Volver al blog

Tendencias de phishing en 2026: lo que realmente está cambiando (y lo que no)

Echa un vistazo a las principales tendencias de phishing para 2026: deepfakes con IA, móviles/QR, abuso del consentimiento en SaaS e infraestructura de confianza. Defensas prácticas para pymes.

Por Equipo de Autophish|Publicado el 11/26/2025
Cover image for Tendencias de phishing en 2026: lo que realmente está cambiando (y lo que no)

Si trabajas en seguridad o cumplimiento normativo, puede parecer que cada año se declara «el año del phishing». La mala noticia: eso seguirá siendo cierto en 2026. La buena noticia: las tendencias son más evolución que ciencia ficción.

La mayor parte de lo que veremos en 2026 se basa directamente en lo que ya está afectando a las organizaciones hoy en día: estafas con códigos QR y móviles, el abuso del consentimiento en SaaS, el compromiso del correo electrónico empresarial (BEC) y los atacantes que van a por la confianza en sí misma en lugar de solo por las contraseñas. Los principales informes de amenazas de ENISA y Microsoft siguen incluyendo la ingeniería social y el phishing entre los riesgos de mayor nivel, con el smishing (phishing por SMS) y los ataques basados en códigos QR («quishing») creciendo rápidamente (por ejemplo, los resúmenes del panorama de amenazas de ENISA: Resumen del panorama de amenazas de ENISA y el informe «Panorama de amenazas de ENISA 2023»: Informe «Panorama de amenazas de ENISA 2023», así como los informes de defensa digital de Microsoft: Portal de los informes de defensa digital de Microsoft).

Esta guía te explica 10 tendencias concretas de phishing para 2026, por qué son importantes específicamente para las pymes y qué puedes hacer de forma realista en los próximos 90 días, sin necesidad de un presupuesto de Hollywood.

El resumen: qué va a cambiar realmente en 2026

Aquí tienes la versión resumida para tu próxima reunión de la junta directiva o de la dirección:

  • El BEC asistido por deepfakes se generaliza
    La suplantación de identidad por voz y vídeo pasa de ser «¡guau, qué demo más chula!» a «el equipo de finanzas recibió una llamada así la semana pasada». Las últimas ediciones del Informe de Defensa Digital de Microsoft señalan explícitamente los deepfakes como facilitadores del BEC (por ejemplo: Informe de Defensa Digital de Microsoft 2025 (PDF)).

  • El phishing sigue tus chats y códigos QR
    WhatsApp, Signal, Teams, y los flujos de inicio de sesión mediante QR se convierten en objetivos principales, no en tareas secundarias. Los informes sectoriales de la ENISA y el panorama de amenazas financieras destacan el smishing y el phishing basado en QR como vectores de ataque en auge: Panorama de amenazas de la ENISA – Sector financiero.

  • Las contraseñas importan menos que los tokens y los consentimientos
    El phishing de consentimiento OAuth y el robo de tokens de sesión proporcionan a los atacantes un acceso duradero sin necesidad de «iniciar sesión». Consulta el artículo de Microsoft «Explicación y prevención del phishing de consentimiento OAuth»: Blog de Microsoft Entra – Explicación y prevención del phishing de consentimiento OAuth.

  • Abusar de la «infraestructura de confianza» es mejor que suplantar tu marca
    Los dominios legítimos de Microsoft/Google, los formularios web, los creadores de sitios web y las herramientas de asistencia técnica son secuestrados para ofrecer señuelos extremadamente convincentes.

  • Las aplicaciones de big data se convierten en cofres del tesoro con un solo clic
    Los almacenes de datos (Snowflake y otros) y los servicios para compartir archivos son objetivos de gran valor y fácil acceso si se compromete una sola identidad o token. La campaña UNC5537/Snowflake es un ejemplo perfecto, documentado aquí: Google Cloud / Mandiant – UNC5537 ataca a Snowflake y en la guía de detección de amenazas asociada: Guía de detección de amenazas de Snowflake (PDF).

  • La normativa por fin se pone al día
    Marcos como NIS2 exigen explícitamente una formación continua y auditable en materia de concienciación sobre seguridad y phishing, no solo un curso de e-learning puntual (consulta el texto legal de NIS2 en EUR-Lex: Texto legal de la Directiva NIS2 y las orientaciones prácticas de formación, como la Guía de formación y concienciación de NIS2).

