA