Login Probar gratis
Phishing generado con ChatGPT: cómo la IA mejora los correos fraudulentos

Phishing generado con ChatGPT: cómo la IA mejora los correos fraudulentos

por MataSpam Phishing y Estafas

Los correos de phishing generados con ChatGPT han convertido a los estafadores mediocres en redactores casi impecables. El phishing IA elimina las faltas de ortografía, los giros raros y las traducciones literales que durante años nos servían para detectar fraudes. Ahora los correos IA imitan el tono corporativo de tu banco, replican la firma de tu jefe y redactan emails inteligencia artificial personalizados a partir de tu LinkedIn. El sueño del phishing perfecto ya no es un mito: es un prompt bien escrito. Y lo peor no es que exista, sino lo barato y rápido que se ha vuelto producirlo a escala industrial.

Por qué ChatGPT ha cambiado las reglas del phishing

Hasta 2022, un filtro antispam decente detectaba un phishing por sus errores gramaticales, sus frases calcadas de plantillas conocidas o su remitente sospechoso. Los modelos generativos cambiaron ese tablero.

Un atacante sin conocimientos de español puede ahora redactar un correo perfecto en catalán, valenciano o gallego. Puede imitar el estilo de una circular interna de Hacienda. Puede traducir una campaña rusa al portugués de Brasil manteniendo los matices culturales. Informes públicos de Europol y del NCSC británico entre 2023 y 2025 apuntan a un crecimiento sostenido del phishing con redacción de calidad desde la popularización de los LLM.

La industria del cibercrimen ha respondido con herramientas específicas. WormGPT y FraudGPT son variantes promocionadas en foros clandestinos como LLM sin filtros éticos, vendidas por suscripción mensual. No necesitan jailbreak: se presentan diseñadas para redactar estafas.

Señales de alerta que todavía funcionan

La IA escribe mejor, pero no lo sabe todo sobre ti. Los indicadores técnicos siguen siendo tu mejor amigo.

  • Dominio del remitente: la redacción puede ser perfecta, pero el correo seguirá viniendo de banco-santander-seguridad.com en lugar de santander.es.
  • URLs acortadas o disfrazadas: pasa el ratón por encima antes de pulsar. Si el texto dice una cosa y el destino otra, huye.
  • Urgencia artificial: "Tu cuenta se bloqueará en 24 horas". Ningún banco serio te escribe así.
  • Petición de credenciales: tu banco nunca pedirá tu contraseña completa por email. Nunca.
  • Archivos adjuntos inesperados: especialmente .zip, .iso, .html o macros de Office.

Una técnica complementaria útil es comprobar si un dominio se registró hace pocos días. Los dominios de phishing suelen tener menos de 30 días de vida. Herramientas como whois o urlscan.io lo muestran en segundos.

Los ataques que más están creciendo gracias a la IA

No todo phishing busca credenciales bancarias. El phishing IA ha amplificado vectores que antes requerían equipos humanos caros.

Spear phishing personalizado

El atacante alimenta al modelo con tu perfil de LinkedIn, tus tuits públicos y la web de tu empresa. El resultado: un correo aparentemente de tu CEO pidiéndote una transferencia urgente para una operación confidencial. La técnica se llama CEO fraud o Business Email Compromise (BEC). El FBI lleva años situándolo entre los fraudes corporativos más costosos.

Voice cloning combinado con correo

El correo llega. Inmediatamente después, suena el teléfono con la voz clonada del supuesto directivo confirmando la operación. Servicios como ElevenLabs o modelos open-source permiten clonar una voz con apenas segundos de muestra. Es el ataque híbrido del que ya alertaron casos como el de Arup en 2024, que perdió aproximadamente 25,6 millones de dólares en un fraude de videollamada deepfake.

Polymorphic phishing

La IA genera cada correo ligeramente distinto. Cambia palabras, reordena frases, varía el asunto. Los filtros basados en firmas estáticas (comparar hashes o frases conocidas) pierden efectividad. Los filtros modernos, incluidos los de proveedores como Google y Microsoft, ya combinan análisis semántico con reputación de dominios y autenticación SPF/DKIM/DMARC.

Qué hacer si has picado

Reconocer el error rápido limita el daño. Sigue este orden.

  1. Cambia la contraseña comprometida inmediatamente, y todas las que compartieran esa misma clave (error frecuente).
  2. Activa la verificación en dos pasos en esa cuenta y en las relacionadas.
  3. Contacta con tu banco si diste datos financieros. Pide el bloqueo preventivo.
  4. Comprueba si tu email aparece en filtraciones en Have I Been Pwned.
  5. Analiza cualquier adjunto descargado en VirusTotal antes de abrirlo.
  6. Denuncia al INCIBE (017) y a la Policía Nacional o Guardia Civil. Si hay datos personales comprometidos, también a la AEPD.

