España recorta el phishing un 52%, pero el problema de verdad ahora llega con IA y mejor puntería

España ha reducido un 52% su exposición al phishing, según el informe Zscaler ThreatLabz 2026 Phishing and Initial Access Report. La cifra suena a victoria. Y lo es, hasta cierto punto. Pero sería un error leerla como señal de que el problema remite. Lo que está bajando no es necesariamente el riesgo, sino una parte del ruido. Mientras cae el volumen de campañas más burdas, sube el valor operativo de las que sí consiguen pasar: más personalizadas, mejor escritas, más convincentes y cada vez más asistidas por inteligencia artificial.

Ese matiz cambia bastante la conversación. Durante años, el phishing fue un deporte de masas: millones de correos torpes, dominios clónicos de andar por casa y la esperanza estadística de que alguien pinchara. Ahora el modelo se parece menos a una red de arrastre y más a la pesca con arpón. Menos intentos, más precisión. Menos faltas de ortografía. Más contexto. Más ingeniería social apoyada en datos públicos, historiales filtrados y herramientas generativas que hacen en segundos lo que antes llevaba horas. El resultado no siempre se ve en el número bruto de correos maliciosos. Se ve después, en el acceso inicial, en el secuestro de cuentas, en la evasión de MFA y en el movimiento lateral.

Eso obliga a revisar una idea cómoda pero engañosa: medir la madurez defensiva casi solo por la caída del volumen detectado. Si el atacante necesita menos correos para lograr más credenciales, la estadística puede mejorar al mismo tiempo que el impacto empeora. Ahí está el quid.

No basta con contar correos: hay que mirar qué ocurre después del clic

Los informes de phishing suelen leerse como un ranking de países y una tabla de tendencias. Útiles, sí, pero limitados. El dato del 52% en España merece contexto operativo. Una caída de ese tamaño puede responder a una mezcla de factores: mejores filtros de correo, más adopción de autenticación multifactor, mayor concienciación del usuario, desplazamiento del atacante hacia canales alternativos como SMS, mensajería instantánea o colaboración empresarial, y también depuración metodológica por parte del proveedor que observa el tráfico.

Por eso la pregunta seria no es si entran menos correos de phishing. La pregunta es otra: ¿cuántos desembocan en acceso inicial? El salto de phishing a initial access es lo que convierte una molestia en un incidente material. Y ahí encajan tendencias bien documentadas en los últimos dos años: robo de sesiones mediante páginas de autenticación inversa, abuso de tokens en navegadores, kits de adversario-en-el-medio para sortear MFA y campañas que ya no dependen solo del correo electrónico.

Microsoft, Google y diversos CERT llevan tiempo advirtiendo de campañas que capturan cookies o tokens de sesión tras un inicio legítimo. No hace falta que el usuario entregue una contraseña y un segundo factor en una página tosca. Basta con inducirle a autenticarse en un portal que actúa como proxy. El usuario ve una experiencia casi idéntica. El atacante obtiene una sesión válida. Se acabó la vieja idea de que “tenemos MFA, así que el phishing ya no nos quita el sueño”. Ojalá fuera tan fácil.

La Agencia de la Unión Europea para la Ciberseguridad, ENISA, ha repetido en sus análisis de amenazas que el social engineering sigue siendo uno de los vectores dominantes para compromisos iniciales. No porque las organizaciones no conozcan el problema, sino porque el atacante ha profesionalizado la cadena de suministro del engaño: kits baratos, infraestructura alquilada, dominios efímeros, servicios de anonimización y ahora modelos de IA que reducen el coste marginal de crear campañas plausibles en cualquier idioma. Incluso en castellano correcto, que ya era hora. El phishing traducido con los pies siempre fue un pequeño aliado de la defensa.

