Un día cualquiera, una asistente recibe una llamada de su jefe. Le pide hacer una transferencia urgente a una cuenta. Es la voz, es la cadencia, es la manera en que siempre la trata. Pero no es su jefe.
Esto no son casos hipotéticos — ya hemos visto estos ataques en España, Reino Unido, América Latina y en hogares de personas comunes. No es un tema solo corporativo. Es un tema que nos afecta como personas.
En este post analizamos tres tipos de ataques que hacen uso de IA y qué podemos hacer frente a ellos.
Phishing con IA: ya no hay errores de ortografía
Todos hemos recibido correos electrónicos que buscan engañarnos. Hace unos años eran fáciles de detectar: errores de ortografía, párrafos mal redactados, remitentes extraños. Ahora, con el uso de la IA, esos errores desaparecieron. Los correos tienen sentido, están bien escritos y, con un poco de investigación previa sobre la víctima, dan justo en el punto de la persuasión.
Se estima que el 83% de los ataques de phishing actuales hacen uso de IA. Y el tiempo promedio para que un empleado haga clic en un enlace malicioso es de 21 segundos.
Deepfakes: la voz y el video como arma
Hoy existen herramientas que clonan la voz de una persona con tan solo una grabación de pocos segundos. ¿Quién no tiene audios de WhatsApp de decenas de contactos guardados? Con esa información, un atacante puede construir una llamada completamente convincente.
La evolución de estos servicios ha llegado a un punto donde el 99% de las personas no podría distinguir una llamada o videollamada falsa de una real. No es exageración — es el estado actual de la tecnología.
BEC: la suplantación de identidad por correo
El correo electrónico sigue siendo el canal de comunicación más usado en las empresas — y lo seguirá siendo. Por eso los ataques BEC (Business Email Compromise) siguen creciendo. No solo desde el punto de vista del phishing, sino desde la suplantación de identidad: tu jefe, un proveedor, un colega. Se estima un aumento del 37% en este tipo de ataques.
Estos tres vectores no actúan solos. Muchas veces se combinan en cadena — un correo abre la puerta, una llamada deepfake la confirma, y una transferencia cierra el ciclo.
Colombia y LATAM no son la excepción
Estos ataques no son ajenos al mercado latinoamericano. Colombia registra el 8% de los ciberataques en LATAM, solo por debajo de Brasil y México. Según Gartner, el 30% de los ataques de ingeniería social en la región harán uso de IA para 2026.
Las herramientas tradicionales ya no son suficientes
El filtro de correo no detecta un ataque de phishing bien construido. El antivirus no detiene una llamada falsa. Seguimos pensando en soluciones diseñadas para los ataques de hace cinco años — y los atacantes ya avanzaron.
¿Qué hacemos entonces?
Tres acciones concretas
Verificación por un segundo canal. Si tu jefe te pide una transferencia o una acción inusual, confírmala por un medio diferente al que llegó la solicitud. Si llegó por correo, llama. Si llegó por llamada, confirma por mensaje escrito. El mismo principio de la autenticación multifactor, aplicado a las comunicaciones humanas.
Una palabra o frase clave. Algo que solo el equipo conoce y que permite verificar rápidamente quién está al otro lado de una llamada. Funciona en empresas y también en hogares.
Simulacros reales, no charlas. La concientización tradicional ya no es suficiente. Las charlas no preparan al usuario para los ataques actuales. Lo que sí funciona son ejercicios activos de phishing y deepfake — situaciones reales donde el equipo practica la detección antes de que llegue el ataque verdadero.
Ya vimos la IA desde adentro y desde afuera de la organización. En el siguiente post vamos a construir el modelo que gobierna todo lo que hemos hablado — políticas, marcos de referencia y los primeros pasos hacia una estrategia real.
Lee los posts anteriores de la serie:
- Post 01 — ¿Qué significa proteger la IA en tu empresa?
- Post 02 — Shadow AI: la fuga de datos que nadie ve
Referencias
Programs.com. (2026, mayo 5). New report: Over 80% of cyberattacks now use AI. https://programs.com/resources/ai-cyberattack-stats/
Stingrai. (2026, abril 26). Phishing statistics 2026: BEC, AiTM, AI attacks. https://www.stingrai.io/blog/phishing-statistics-2026
Infoestafas. (2025, diciembre 2). Deepfakes y llamadas falsas en Colombia: nuevo cibercrimen. https://infoestafas.com/colombia-frente-al-nuevo-mercado-del-cibercrimen-deepfakes-y-llamadas-falsas/
Vectra AI. (2026, marzo 23). AI scams in 2026: How they work and how to detect them. https://www.vectra.ai/topics/ai-scams
SQ Magazine. (2026, abril 7). AI voice cloning fraud statistics 2026: Alarming trends. https://sqmagazine.co.uk/ai-voice-cloning-fraud-statistics/
Digital Perito. (2026, febrero 5). Deepfakes IA y fraude empresarial 2026: detección forense y certificación. https://digitalperito.es/blog/deepfakes-ia-fraude-empresarial-2026-deteccion-forense-certificacion/
Zamakt. (2026, febrero 20). La estafa del CEO deepfake: cómo la clonación de voz con IA se convirtió en la nueva amenaza BEC. https://www.zamakt.com/es_419/blog/news-2/extorsion-digital-sin-cifrado-la-nueva-tactica-que-crecio-11-veces-en-un-ano-2035
ITSitio Colombia. (2025, noviembre 20). Deepfakes y 36.000 millones de ciberataques: Colombia entra en la era donde el smartphone es el mejor escudo digital. https://www.itsitio.com/co/seguridad/deepfakes-y-36-000-millones-de-ciberataques-colombia-entra-en-la-era-donde-el-smartphone-es-el-mejor-escudo-digital/
AllAboutAI. (2025, diciembre 25). AI cyberattack statistics 2026: What the data warns us about. https://www.allaboutai.com/resources/ai-statistics/ai-cyberattack/