Los filtros de spam mejoran, las empresas invierten en seguridad, y aun así el phishing no solo sobrevive: evoluciona. ¿La razón? Los delincuentes ya usan modelos de lenguaje para redactar mensajes perfectos —sin faltas de ortografía, sin comas chuecas, sin el típico “hola estimado”— y combinan correo, web y teléfono como si fueran un equipo de ventas. Si antes bastaba con detectar un “link raro”, hoy hay que jugar a otro nivel
Phishing “desde” cuentas de IA: si pagas ChatGPT, eres objetivo
Con tantas compañías usando ChatGPT o Gemini para la correspondencia diaria, a los estafadores se les prendió la ampolleta: correos que aparentan venir de OpenAI indicando que no pudieron cobrar tu suscripción y que, si no actualizas el pago en siete días, pierdes el acceso.
El botón te lleva a un formulario impecable, calcado al real, donde piden tus credenciales y datos de tarjeta. La página luce legítima, el tono es correcto y la urgencia parece razonable. El problema es que todo termina en manos del atacante, que luego revende cuentas o prueba compras hasta que tu banco despierte.
La defensa aquí es aburrida pero efectiva: jamás actualices tus datos desde un correo; abre la app o entra por la URL oficial que tú mismo escribes en el navegador. Si de veras hay un problema de cobro, lo verás ahí.
Streaming bajo presión: “renueva ya o te cortamos la cuenta”
Netflix, Disney y compañía son caramelos para el phishing: cuentas fáciles de monetizar y usuarios acostumbrados a notificaciones. El guion es de manual: “actualiza el método de pago en 48 horas o bloqueamos tu cuenta”.
Leer más
El enlace te manda a una copia del sitio con formularios que piden usuario, contraseña y tarjeta. Muchos correos ni siquiera se molestan en ocultar el remitente chueco, pero otros sí usan direcciones falsificadas y dominios casi idénticos.
El truco de siempre sigue funcionando: pasa el mouse por el enlace y revisa adónde va realmente; si navegas en el celular, mantén presionado para ver la URL. Y recuerda: la prisa es la herramienta favorita del estafador; si te apuran, respira y verifica por tu cuenta.
El golpe más fino: vishing contra administradores de contraseñas
La joya de la corona son tus bóvedas de contraseñas. Por eso aparecieron kits de phishing “lista en mano” que clonan páginas de inicio de sesión —como la de LastPass— y las combinan con llamadas automáticas.
Leer más
El flujo luce profesional: recibes una alerta telefónica de que un “dispositivo nuevo” intenta entrar a tu cuenta; si “bloqueas” con la opción indicada, te devuelve la llamada un “agente” humano que confirma datos y, muy amablemente, te guía a “restablecer” la clave… en el sitio falso.
Cuando entregas tu contraseña maestra, cambian correo y teléfono de recuperación y te dejan fuera. La única vacuna real es usar autenticación de dos factores resistente a phishing —idealmente llaves físicas o passkeys— y jamás resetear nada desde enlaces que te dicta alguien por teléfono.
Si suena urgente, cuelga y vuelve a llamar tú al número oficial.