La IA no ha inventado el phishing, pero sí le ha quitado fricción

Conviene pinchar un globo y evitar otro. Primero, la IA generativa no ha creado el phishing. Los atacantes llevaban años afinando asuntos, marcas suplantadas y secuencias de ingeniería social. Segundo, tampoco convierte cualquier campaña en una obra maestra. Lo que sí hace, y eso importa mucho, es abaratar la producción de mensajes creíbles, acelerar pruebas A/B criminales y adaptar el lenguaje al contexto de la víctima sin necesidad de operadores especialmente hábiles.

Antes, montar una campaña medianamente convincente en castellano para una empresa española exigía tiempo o un hablante competente. Ahora basta con alimentar a un modelo con el cargo de la víctima, un par de notas públicas sobre la compañía y el tono de un proveedor conocido. El resultado puede ser un correo que imita a un despacho jurídico, a un banco, a un directivo o a un proveedor de nómina con una naturalidad suficiente para superar la sospecha inicial. No perfecta. Suficiente. Y en seguridad, suficiente suele bastar.

Hay un efecto menos visible y más interesante: la IA ayuda también a los atacantes a segmentar. Eso significa menos campañas masivas y más ataques de bajo volumen dirigidos a perfiles que de verdad tienen capacidad de aprobar pagos, abrir accesos, compartir archivos sensibles o modificar configuraciones. El departamento financiero, recursos humanos, legal, compras y soporte IT vuelven a estar en la diana. No por casualidad, sino porque ahí una sola cuenta comprometida tiene retorno inmediato.

La evolución natural de esta tendencia es el cruce entre phishing y fraude del CEO, o business email compromise. En ese terreno, la IA no necesita generar malware para causar daño. Le basta con redactar mejor, sintetizar información pública, imitar estilos y reducir señales de alarma. Si además se mezcla con audio sintético o mensajes de voz breves en canales corporativos, la verificación informal se complica. El atacante ya no pide que “actualice sus credenciales” con tipografía sospechosa. Pide revisar un pago urgente, compartir un documento o validar un acceso porque “se ha roto el flujo normal”. Y lo hace con una gramática impecable.

No hay que sobredramatizar con historias de ciencia ficción. Pero tampoco conviene seguir evaluando la amenaza con indicadores de 2019. Si tu programa de defensa sigue midiendo el éxito solo por cuántos correos bloquea el secure email gateway, vas mirando el retrovisor mientras el atacante ya está en la puerta lateral.

España mejora, pero eso no significa que las empresas españolas estén listas

Una caída del 52% en España puede reflejar una mejora real frente a campañas indiscriminadas. La cuestión es si esa mejora se traduce en resiliencia frente a intrusiones más selectivas. Ahí la fotografía es bastante menos tranquilizadora, sobre todo en medianas empresas y en sectores con cadenas de terceros extensas.

Las organizaciones españolas han reforzado bastante la protección del correo, la MFA y la sensibilización básica. Eso se nota. Pero siguen arrastrando tres problemas estructurales.

El primero es la fragmentación de identidades. Muchas compañías tienen Microsoft 365, algún directorio heredado, acceso remoto con políticas distintas, aplicaciones SaaS fuera del control central y proveedores externos con privilegios persistentes. Ese mosaico favorece el secuestro de sesiones y complica revocaciones rápidas.

El segundo es la fatiga de alertas. Los equipos de seguridad ven demasiado y correlacionan poco. Cuando el phishing deriva en un inicio de sesión anómalo desde infraestructura residencial o desde un dispositivo no gestionado, la señal puede quedar enterrada entre miles de eventos. Un SOC sin afinado de detección de identidad no necesita más datos; necesita mejores hipótesis.

El tercero es cultural. Muchas organizaciones siguen tratando el phishing como un asunto de formación al usuario, no como un problema de arquitectura de acceso. La formación ayuda, claro. Pero el usuario no puede ser el control principal frente a campañas que imitan flujos reales, usan dominios casi idénticos o aprovechan confianza preexistente con proveedores. Cuando una empresa responde a un aumento de sofisticación con otro curso anual de clics sospechosos, está ahorrando en el sitio equivocado.