Y sí: la automatización es la clave. Las organizaciones que prueban, miden y ajustan los controles de forma continua simplemente obtienen mejores resultados que aquellas que organizan una «semana de concienciación cibernética» al año.

De un vistazo: 10 tendencias de phishing y medidas rápidas

|

| Tendencia | Por qué les encanta a los atacantes | Medida rápida para empezar este mes |

|---|-------|-----------------------|----------------------------------------| | 1 | BEC asistido por deepfakes | Alto retorno de la inversión, bajo volumen, muy personalizado | Aprobaciones de pago estrictas + reglas de devolución de llamada | | 2 | Móviles y mensajería + QR | Todo el mundo vive en el chat; QR = inicio de sesión silencioso | Actualización de BYOD, restringir los enlaces en dispositivos no gestionados | | 3 | Abuso del consentimiento SaaS y OAuth | Acceso sin contraseña con tokens de larga duración | Gestión del consentimiento de las apps, listas de permitidos para tenants | | 4 | Abuso de la «infraestructura de confianza» | Los dominios propios parecen «obviamente seguros» | Filtros de antigüedad de URL, DMARC estricto en todas las rutas de correo | | 5 | Phishing con apariencia interna | «Viene de dentro» reduce las sospechas | Refuerza los conectores, supervisa el correo con apariencia interna | | 6 | Phishing sin credenciales | Los tokens, no las contraseñas, son las nuevas claves | Claves FIDO2, tokens vinculados al dispositivo, controles contra la fatiga de la autenticación multifactorial (MFA) | | 7 | Campañas sincronizadas con el sector | Impuestos / viajes / deportes = picos de clics | Avisos y simulaciones basados en el calendario | | 8 | Señuelos LLM localizados | El tono y la jerga nativos eluden el filtro de «mal inglés» | Enseña señales de alerta estructurales, no la calidad del lenguaje | | 9 | Pivote de almacenes de datos y archivos compartidos | Una cuenta → millones de registros | SSO + MFA en todas partes, análisis de comportamiento | |10| Presión regulatoria y auditorías | Los consejos de administración deben demostrar la debida diligencia | Simulaciones trimestrales con registros de auditoría limpios |

A continuación, analizamos cada tendencia con: Novedades en 2026 → Lo que estamos viendo → Actúa ahora.

Tendencia 1: El BEC asistido por deepfakes se generaliza

Novedades en 2026

El compromiso del correo electrónico empresarial (BEC) ha sido una de las amenazas cibernéticas más costosas durante años, y los Informes de Defensa Digital de Microsoft y otros análisis de proveedores siguen mostrando el BEC como uno de los principales ataques por impacto (por ejemplo, el informe de 2023: Informe de Defensa Digital de Microsoft 2023 (PDF)).

Lo que está cambiando es la calidad y la accesibilidad de las herramientas de deepfake:

  • Los servicios de clonación de voz pueden crear un creíble «director financiero hablando por Bluetooth en un taxi» en cuestión de minutos.
  • Las herramientas disponibles en el mercado pueden generar vídeos cortos que superan una rápida comprobación de autenticidad en una llamada apresurada de Teams.
  • Los reguladores y las unidades de delitos financieros están advirtiendo explícitamente sobre estafas que usan audio y vídeo deepfake en transacciones de alto valor (mira la sección sobre estafas con deepfake en el Informe de Defensa Digital de Microsoft 2025: Informe de Defensa Digital de Microsoft 2025 (PDF)).

El resultado: las clásicas historias de BEC, pero con una cara y una voz sintéticas añadidas.

Lo que estamos viendo sobre el terreno

Los atacantes se saltan cada vez más los largos hilos de correo electrónico y pasan directamente a las «llamadas urgentes» para impulsar cambios en los pagos, nuevas cuentas de beneficiarios o transferencias de alto riesgo, haciendo referencia a proyectos reales y jerga interna que han extraído de correos electrónicos, LinkedIn y datos filtrados.

