Han pasado tres décadas de que se documentó el primer caso de phishing, la técnica de robar información por medio de correos y mensajes falsos o en redes sociales. Desde entonces, la humanidad ha sorteado un cambio de milenio, profecías apocalípticas, revoluciones tecnológicas y hasta una pandemia, pero esta vieja estafa sigue más vigente que nunca y afecta a millones de mexicanos, particularmente a adultos mayores, pero también a quienes no superan los 40 años.
Las cifras lo confirman: en el primer semestre de este año, se detectaron al menos 4 millones de amenazas de phishing en el país, según la firma de ciberseguridad ESET, y cada ataque cuesta, en promedio, más de 8 mil pesos por víctima, de acuerdo con The Competitive Intelligence Unit (The CIU).
Hoy, con el auge de la inteligencia artificial (IA), estos fraudes –que existen desde 1995– han dejado de ser correos mal escritos, ahora los ciberdelincuentes ya pueden imitar voces, suplantar identidades, redactar mensajes impecables e incluso engañar al usuario más precavido con falsos avisos bancarios sobre compras no autorizadas o con campañas en redes sociales en las que invitan a compartir un currículum para conseguir empleo.
Es 2025, plena era digital, y para especialistas en ciberseguridad lo más alarmante no es que el phishing persista, sino que evolucione y funcione. En algunos casos, se convierte en un ataque hiperpersonalizado.
Aunque las instituciones financieras son cautelosas al hablar del tema, las que lo hacen aseguran que han reducido el impacto de estas estafas mediante el uso de IA, tecnología en la que invierten millones de pesos cada año.
¿Qué es el phishing?
El término phishing, proviene de la palabra en inglés fishing, que en español se traduce como pesca, y hace alusión a la actividad de pescar información sensible de cada persona por medio de engaños: correos falsos, llamadas apócrifas y mensajes de texto engañosos, con el objetivo de estafarlos.
David González, investigador de seguridad informática del laboratorio de ESET, explica en entrevista que para poder tener éxito en el ilícito, los cibercriminales casi siempre buscan apelar al sentido humano y emocional de las personas, pues mandan mensajes con palabras como alerta, cuidado o urgente, para hacerles creer que parte de sus recursos o de su información corre alto riesgo.
“Esta técnica es tan efectiva porque es de lo más asequible para los cibercriminales y no se necesitan vulnerar sistemas tecnológicos, sino manipular a una persona para que revele información. Es mucho más fácil lanzar un correo electrónico suplantando la identidad de alguna marca conocida o de alguna entidad, que generar un ataque sofisticado, tal como lo vemos en películas.
“Cuando las personas no prestan atención a los detalles es cuando caen y cuando se pierden su información. A pesar de ser una técnica antiquísima, sigue siendo la más efectiva. La cantidad de intentos de phishing en Latinoamérica es mucho mayor a cualquier otra amenaza”, apunta González.
Según ESET, de enero a junio, se han identificado un total de 4 millones de ataques de phishing en México, y la cifra, de cara a fin de año, seguramente irá al alza.
Receta personalizada
Una duda común es: ¿Cómo es que los cibercriminales obtienen los datos confidenciales o personales? De acuerdo con información de la firma Checkpoint, todo puede comenzar por medio correos o mensajes a un individuo en particular o a pequeños grupos de personas para investigar su comportamiento y poco a poco personalizar los fraudes.
También es posible obtenerla por medio de filtraciones de datos que se venden en la Internet profunda o deep web e incluso se pueden sacar de las redes sociales por medio de falsas campañas publicitarias en las que se ofrecen grandes premios a cambio de dejar información como teléfonos, nombres completos y direcciones.
El investigador de ESET agrega que hay una gran cantidad de datos que se venden en la Internet obscura de las personas que ya han sido víctimas de algún ataque.
Como buena parte de la gente no actualiza o cambia sus contraseñas una vez que ha caído, para los delincuentes es fácil insistir y hacer una nueva estafa con las credenciales que ya han sido vulneradas, explica González.
Evolución
Con la transformación a lo digital y el paso de los años, las estafas por medio del phishing han evolucionado. Durante la pandemia y con el auge del comercio electrónico –consecuencia de las medidas de confinamiento aplicadas a nivel mundial– se hicieron cientos de llamadas y se enviaron millones de correos a nombre de bancos, en los que los delincuentes solicitaban a los consumidores verificar una compra o actualizar sus credenciales.