El punto incómodo es este: España puede mejorar en métricas agregadas y, aun así, seguir siendo vulnerable en procesos concretos de alto impacto. Un atacante no necesita engañar a toda la plantilla. Le basta con una persona, una sesión y veinte minutos sin revocación.

Del correo al acceso inicial: la cadena técnica que más preocupa ahora

El valor de informes como el de Zscaler no está solo en el recuento de campañas, sino en cómo conectan phishing con acceso inicial. Esa conexión importa porque la mayoría de incidentes graves no termina en el correo. Empieza ahí.

La secuencia típica ha cambiado. Hace unos años, la historia estándar era: correo malicioso, adjunto o enlace, robo de credenciales, acceso a VPN o OWA, expansión. Hoy son más comunes cadenas como estas: enlace a una página de autenticación intermedia que roba token; consentimiento malicioso a una aplicación OAuth; descarga de archivo HTML o PDF con redirección a portal fraudulento; abuso de QR codes para saltarse filtros; o mensajería corporativa desde una cuenta comprometida para mover la conversación fuera del correo y ganar credibilidad.

Los códigos QR merecen una mención propia. El llamado quishing no es una moda de titulares, sino una respuesta táctica a los filtros tradicionales de correo. El código es una imagen; el destino real solo se resuelve cuando el usuario escanea. Eso desplaza la interacción al móvil, fuera de ciertos controles del puesto corporativo. Si la organización separa demasiado la seguridad del escritorio y la del dispositivo móvil, abre una grieta útil para el atacante.

Otra técnica con impacto desproporcionado es el abuso de OAuth y el consentimiento de aplicaciones. En vez de robar una contraseña, el atacante induce al usuario a autorizar una app aparentemente legítima con permisos sobre correo, archivos o contactos. El efecto práctico puede ser igual o peor. Y la detección, más lenta, porque el acceso parece “normal” desde la plataforma. Muchas empresas han endurecido la MFA y, sin embargo, permiten todavía que usuarios concedan permisos amplios a aplicaciones de terceros sin un flujo robusto de revisión. A veces la puerta no está en el login. Está en la autorización posterior.

A esto se suma el robo de cookies de sesión desde el navegador. Algunas familias de malware y kits especializados buscan precisamente eso: no romper la MFA, sino rodearla. Si obtienen una sesión válida, el acceso a aplicaciones SaaS puede mantenerse hasta que expire el token o se revoque. De nuevo, el indicador correcto no es cuántos correos llegaron, sino cuántas sesiones anómalas se detectaron y cerraron en minutos, no en días.

Lo regulatorio entra en escena antes de que llegue la multa

Aunque la noticia parte de threat intelligence y no de un cambio legal, el marco regulatorio europeo ya convierte esta evolución en un asunto de gobierno, no solo de tecnología. Para entidades financieras y proveedores TIC que les dan servicio, DORA ha terminado la era de tratar el phishing como una cuestión periférica del equipo de seguridad.

El Reglamento (UE) 2022/2554, conocido como DORA, exige un marco de gestión del riesgo TIC sólido y documentado. El artículo 6 obliga a contar con un marco interno de gestión del riesgo de las TIC que incluya estrategias, políticas, procedimientos, protocolos y herramientas necesarias para proteger todos los activos de información y los activos TIC. No habla de phishing de forma aislada, pero la obligación cubre claramente identidad, acceso, detección, respuesta y recuperación. El artículo 8 entra en identificación; el 9, en protección y prevención; el 10, en detección; el 11 y el 12, en respuesta, recuperación y comunicación.

Para terceros TIC, DORA aprieta además por la vía de la dependencia. El artículo 28 exige gestionar el riesgo derivado de proveedores que soportan funciones críticas o importantes. Si una intrusión empieza por el buzón o la cuenta de un proveedor con acceso privilegiado, no sirve encogerse de hombros y decir que el problema estaba fuera. Regulatoriamente, no cuela.