Actúa ahora

  • Política:
    • Exige una verificación fuera de canal (llamada de vuelta a un número verificado desde tu ERP/CRM) para todos los datos bancarios nuevos o modificados y las transferencias de gran cuantía.
  • Control:
    • Configura retenciones de pago y aprobaciones dobles por encima de los umbrales; lo ideal es que haya dos personas que aprueben, de departamentos diferentes.
  • Concienciación:
    • Forma al personal para que sepa que «los vi en vídeo» no es un control. Realiza simulaciones en vivo en las que un «director financiero» falso llame en un momento de mucho trabajo.

Tendencia 2: Phishing móvil y por mensajería + códigos QR como tokens de autenticación

Novedades en 2026

El phishing ya no es solo un problema de correo electrónico:

  • El smishing y el phishing en aplicaciones de mensajería (WhatsApp, Signal, Telegram, chats corporativos) se han disparado, con ataques basados en URL y trucos con códigos QR para secuestrar cuentas. El panorama de amenazas del sector financiero de la ENISA señala que el phishing, el smishing y el vishing se encuentran entre los tipos de ataque más comunes contra las instituciones financieras europeas: Panorama de amenazas de la ENISA – Sector financiero.
  • Los atacantes abusan cada vez más de los códigos QR como mecanismos de inicio de sesión, engañando a la gente para que escanee códigos que vinculan sus cuentas a un dispositivo o sesión controlada por el atacante. Este patrón aparece en varios informes recientes sobre apropiaciones de cuentas de mensajería y campañas de malware móvil.

Si a esto le sumas el BYOD y los canales de mensajería paralelos, el resultado es un terreno de juego ideal.

Lo que estamos viendo sobre el terreno

Los casos reales muestran que funcionarios del gobierno y ejecutivos pierden sus cuentas de mensajería a través de códigos QR maliciosos, y los informes de amenazas destacan un enorme crecimiento de las campañas de phishing basadas en URL y códigos QR frente a los clásicos archivos adjuntos (por ejemplo, la visión general de ENISA sobre los vectores de ataque de ingeniería social: Visión general del panorama de amenazas de ENISA).

Actúa ya

  • Política:
    • Actualiza las políticas de BYOD y mensajería: qué apps están permitidas para el trabajo, cuáles no y qué está estrictamente prohibido (por ejemplo, compartir códigos QR de inicio de sesión o capturas de pantalla de solicitudes de autenticación).
  • Control:
    • Impone la correspondencia de números y la vinculación de dispositivos para la autenticación multifactorial (MFA); restringe, en la medida de lo posible, la vinculación de cuentas a nuevos dispositivos desde terminales no gestionados.
  • Concienciación:
    • Realiza simulaciones que imiten avisos de entrega, solicitudes de MFA e invitaciones de chat —incluidos códigos QR— para enseñar a la gente a pararse a pensar antes de escanear.

Tendencia 3: Phishing de consentimiento en SaaS y abuso de tokens OAuth

Novedades en 2026

En lugar de robar contraseñas, los atacantes simplemente piden a tus usuarios que hagan clic en «Aceptar».

En el phishing de consentimiento OAuth, se atrae al usuario a una pantalla de consentimiento de aspecto legítimo que solicita permisos para leer el correo electrónico, los archivos o los calendarios. Una vez que lo aprueban, el atacante obtiene un token de acceso de larga duración: sin contraseña, sin solicitud de MFA y, a menudo, sin un registro de inicio de sesión evidente que analizar. La explicación oficial de Microsoft cubre este patrón en detalle:
Blog de Microsoft Entra – Explicación y prevención del phishing de consentimiento OAuth

Investigadores independientes también están analizando cómo está evolucionando el phishing de consentimiento para eludir los controles de detección, por ejemplo:
Push Security – Cómo está evolucionando el phishing de consentimiento y
Valence Security – La creciente amenaza del phishing de consentimiento

Las campañas recientes incluso se aprovechan de agentes de IA y herramientas de bajo código; los bots comprometidos se pueden usar para robar tokens OAuth a gran escala (por ejemplo, la técnica «CoPhish» que abusa de los agentes de Microsoft Copilot Studio: TechRadar – Agentes de Copilot Studio secuestrados para robar tokens OAuth).

Lo que estamos viendo sobre el terreno

Los equipos de seguridad en la nube informan de más incidentes de «acceso misterioso a los datos» en los que no se aprecia ningún cambio de contraseña ni inicio de sesión sospechoso, solo una aplicación recién autorizada con amplios permisos sobre los buzones de correo y SharePoint.

