Los filtros de spam mejoran, las empresas invierten en seguridad, y aun así el phishing no solo sobrevive: evoluciona. ¿La razón? Los delincuentes ya usan modelos de lenguaje para redactar mensajes perfectos —sin faltas de ortografía, sin comas chuecas, sin el típico “hola estimado”— y combinan correo, web y teléfono como si fueran un equipo de ventas. Si antes bastaba con detectar un “link raro”, hoy hay que jugar a otro nivel.
Te puede interesar: [Sin mouse y sin teclado: Así vislumbra Microsoft el futuro de Windows]
Phishing “desde” cuentas de IA: si pagas ChatGPT, eres objetivo
Con tantas compañías usando ChatGPT o Gemini para la correspondencia diaria, a los estafadores se les prendió la ampolleta: correos que aparentan venir de OpenAI indicando que no pudieron cobrar tu suscripción y que, si no actualizas el pago en siete días, pierdes el acceso.
El botón te lleva a un formulario impecable, calcado al real, donde piden tus credenciales y datos de tarjeta. La página luce legítima, el tono es correcto y la urgencia parece razonable. El problema es que todo termina en manos del atacante, que luego revende cuentas o prueba compras hasta que tu banco despierte.
La defensa aquí es aburrida pero efectiva: jamás actualices tus datos desde un correo; abre la app o entra por la URL oficial que tú mismo escribes en el navegador. Si de veras hay un problema de cobro, lo verás ahí.
Streaming bajo presión: “renueva ya o te cortamos la cuenta”
Netflix, Disney y compañía son caramelos para el phishing: cuentas fáciles de monetizar y usuarios acostumbrados a notificaciones. El guion es de manual: “actualiza el método de pago en 48 horas o bloqueamos tu cuenta”.
El enlace te manda a una copia del sitio con formularios que piden usuario, contraseña y tarjeta. Muchos correos ni siquiera se molestan en ocultar el remitente chueco, pero otros sí usan direcciones falsificadas y dominios casi idénticos.
El truco de siempre sigue funcionando: pasa el mouse por el enlace y revisa adónde va realmente; si navegas en el celular, mantén presionado para ver la URL. Y recuerda: la prisa es la herramienta favorita del estafador; si te apuran, respira y verifica por tu cuenta.
El golpe más fino: vishing contra administradores de contraseñas
La joya de la corona son tus bóvedas de contraseñas. Por eso aparecieron kits de phishing “lista en mano” que clonan páginas de inicio de sesión —como la de LastPass— y las combinan con llamadas automáticas.
El flujo luce profesional: recibes una alerta telefónica de que un “dispositivo nuevo” intenta entrar a tu cuenta; si “bloqueas” con la opción indicada, te devuelve la llamada un “agente” humano que confirma datos y, muy amablemente, te guía a “restablecer” la clave… en el sitio falso.
Cuando entregas tu contraseña maestra, cambian correo y teléfono de recuperación y te dejan fuera. La única vacuna real es usar autenticación de dos factores resistente a phishing —idealmente llaves físicas o passkeys— y jamás resetear nada desde enlaces que te dicta alguien por teléfono.
Si suena urgente, cuelga y vuelve a llamar tú al número oficial.
Pagos y “3DS”: tecnicismos que suenan serios para robarte en minutos
También circulan correos que dicen venir de PayPal o Klarna, alegando que tu cuenta está bloqueada hasta que actives la “Doble Autorización 3DS”. Existe algo llamado 3D Secure, sí, pero los atacantes lo usan como decorado para pedir tu teléfono, credenciales y códigos.
El cierre siempre es el mismo: con suficiente información, desvían pagos o aprueban compras a su favor. Si un mail de “seguridad” te pide completar datos sensibles, sospecha de inmediato.
En servicios financieros, cualquier cambio crítico se confirma dentro de la app oficial, no en páginas a las que llegaste por un enlace enviado por correo.
Cómo adelantarte sin vivir paranoico
La regla de oro es cortar el circuito del atacante. No hagas clic: entra tú mismo por la app o la dirección que ya conoces.
Desconfía de los ultimátums de 24 o 48 horas; el apuro es la palanca del fraude. Activa 2FA con llaves o passkeys donde puedas, especialmente en correo, gestor de contraseñas y banca. Mantén el navegador actualizado para que el bloqueo de sitios maliciosos haga su parte.
Y cuando recibas una llamada “del soporte”, no sigas instrucciones al vuelo: agradece, corta y verifica por tu canal oficial. No se trata de saberlo todo de ciberseguridad, sino de quitarles su arma favorita: tu prisa.
El phishing ya no es un mail mal escrito con un logo borroso; es una operación pulida que mezcla IA, diseño profesional y teatro telefónico.
Te puede interesar: [¿Bueno o malo? El cambio que prepara WhatsApp permitirá algo nunca antes posible]
La buena noticia es que con hábitos sencillos —entrar por canales oficiales, desconfiar del apuro, reforzar factores de autenticación— puedes ponerle un muro enorme a la mayoría de estos intentos. Menos clic impulsivo, más verificación consciente: así se gana hoy esta partida.