NIS2 va en una línea parecida, pero más amplia. La Directiva (UE) 2022/2555 exige, en su artículo 21, medidas técnicas, operativas y organizativas adecuadas y proporcionadas para gestionar riesgos de seguridad de redes y sistemas. Entre esas medidas figuran políticas de análisis de riesgos, gestión de incidentes, continuidad, seguridad de la cadena de suministro, seguridad en la adquisición y mantenimiento de sistemas, y prácticas básicas de ciberhigiene con formación. Otra vez: no basta con sensibilización. El texto habla de arquitectura, cadena de suministro y gobierno. Justo donde el phishing moderno hace más daño.

Y si el incidente implica datos personales, el RGPD entra por la puerta principal. El artículo 33 del Reglamento (UE) 2016/679 obliga a notificar a la autoridad de control las violaciones de seguridad de los datos personales sin dilación indebida y, de ser posible, no más tarde de 72 horas después de haber tenido constancia de ellas. El artículo 34 añade la comunicación al interesado cuando la brecha entrañe un alto riesgo para sus derechos y libertades. El phishing que deriva en acceso a buzones de recursos humanos, historiales de clientes o documentación de salud no es solo un problema del CISO. Es un problema de notificación, evidencia, trazabilidad y potencial sanción.

La combinación de DORA, NIS2 y RGPD produce un efecto bastante claro: la organización tiene que poder demostrar no solo que bloquea correos, sino que entiende el riesgo de acceso inicial, monitoriza identidades, gestiona terceros y documenta decisiones bajo presión. Dicho en plata: el regulador cada vez pregunta menos “¿tienen formación?” y más “¿qué control falló, cuándo lo vieron y cuánto tardaron en contenerlo?”.

El gran desplazamiento: del endpoint al plano de identidad

Durante años, el centro de gravedad de la defensa estuvo en el endpoint, el perímetro y el correo. Siguen siendo capas críticas. Pero el gran desplazamiento técnico es hacia el plano de identidad. No es una opinión extravagante; es donde confluyen la mayoría de ataques actuales que buscan monetización rápida o persistencia silenciosa.

Si el phishing es el vehículo, la identidad es la carga útil. Por eso están ganando importancia controles como el acceso condicional, la verificación continua de sesión, la revocación automática de tokens de riesgo, el endurecimiento de OAuth, la restricción de consentimientos, la segmentación por dispositivo gestionado y la telemetría unificada entre correo, navegador, IdP y aplicaciones SaaS.

Una empresa que hoy siga confiando en una VPN tradicional como eje del acceso remoto y en políticas homogéneas para todos los usuarios tiene un problema de diseño. No porque la VPN sea intrínsecamente mala, sino porque concede demasiado peso a una autenticación puntual y muy poco a la evaluación continua del contexto. Si el atacante hereda una sesión válida, media batalla ya está hecha.

Los principios de zero trust, tan maltratados por el marketing que casi da pudor citarlos, siguen siendo útiles cuando se aterrizan de verdad: verificar explícitamente, usar mínimo privilegio y asumir brecha. Lo útil aquí no es el eslogan, sino la aplicación concreta. ¿Tu organización limita el acceso a aplicaciones críticas solo desde dispositivos conformes? ¿Reautentica acciones sensibles? ¿Revoca sesiones ante cambios de riesgo? ¿Restringe elevación de privilegios? ¿Supervisa accesos de proveedores? Si la respuesta es “más o menos”, ya sabes por dónde entra el siguiente informe de incidente.

Lo que deberían revisar ahora CISO, CIO y compliance, sin esperar al próximo susto

La reacción torpe a una noticia así sería pedir otra campaña de concienciación y una presentación con gráficos descendentes. La reacción útil es revisar decisiones concretas. No todas cuestan fortunas; varias dependen más de prioridades que de presupuesto.