Actúa ya

  • Política:
    • Define qué equipos pueden aprobar nuevas aplicaciones y qué «alcances de alto riesgo» (por ejemplo, Mail.ReadWrite, Files.Read.All) requieren una revisión formal.
  • Control:
    • Utiliza la gestión del consentimiento de aplicaciones de tu IdP: desactiva el consentimiento impulsado por el usuario siempre que sea posible, mantén listas de permitidos de inquilinos y habilita la evaluación continua del acceso o algo equivalente.
  • Concienciación:
    • Incluye pantallas de consentimiento y flujos de «Iniciar sesión con...» en la formación; la mayoría de los usuarios no se dan cuenta de que esas ventanas emergentes pueden ser maliciosas.

Tendencia 4: Abuso de la «infraestructura de confianza» (formularios, creadores de sitios web, herramientas de soporte)

Novedades en 2026

¿Para qué molestarse en suplantar tu dominio si un atacante puede enviar enlaces a través de:

  • *.microsoft.com (Formularios, SharePoint, Copilot, etc.)
  • *.google.com (Docs, Drive, Sites)
  • Creadores de sitios web y plataformas de soporte muy conocidos (sistemas de tickets, herramientas RMM, programas de correo electrónico CRM)

Los principales informes sobre amenazas señalan que las URL maliciosas alojadas en servicios legítimos superan ahora con creces a los clásicos archivos adjuntos maliciosos (véanse, por ejemplo, los Informes de Defensa Digital de Microsoft y los resúmenes de ENISA sobre tendencias de ingeniería social:
Portal de Informes de Defensa Digital de Microsoft
ENISA – Las tecnologías emergentes facilitan el phishing).

Lo que estamos viendo sobre el terreno

Estamos viendo más campañas en las que todo el flujo —desde el formulario hasta el archivo y el correo electrónico de seguimiento— pasa por una infraestructura en la nube legítima, lo que complica mucho las cosas a los filtros tradicionales que se basan únicamente en la reputación del dominio.

Actúa ya

  • Política:
    • Exige que cualquier formulario de cara al cliente que recopile datos confidenciales esté documentado y registrado de forma centralizada (para que puedas detectar las falsificaciones).
  • Control:
    • Usa pasarelas de correo electrónico seguras o herramientas nativas de la nube que comprueben la antigüedad de la URL, el contexto de alojamiento y los tipos de archivo en lugar de solo la reputación del remitente; aplica la alineación DMARC a todas las rutas de correo legítimas, incluidas las herramientas de soporte y gestión de incidencias. La descripción general del «Panorama de amenazas» de ENISA ofrece un buen resumen de estos vectores: Descripción general del Panorama de amenazas de ENISA.
  • Concienciación:
    • Informa a los usuarios: «Dominio legítimo» ≠ solicitud legítima. Pregunta «¿Esperaba este formulario/archivo/correo de soporte?» como un acto reflejo.

Tendencia 5: Phishing de aspecto interno sin compromiso real

Novedades en 2026

Muchos sistemas de correo electrónico en la nube ofrecen funciones como envío directo, conectores y retransmisores para que las aplicaciones y los dispositivos puedan enviar correo «como si fuera interno». Si están mal configurados, permiten:

  • Correos que parecen proceder del interior de tu organización o de clientes de socios de confianza
  • Correos del sistema o de gestión de incidencias que eluden los filtros intensivos

Los atacantes abusan cada vez más de estas funciones, o comprometen una sola cuenta de servicio, para enviar phishing «interno» sin hackear ningún buzón de correo humano.

Lo que estamos viendo sobre el terreno

Los equipos de respuesta a incidentes informan con frecuencia de campañas de phishing «internas» que se originan en rangos de IP inesperados, relés mal configurados o buzones compartidos comprometidos, y no desde el portátil del director general.

Actúa ahora

  • Política:
    • Haz un inventario de todos los sistemas autorizados a enviar correo como tu dominio y define quién es el responsable y la justificación empresarial. Si no hay responsable, no se envía.
  • Control:
    • Refuerza los conectores de correo: limítalos a rangos de IP y métodos de autenticación específicos; supervisa los picos de tráfico interno-interno con patrones inusuales.
  • Concienciación:
    • Añade un mantra a la formación en concienciación: «Interno ≠ seguro por defecto». Fomenta la notificación de cualquier solicitud interna extraña, no solo las externas.