La suplantación fue tan masiva y los fraudes tan numerosos, que estos intermediarios, por medio de la Asociación de Bancos de México, tuvieron que hacer una campaña nacional para solicitar a la población no entregar sus credenciales con facilidad, en la que básicamente explicaban que el banco nunca te llama.
Pero la ciberdelincuencia hizo lo suyo: ahora le piden a la IA que clone correos que tradicionalmente le llegan a un usuario para hacerle creer que el banco o alguna empresa de mensajería lo busca, refiere Sebastián Russo, director sénior de ingeniería para Fortinet México.
“Hoy la ciberdelincuencia puede dedicarse a analizar tu perfil social en las redes, tu perfil profesional en Linkedin, los correos que envías, la forma en escribes o en la que te escribe la gente que está en contacto contigo para, en primera medida, generar un muy buen perfilamiento de quién eres tú como individuo.
Después, a la IA generativa (los criminales) le solicitan formas de escribir un correo para que tu lo leas y hagas clic a la liga. Prácticamente le dicen: asistente, dame dos o tres machotes de correo en los que esta persona tenga una alta probabilidad de que de clic, detalla Russo, de Fortinet.
El gran objetivo, las claves bancarias
El ciberespacio es enorme y la cantidad de amenazas es infinita: según Fortinet, el escaneo activo en el mundo digital alcanzó niveles sin precedentes en 2024, con un aumento del 16.7 por ciento en todo el ciberuniverso, y tan solo en el primer trimestre de este año, en México se tuvieron 35.2 mil millones de intentos de ataques.
Vulnerar o conseguir los datos bancarios de una persona es de las actividades más redituables para los delincuentes de internet, toda vez que aquí obtienen recursos de forma rápida sin necesidad de más, compran cientos de artículos en plataformas de comercio electrónico o usan las billeteras para vender en foros de la deep web suscripciones a un precio más económico.
¿Qué hace un banco para prevenir?
La Jornada buscó a 3 de los bancos con mayor presencia en México para saber qué hacen con la IA y como les ha ayudado a prevenir fraudes. Solamente HSBC contestó el cuestionario que les fue enviado.
“En HSBC usamos la IA, por ejemplo, en el diseño de modelos avanzados de detección de fraudes, gestión de riesgos de nuestra cartera y en diferentes mercados para optimizar los portafolios de nuestros clientes.En cuanto al uso de inteligencia artificial generativa en HSBC nos guiamos por nuestros valores. Adoptamos esta tecnología con integridad, ética y un fuerte sentido de responsabilidad, estamos conscientes del impacto que puede tener en la sociedad, empleados, accionistas, clientes y comunidades donde tenemos presencia.
Hemos visto su mayor beneficio en el combate al delito financiero (detección de fraudes y gestión de riesgos) y en optimizar nuestros procesos operativos para mejorar la experiencia de nuestros clientes y destinamos un porcentaje importante de nuestra inversión en este tipo de tecnologías, fue la respuesta que dio HSBC México.
¿Qué hubiera pasado?
Para Sebastian Russo de Fortinet, la IA se ha adoptado de una forma tan nativa que es imposible siquiera pensar qué hubiera pasado con el phishing si dicha tecnología no se hubiera abierto a todos los seres humanos. Pero algo que tiene claro es que sin ella, quizá sería tedioso para los cibercriminales redactar millones de correos.
“No nos dimos cuenta en qué momento la adoptamos de forma tan nativa, pero la realidad es que hoy la IA está ahí, es parte de nuestra vida cotidiana y llegó para quedarse. Si no hubiera llegado, no sé si el phishing seguiría vigente”.
Y para Diego González de ESET, la ciberdelincuencia nunca se va a detener y encontrará múltiples formas de hacer caer a la población, pero con la IA su trabajo ha dejado de ser, por así decirlo, artesanal.
“Los ataques de phishing siempre van a existir, eso es algo que en el mundo de ciberseguridad nos queda muy claro, nunca van a desaparecer porque siempre va a haber personas que les gane el sentimiento o las pueden manipular de un de manera sicológica o emocional, eso siempre va a existir.
“Nosotros somos vulnerables como seres humanos ante cierto tipo de situaciones y eso es lo que aprovechan los cibercriminales. Lo que hizo la IA fue hacer exponencial la forma de generar nuevas estafas e incluso generar o pensar nuevos tipos de campañas. Más bien, a los cibercriminales les ayudó a hacer su tarea de una forma artesanal a algo más automatizado.
“El phishing seguirá existiendo, hay que estar alerta, siempre hay pequeños detalles, una página mal escrita o una letra diferente es una forma fácil de detectar las amenazas”, concluye el investigador de ESET.