Primero, autenticación resistente al phishing donde más duele una intrusión. Eso significa acelerar el uso de métodos como FIDO2 o passkeys en perfiles de alto riesgo: administración, finanzas, dirección, soporte, desarrolladores con acceso a producción y terceros con privilegios. La MFA basada en SMS o en códigos OTP sigue siendo mejor que nada, pero no es el final del camino. Frente a proxies de autenticación y técnicas AiTM, la resistencia al phishing importa de verdad.

Segundo, gobernanza de sesiones y tokens. Muchas empresas tienen buenas políticas de contraseña y una visibilidad pobre sobre sesiones activas, consentimientos OAuth y revocaciones. Ahí se pierde tiempo precioso. Si no puedes invalidar rápido sesiones sospechosas o detectar nuevos consentimientos con permisos amplios, el atacante jugará en tu terreno.

Tercero, telemetría correlacionada. El incidente moderno cruza correo, identidad, navegador, CASB, EDR y SaaS. Si cada consola vive aislada y la correlación depende de una persona brillante con café suficiente, no tienes un sistema; tienes fe. El objetivo no es acumular herramientas, sino enlazar señales: clic en URL, login geográficamente improbable, dispositivo no gestionado, descarga masiva, creación de regla de reenvío, nueva app autorizada, acceso a repositorios sensibles.

Cuarto, control de terceros. Aquí España y Europa tienen una herida abierta por la dependencia tecnológica. Los ataques de acceso inicial no distinguen entre empleado y proveedor cuando buscan una vía útil. Revisa qué terceros conservan accesos persistentes, con qué MFA, desde qué dispositivos y con qué alcance. Bajo DORA, además, ese inventario ya no es una manía de seguridad; es una exigencia de gestión.

Quinto, procedimientos de fraude y pagos. Parte del phishing más eficaz ya no busca malware, sino dinero. Eso obliga a separar con bisturí las aprobaciones financieras, los cambios de cuenta bancaria y las instrucciones urgentes. La verificación fuera de banda no puede ser un consejo bienintencionado. Tiene que ser procedimiento obligatorio para determinados importes o cambios de beneficiario. Si el atacante logra comprometer una cuenta creíble, intentará convertir esa confianza en una transferencia antes de que el SOC vea nada.

Para el sector financiero español, la noticia no va solo de correos malos

Las entidades financieras españolas tienen motivos adicionales para tomarse esta tendencia muy en serio. No solo por el impacto directo en fraude, cuentas y datos. También por la carga regulatoria y de supervisión que se acumula.

DORA empezó a aplicarse el 17 de enero de 2025. Desde esa fecha, bancos, aseguradoras, empresas de inversión, entidades de pago, proveedores de servicios de criptoactivos cubiertos y otros sujetos obligados ya no pueden tratar la resiliencia operativa digital como un proyecto con margen amplio. Está en producción, por decirlo sin jerga regulatoria. Y el phishing sofisticado toca varios frentes a la vez: gobernanza del riesgo TIC, terceros, clasificación y notificación de incidentes, pruebas y lecciones aprendidas.

Si una entidad financiera sufre un compromiso de credenciales que afecta a un servicio crítico o importante, la conversación interna cambia rápido: ¿es un incidente grave? ¿activa criterios de notificación? ¿qué datos se han visto? ¿hubo tercero implicado? ¿qué evidencia preservamos? La calidad de esas respuestas depende de la preparación previa, no de la elocuencia en la llamada de crisis.

Además, el Banco Central Europeo y las autoridades nacionales llevan años endureciendo el escrutinio sobre identidad, externalización y resiliencia. No hace falta una circular nueva cada semana para saber por dónde van los tiros. Cuando el acceso inicial es más sigiloso y la cadena de suministro más porosa, el supervisor espera control real sobre autenticación, accesos privilegiados y proveedores críticos. No un PowerPoint con flechas azules.