Tendencia 6: Phishing sin credenciales: tokens, sesiones y fatiga de la autenticación multifactorial (MFA)

Novedades en 2026

Si tu estrategia es «contraseñas seguras + MFA y ya estamos», 2026 te saluda.

Los análisis actuales de brechas muestran que los atacantes están recurriendo a técnicas de cookies de sesión, tokens de actualización y fatiga de MFA:

  • Robar tokens del navegador mediante malware o infostealers
  • «Bombardear» a los usuarios con notificaciones hasta que acepten las solicitudes de autenticación por accidente
  • Capturar tokens en tiempo real mediante kits de phishing de tipo «adversario en el medio»

La campaña Snowflake/UNC5537 es un caso de libro de lo que ocurre cuando las credenciales robadas y la falta de MFA se encuentran con una potente plataforma de datos:
Google Cloud / Mandiant – UNC5537 ataca a Snowflake
Guía de detección de amenazas de Snowflake (PDF)
También hay disponible un buen resumen general de la Cloud Security Alliance: Cloud Security Alliance – Análisis de la filtración de datos de Snowflake de 2024.

Lo que estamos viendo sobre el terreno

En incidentes graves como el robo de datos relacionado con Snowflake, los atacantes solían usar credenciales y tokens robados anteriormente para acceder a plataformas de datos de gran valor, y luego exfiltrar y extorsionar a gran escala.

Actúa ya

  • Política:
    • Exige autenticación multifactorial (MFA) resistente al phishing (llaves de seguridad FIDO2 o claves de acceso) primero para los administradores y los puestos de alto riesgo.
  • Control:
    • Impone tokens vinculados a dispositivos, acceso condicional (viajes imposibles, direcciones IP inusuales) y revocación automática de tokens tras eventos sospechosos.
  • Concienciación:
    • Forma al personal para que entienda que las solicitudes repetidas de MFA = emergencia, no una molestia. Simula escenarios de fatiga de MFA en tu programa de phishing.

Tendencia 7: Campañas sincronizadas con el sector (impuestos, viajes, deportes, subvenciones)

Novedades en 2026

Los atacantes son expertos en OSINT de calendario:

  • Plazos fiscales
  • Grandes eventos deportivos
  • Plazos para subvenciones y ayudas
  • Temporadas habituales de viajes

Los informes de inteligencia sobre amenazas muestran que las campañas de phishing se concentran en torno a estos eventos, con señuelos que prometen devoluciones, entradas o tareas urgentes de cumplimiento normativo. La ENISA y diversos informes sectoriales señalan la ingeniería social como un factor clave en los incidentes relacionados con el fraude y las finanzas, por ejemplo:
Panorama de amenazas de la ENISA – Sector financiero y un resumen fácil de leer aquí: ComplexDiscovery – Aumento de las ciberamenazas en el sector financiero europeo.

Lo que estamos viendo sobre el terreno

Las pymes informan cada vez más de oleadas breves e intensas de phishing muy personalizado justo cuando todo el mundo se apresura a enviar formularios, comprar entradas o solicitar descuentos.

Actúa ahora

  • Política:
    • Crea un «calendario cibernético» junto a tu calendario empresarial: anota los periodos de alto riesgo para tu sector y tu zona geográfica.
  • Control:
    • Preconfigura banners o avisos en el correo electrónico para palabras clave específicas (impuestos, devolución, entrada, subvención) en torno a esos periodos.
  • Concienciación:
    • Realiza simulaciones de phishing programadas y consejos puntuales una semana antes de los eventos de riesgo previsibles.

Tendencia 8: Señuelos LLM localizados (imitación de lenguaje y tono)

Novedades en 2026

Los modelos de lenguaje a gran escala (LLM) han acabado en gran medida con la vieja regla empírica de «malas ortografía = phishing».

  • Los atacantes pueden generar correos electrónicos perfectamente localizados en alemán austriaco, inglés británico, portugués brasileño… incluyendo expresiones idiomáticas y niveles de cortesía.
  • Los datos públicos (sitios web, redes sociales, anuncios de empleo) les permiten imitar el tono de voz de tu organización con una precisión inquietante.

