Phishing en 2026: las nuevas tácticas que debes conocer Pint Solutions | Ciberseguridad Gestionada para Empresas en Latinoamérica - Protegemos tu empresa con inteligencia artificial, monitoreo 24/7 y un equipo dedicado. Ciberseguridad de clase mundial para PYMEs y empresas medianas en México, Colombia, Chile y toda LATAM. Pint Solutions - Ciberseguridad Gestionada para Empresas en Latinoamérica

Phishing en 2026: las nuevas tácticas que debes conocer

El phishing ya no es un correo mal escrito de un príncipe nigeriano. En 2026, es un mensaje perfectamente redactado que replica el tono exacto de tu CFO, acompañado de una llamada con una voz clonada por IA que confirma la solicitud. Es un enlace enviado por WhatsApp desde lo que parece ser un proveedor real, referenciando un proyecto interno que solo cinco personas en tu empresa conocen.

El phishing ha evolucionado más rápido que cualquier otra amenaza en ciberseguridad, y Latinoamérica es una de las regiones más afectadas. Según IBM, la región se encuentra entre las más impactadas por phishing a nivel global, con Brasil concentrando el 53% de los incidentes, seguido por México y Perú. Este artículo analiza las nuevas tácticas que están definiendo el phishing en 2026 y qué pueden hacer los líderes de TI para proteger a sus organizaciones.

Táctica 1: Phishing generado por IA

Los modelos de lenguaje han eliminado las barreras idiomáticas y estilísticas que antes hacían identificable al phishing. Los atacantes ahora generan correos gramaticalmente perfectos, contextualmente relevantes y personalizados para cada objetivo. Un correo de phishing moderno puede referenciar tu nombre, tu cargo, tu empresa, un proyecto específico en el que estás trabajando, y el nombre de tu jefe directo — todo extraído automáticamente de LinkedIn y otras fuentes públicas.

Según reportes recientes, alrededor del 83% de los correos de phishing actuales son generados por IA. Esto no solo aumenta la calidad de cada intento, sino que permite a los atacantes escalar masivamente: lo que antes requería investigación manual ahora se automatiza en segundos.

Táctica 2: Deepfakes de voz y video

La clonación de voz ha dejado de ser ciencia ficción. Con apenas unos segundos de audio — extraído de una presentación grabada, un podcast, o una llamada anterior — un atacante puede replicar la voz de un directivo con precisión suficiente para engañar a empleados entrenados. Ya se han documentado casos en los que transferencias fraudulentas fueron autorizadas tras una llamada con voz clonada de un CEO.

Los deepfakes de video añaden otra capa de complejidad. Los atacantes pueden crear videollamadas falsas en plataformas como Teams o Zoom donde el interlocutor parece y suena como un ejecutivo real. En 2026, los fraudes de deepfake representan ya una porción significativa de la actividad fraudulenta global, y las empresas en LATAM, donde la autenticación por voz es aún un mecanismo de confianza informal pero común, son especialmente vulnerables.

Táctica 3: Phishing multicanal

El phishing ya no se limita al correo electrónico. Los atacantes ahora coordinan campañas que utilizan múltiples canales de forma simultánea: un correo inicial legítimo seguido de un mensaje de WhatsApp de “confirmación,” una notificación falsa en Slack, o un SMS con un enlace de verificación. Esta táctica multicanal aumenta la credibilidad del ataque porque el empleado percibe coherencia entre múltiples puntos de contacto.

En Latinoamérica, donde WhatsApp es una herramienta de comunicación empresarial de facto, este vector es particularmente efectivo. Los ataques de ingeniería social a través de WhatsApp crecieron un 155% en 2025, y la tendencia continúa acelerándose.

Táctica 4: QRishing (phishing por códigos QR)

Los códigos QR se han normalizado en el entorno empresarial: menús de restaurante, acceso a Wi-Fi de oficinas, formularios de registro en eventos, y enlaces a documentos compartidos. Los atacantes explotan esta confianza colocando códigos QR maliciosos en contextos que parecen legítimos — desde carteles en áreas comunes hasta adjuntos en correos electrónicos.

Un código QR malicioso puede redirigir a una página de login falsa que captura credenciales, descargar malware en el dispositivo, o iniciar una transacción no autorizada. Al escanear un QR, el usuario no puede inspeccionar la URL antes de interactuar, lo que elimina una de las pocas señales de alerta que los usuarios entrenados saben buscar.

Táctica 5: BEC 3.0 (Business Email Compromise con IA)

El fraude por compromiso de correo empresarial ha evolucionado a su tercera generación. Los atacantes ya no solo falsifican direcciones de correo — combinan acceso real a cuentas comprometidas con scripts de IA que replican el estilo de escritura del ejecutivo, y deepfakes de voz para “confirmar” las instrucciones por teléfono. El resultado es un ataque casi imposible de distinguir de una solicitud legítima.

Los sectores más afectados por este tipo de ataque son el financiero (38% de las campañas detectadas), salud (21%), y energía e infraestructura crítica (17%).

Cómo proteger a tu organización

La defensa contra el phishing moderno requiere un enfoque de múltiples capas. La protección de correo electrónico con análisis de IA es esencial, pero no suficiente. Las organizaciones necesitan formación continua con simulaciones realistas que reflejen las tácticas actuales, protocolos de verificación fuera de banda para cualquier solicitud financiera o de acceso, autenticación multifactor resistente a phishing, y monitoreo continuo de identidades comprometidas.

Sobre todo, los líderes de TI deben aceptar que el phishing ya no es solo un problema de “usuarios descuidados.” Es un problema de ingeniería social sofisticada que requiere defensas igual de sofisticadas.

Pint Solutions implementa capas de protección contra phishing que van desde la seguridad del correo electrónico hasta la formación del equipo y la protección de identidad. Si quieres evaluar qué tan preparada está tu organización, podemos ayudarte.