Para fintech, scaleups reguladas y entidades medianas, el desafío es más ingrato: menos capacidad operativa, más dependencia de SaaS, más velocidad de cambio y, a veces, una gobernanza todavía inmadura. Precisamente por eso deberían evitar el error de copiar programas de concienciación vistosos y olvidar la base: identidad fuerte, privilegios mínimos, segmentación de acceso y observabilidad decente.

El dato del 52% también es una advertencia metodológica

Hay otra lectura útil del descenso del 52%: las métricas agregadas de phishing pueden volverse menos fiables como termómetro único de riesgo. Cuanto más migra el atacante a campañas selectivas, mensajería directa, QR, consentimiento OAuth o conversaciones secuestradas dentro de hilos legítimos, menos representa el volumen bruto de correos tradicionales.

Dicho de otro modo, el éxito defensivo puede estar ocultando una mutación del problema. Si la industria celebra que bajan los correos bloqueados mientras suben las tomas de cuenta o los fraudes de proveedor, se está optimizando la parte visible del sistema y desatendiendo la rentable para el adversario.

Esto no invalida el avance. Lo sitúa. Que España registre menos phishing a escala observada por un gran proveedor de seguridad es una buena noticia. Pero no significa que el atacante se haya desanimado. Significa, probablemente, que está afinando mejor dónde, cómo y contra quién dispara.

Hay una ironía incómoda aquí. La propia mejora defensiva en correo puede estar incentivando tácticas más sofisticadas. Cuando filtrar correos masivos se vuelve barato y eficaz, el atacante desplaza recursos a rutas con más retorno: identidad, terceros, colaboración, ingeniería social personalizada. Es la lógica normal de cualquier mercado. También del criminal.

Qué no debería hacer una empresa tras leer esta noticia

Primero, no concluir que “el phishing baja, así que vamos mejor” sin revisar indicadores de compromiso de identidad. Mira secuestros de cuenta, reglas de reenvío en buzones, consentimientos anómalos, revocaciones de sesión, accesos imposibles y fraude por suplantación. Si esos datos no están a mano, ese ya es un hallazgo preocupante.

Segundo, no caer en el teatro de la IA. El problema no se arregla comprando cualquier producto que añada “AI-powered” al catálogo. Algunos aportan valor; otros aportan marketing. Pide pruebas concretas: ¿reduce tiempo de detección? ¿bloquea AiTM? ¿correlaciona identidad y SaaS? ¿automatiza revocaciones? Si no, probablemente solo te vende brillo.

Tercero, no delegar todo en el usuario final. El usuario seguirá fallando porque es humano, tiene prisa y trabaja dentro de procesos imperfectos. La defensa seria reduce el impacto del error, no se limita a reprocharlo después.

Cuarto, no separar seguridad de cumplimiento. En 2026 ya no tiene sentido que el CISO vea el phishing como un vector técnico y compliance lo vea como otra casilla de formación anual. Cuando una campaña acaba en acceso a datos personales, indisponibilidad operativa o dependencia comprometida de un tercero, ambos mundos quedan unidos por los plazos de notificación, la trazabilidad de decisiones y la evidencia documental.

La pregunta útil para 2026 no es si recibes menos phishing, sino si sobrevives mejor al que pasa

Ese es el cambio de marco que deja esta noticia. El phishing de baja calidad cae. Perfecto. Pero la amenaza que merece atención se ha desplazado hacia campañas menos visibles y más rentables, asistidas por IA, centradas en identidad y diseñadas para obtener acceso inicial con el mínimo ruido posible.

La respuesta madura no consiste en celebrar menos volumen y seguir igual. Consiste en aceptar que el control decisivo ya no está solo en la bandeja de entrada. Está en la autenticación resistente al phishing, en la gestión de sesiones, en la supervisión de consentimientos, en los accesos de terceros, en la correlación entre herramientas y en la disciplina operativa para contener en minutos.

España puede presumir del 52%. Pero las organizaciones que se queden solo con el titular están comprando tranquilidad a crédito. Y el atacante, gracias a la IA, empieza a cobrar con intereses.