La ENISA señala explícitamente que las tecnologías emergentes, como la IA y la automatización, ayudan a los atacantes a analizar el comportamiento y a lanzar ataques de phishing mejor dirigidos: ENISA – Las tecnologías emergentes facilitan el phishing.
Las campañas de concienciación en toda Europa ahora destacan la IA, los deepfakes y el smishing como temas centrales (por ejemplo: ENISA – Promover la seguridad en el mundo digital durante el Mes Europeo de la Ciberseguridad).

Lo que estamos viendo sobre el terreno

Cada vez más organizaciones denuncian correos de phishing en los que la calidad del lenguaje es indistinguible de la de una comunicación interna auténtica, hasta en las firmas y las frases estándar. Artículos como este resumen de TechRadar describen cómo los correos de phishing generados por IA ahora parecen más pulcros y convincentes que muchos correos legítimos:
TechRadar – La IA está haciendo que los correos de phishing sean mucho más convincentes.

Actúa ya

  • Política:
    • Elimina de los materiales de formación oficiales las recomendaciones del tipo «busca errores ortográficos»; ahora son claramente engañosas.
  • Control:
    • Invierte en detección basada en el contenido que analice la intención, los enlaces y los archivos adjuntos, no solo simples firmas o listas de bloqueo.
  • Concienciación:
    • Enseña en su lugar indicios estructurales: urgencia inesperada, canales inusuales, peticiones de saltarse el proceso o páginas de inicio de sesión que no se ajustan a los flujos normales.

Tendencia 9: El giro hacia los almacenes de datos y el intercambio de archivos (Snowflake, Drive, SharePoint y similares)

Novedades en 2026

Los sistemas centrados en datos como Snowflake, BigQuery, los lagos de datos S3 y las plataformas de colaboración contienen volúmenes increíbles de datos operativos y de clientes.

Las investigaciones recientes sobre el robo de datos relacionado con Snowflake en 2024 muestran cómo los atacantes utilizaron credenciales y tokens robados para acceder a múltiples entornos de clientes y lanzar campañas de extorsión a gran escala, tal y como describen Mandiant y Snowflake:
Google Cloud / Mandiant – UNC5537 ataca a Snowflake
Guía de caza de amenazas de Snowflake (PDF)
La Cloud Security Alliance también ofrece una buena explicación imparcial:
Cloud Security Alliance – Desentrañando la filtración de datos de Snowflake de 2024
y la descripción general de Wikipedia ofrece contexto sobre el impacto más amplio:
Wikipedia – Fuga de datos de Snowflake

Para los atacantes, estas plataformas son un sueño:

  • Una sola identidad comprometida puede dar acceso a millones de registros.
  • Los datos pueden filtrarse discretamente a través de consultas que parecen normales.

Lo que estamos viendo en la práctica

Incluso las organizaciones más pequeñas confían ahora en almacenes de datos en la nube y unidades compartidas para todo, desde exportaciones de CRM hasta informes de RR. HH., a menudo con cuentas de servicio y roles con privilegios excesivos que nadie revisa.

Actúa ya

  • Política:
    • Trata las plataformas de datos como «joyas de la corona» en tu registro de riesgos; exige aprobaciones explícitas sobre quién puede acceder a qué y por qué.
  • Control:
    • Impone SSO + MFA para todos los accesos; reduce los privilegios permanentes; supervisa las consultas, exportaciones y descargas anómalas.
  • Concienciación:
    • Incluye escenarios de «datos a gran escala» en la formación: el personal debe saber que una sola cuenta de análisis comprometida puede ser peor que 100 bandejas de entrada.

Tendencia 10: Presión regulatoria → programas de concienciación y antiphishing auditables

Novedades en 2026

Normativas como la Directiva NIS2 (UE) elevan explícitamente el listón en materia de gobernanza, gestión de riesgos y concienciación del personal en muchos sectores, incluidas las organizaciones medianas.

El texto legal está disponible aquí:
https://eur-lex.europa.eu/eli/dir/2022/2555/oj/eng

Las explicaciones prácticas aclaran las expectativas:

Temas clave:

  • La concienciación sobre la seguridad no es opcional para las entidades afectadas: los reguladores esperan pruebas.
  • Los consejos de administración y los órganos de gestión son explícitamente responsables de la supervisión del riesgo cibernético.
  • La documentación es importante: las políticas, los registros de formación y la gestión de incidentes deben resistir un escrutinio riguroso.

Lo que estamos viendo sobre el terreno

Las pymes que antes se limitaban a una presentación de diapositivas anual ahora se apresuran a mostrar simulaciones de phishing estructuradas y periódicas, seguimiento de la asistencia y seguimientos documentados, especialmente cuando tratan con clientes regulados.

Nota: Nada de lo que aparece en este artículo constituye asesoramiento legal. Consulta siempre a tu equipo jurídico o de cumplimiento normativo para interpretar la NIS2 y las leyes relacionadas en tu jurisdicción.

Actúa ya

  • Política:
    • Define una política formal de concienciación sobre seguridad y phishing: frecuencia, grupos destinatarios, métricas y responsabilidades.
  • Control:
    • Implementa una plataforma que ofrezca opciones de anonimización, la posibilidad de darse de baja cuando sea necesario y informes claros, en línea con las expectativas del comité de empresa y del RGPD; por ejemplo, los modos que respetan la privacidad descritos en la guía de anonimización de AutoPhish en https://autophish.io/anonymization (o tu URL local equivalente).
  • Concienciación:
    • Deja claro que las simulaciones de phishing tienen como objetivo aprender, no castigar: una cultura sin culpas mejora realmente las tasas de notificación.

Prioridades de las pymes para este trimestre (plan de 90 días)

No hace falta arreglarlo todo de golpe. Aquí tienes una hoja de ruta realista de 90 días.

Semanas 1–4: Consigue visibilidad y resultados rápidos

  • Realiza una prueba de phishing de referencia entre un amplio grupo de usuarios para conocer las tasas de clics y de notificación.
  • Identifica tus procesos empresariales críticos que podrían verse afectados por el phishing (pagos, cambios de RR. HH., acceso remoto, exportación de datos).
  • Activa o refuerza la autenticación multifactorial (MFA) para todas las cuentas, dando prioridad a los administradores y al acceso externo.
  • Revisa los conectores/relés de correo y documenta qué sistemas envían mensajes en nombre de tu dominio.

Semanas 5-8: Refuerza los flujos de alto riesgo

  • Implanta la autenticación multifactorial (MFA) resistente al phishing (FIDO2 / claves de acceso) para los administradores de finanzas, RR. HH. y TI.
  • Implementa una gestión básica del consentimiento de aplicaciones: desactiva el consentimiento abierto siempre que sea posible y define una lista de aplicaciones permitidas para uso empresarial.
  • Actualiza las políticas de BYOD y mensajería, incluyendo normas para inicios de sesión mediante códigos QR y aprobaciones a través de chat.
  • Configura banners de seguridad y filtros para mensajes relacionados con impuestos, subvenciones y pagos antes de los periodos de mayor actividad.

Semanas 9-12: Crea prácticas sostenibles y auditables

  • Pasa de pruebas puntuales a un programa de simulación recurrente (por ejemplo, pequeñas campañas mensuales + una «gran campaña» trimestral).
  • Introduce un botón de notificación sencillo, con un solo clic en el correo y forma al personal para que lo use.
  • Documenta tu programa: políticas, calendarios, ajustes de anonimización y métricas resumidas; esto te ayudará con las auditorías de NIS2 y de los clientes.
  • Alinea las simulaciones de phishing con otras iniciativas de seguridad (simulacros de respuesta a incidentes, ejercicios de simulación, evaluaciones de proveedores).

Si no haces nada más en 2026, poner en marcha estos aspectos básicos te situará por delante de muchos de tus competidores.

Cómo ayuda AutoPhish (sin el bingo de palabras de moda)

Las herramientas no arreglan la cultura por arte de magia, pero pueden facilitar lo correcto y dificultar lo incorrecto.

AutoPhish está diseñado específicamente para pymes que necesitan formación moderna en phishing sin tener que convertirse en SOC a tiempo completo:

  • Lanza campañas de phishing automatizadas y programadas que reflejan las tendencias mencionadas anteriormente (móviles, códigos QR, pantallas de consentimiento, señuelos al estilo BEC).
  • Utiliza modos respetuosos con la privacidad y opciones de anonimización que tranquilizan mucho a los comités de empresa y a los responsables de protección de datos (consulta la guía pública de anonimización, por ejemplo: Guía de anonimización de AutoPhish).
  • Cumple con normativas como la NIS2 proporcionando registros de auditoría claros: quién fue el objetivo, cómo se configuraron las campañas y qué mejoras se obtuvieron.
  • Combina plantillas basadas en roles (finanzas, RR. HH., ejecutivos, TI) con contenido localizado para que los usuarios vean señuelos realistas y en el idioma adecuado.
  • Integra simulaciones en tu contenido de formación actual, incluyendo vídeos de proveedores y tus propios materiales de concienciación.

Si ahora mismo estás comparando herramientas, echa un vistazo a nuestros análisis en profundidad sobre:

Preguntas frecuentes: El phishing en 2026

¿El phishing sigue centrándose principalmente en el correo electrónico?

El correo electrónico sigue siendo un vector importante, pero el phishing basado en URL y chats ha superado a los clásicos ataques basados en archivos adjuntos, y el smishing y las estafas basadas en códigos QR están creciendo rápidamente. Los resúmenes del panorama de amenazas y los informes sectoriales de la ENISA ofrecen buenos datos sobre esta tendencia:
Resumen del panorama de amenazas de la ENISA
Panorama de amenazas de la ENISA – Sector financiero

¿De verdad se puede hacer phishing por teléfono o WhatsApp?

Sí. Las llamadas de voz, el buzón de voz, los SMS y las apps de mensajería se usan para el vishing, el smishing y el phishing por chat. Los materiales de la ENISA para el Mes Europeo de la Ciberseguridad se centran explícitamente en la ingeniería social, el smishing y los deepfakes:
ENISA – Promoviendo la seguridad en el mundo digital durante el Mes Europeo de la Ciberseguridad

¿Son realmente ilegales los correos electrónicos de phishing?

En la mayoría de las jurisdicciones, el phishing implica *delitos de fraude, robo de identidad o uso indebido de ordenadores. Incluso si un intento de phishing fracasa, enviar este tipo de mensajes puede infringir las leyes sobre acceso no autorizado o uso indebido de datos. Consulta a un asesor legal local para conocer los detalles, especialmente si estás diseñando simulaciones internas.

¿Hace la IA que el phishing sea imparable?

No, pero sí hace que el phishing de bajo esfuerzo sea de mayor calidad. El equilibrio pasa de detectar errores ortográficos obvios a reconocer contextos, solicitudes y flujos sospechosos. Informes como el de ENISA «Las tecnologías emergentes facilitan el phishing» y el resumen de TechRadar sobre el phishing potenciado por la IA muestran cómo se están adaptando tanto los atacantes como los defensores:
ENISA – Las tecnologías emergentes facilitan el phishing
TechRadar – La IA está haciendo que los correos de phishing sean mucho más convincentes

Con la combinación adecuada de controles, cultura y pruebas continuas, el phishing potenciado por la IA es muy manejable.

¿Con qué frecuencia deberíamos realizar simulaciones de phishing?

Para la mayoría de las pymes, un buen punto de partida es:

  • Una pequeña campaña al mes (temas específicos, grupos reducidos)
  • Una campaña más amplia, para toda la organización, cada trimestre
  • Simulaciones adicionales motivadas por eventos en torno a la temporada de impuestos, grandes lanzamientos de productos u otros periodos de mucha actividad.

La clave es que sea algo predecible y recurrente y no punitivo, para que la gente participe en lugar de intentar burlar el sistema.

Lecturas adicionales y fuentes

Aquí tienes algunos puntos de partida fiables que se han utilizado al escribir este artículo (todos con las URL completas):

¿Listo para ver en qué punto estás?

No necesitas una bola de cristal para prepararte para 2026.

Realiza una prueba de phishing de referencia esta semana, analiza los resultados y decide cuál de las 10 tendencias anteriores es más importante para tu organización. Si necesitas ayuda para hacerlo de una manera respetuosa con la privacidad y compatible con el comité de empresa, puedes iniciar una prueba de AutoPhish en cualquier momento.

Volver a todas las publicaciones

Ejecute su primera prueba de phishing en 10 minutos.

Regístrate gratis, sin tarjeta de crédito. Prueba Pro gratis durante 7 días cuando estés listo.

Comience a simular ahora¿Necesita una demostración para un equipo más grande? Habla con nosotros →