Si la contraseña filtrada también te servía para cifrar documentos, plantéate rotarla en todo tu gestor. Tenemos una guía práctica para empezar con un gestor de contraseñas que ahorra este tipo de sustos. Y si los archivos sensibles viajaban sin protección, merece la pena cifrar archivos y carpetas antes del próximo incidente.

Herramientas y medidas que aguantan la ola IA

Ninguna herramienta es bala de plata. La defensa funciona por capas.

CapaHerramienta o medidaQué aporta
AutenticaciónSPF + DKIM + DMARCEvita suplantación directa del dominio
NavegadoruBlock Origin, Safe BrowsingBloquea dominios maliciosos conocidos
Cuenta2FA con app o llave FIDO2Aunque den tu contraseña, no entran
AnálisisVirusTotal, urlscan.ioVerifica enlaces y adjuntos sospechosos
FiltradoFiltros con IA (tipo MataSpam)Detecta patrones semánticos y reputación
FormaciónSimulacros internosReduce la tasa de clic en campañas reales

La Directiva NIS2 europea y el RGPD obligan a muchas empresas a notificar incidentes en plazos cortos. Esto implica que cualquier organización necesita protocolos claros, no solo filtros. Para empresas que quieren integrar inteligencia artificial aplicada a sus procesos, la ciberseguridad debería entrar en la conversación desde el primer sprint.

Casos reales que conviene tener presentes

El ataque a Arup en Hong Kong (2024) es el ejemplo canónico: un empleado transfirió aproximadamente 25,6 millones de dólares tras una videoconferencia con deepfakes de varios directivos. El correo inicial era impecable y lo remató la videollamada.

En España, la Oficina de Seguridad del Internauta (OSI) del INCIBE publica alertas casi semanales sobre suplantaciones a la Agencia Tributaria, Correos, DGT y bancos. Durante 2024, las campañas con redacción en catalán y gallego correcta se multiplicaron. Antes, un phishing en catalán era risible; hoy pasa sin levantar sospechas.

Otro vector emergente son los correos que no piden nada: simplemente contienen un enlace que lleva a una web clonada de Microsoft 365. Muchos combinan técnicas como DNS spoofing para que la URL visible parezca legítima. La defensa sigue siendo la misma: mirar el certificado, el dominio real y, si hay dudas, escribir la URL a mano.

Preguntas frecuentes

¿Es legal usar ChatGPT para temas de ciberseguridad defensiva?

Sí, siempre que lo uses para proteger sistemas propios o con autorización explícita. Redactar simulacros de phishing para formar a empleados, analizar correos sospechosos o generar reglas de detección entra dentro de la ISO 27001 y prácticas habituales de red team autorizado.

¿Pueden los filtros antispam detectar correos escritos por IA?

Parcialmente. Los filtros modernos ya no dependen solo de la redacción: analizan el dominio, la reputación del servidor, las cabeceras SPF/DKIM/DMARC y el comportamiento del enlace. La detección automática de texto IA (como GPTZero) tiene tasas de error altas y no se usa como filtro principal en producción.

¿Cómo distingo un correo legítimo de mi banco de uno de phishing perfecto?

No lo distingas por el texto. Entra a tu banca online escribiendo la URL a mano o desde la app oficial. Si hay una gestión pendiente, aparecerá ahí. Tu banco jamás te pedirá la contraseña completa, códigos de firma ni enlaces para "verificar" la cuenta.

¿Sirve de algo denunciar al INCIBE si ya he picado?

Sí. La denuncia al 017 alimenta las bases de datos de dominios maliciosos y permite coordinar el bloqueo con operadores y registradores. Además, si hay pérdida económica o exposición de datos personales, la denuncia policial es necesaria para reclamar al banco y ante la AEPD.

¿Los gestores de contraseñas protegen del phishing IA?

Indirectamente, mucho. Los gestores completan credenciales solo en el dominio real registrado, así que si estás en una web falsa, no autocompletarán. Ese silencio del gestor es una alerta poderosa: si no ofrece tu contraseña, desconfía del dominio.

El siguiente paso

Abre tu correo ahora mismo, elige el último mensaje "urgente" que recibiste de un banco, Hacienda o un proveedor, y comprueba el dominio exacto del remitente (no el nombre mostrado, el correo completo detrás). Si no coincide con el dominio oficial, repórtalo como phishing y bórralo. Ese gesto de 30 segundos es la diferencia entre un susto y un incidente.

phishing chatgpt phishing ia correos ia emails inteligencia artificial phishing perfecto
MataSpam

Somos un equipo obsesionado con la ciberseguridad. Creamos guías prácticas para que no te la cuelen online. Sin edulcorantes, con mala leche y buen corazón.

Artículos relacionados

Angler phishing: cuentas falsas de soporte en redes sociales que te estafan
Phishing y Estafas

Angler phishing: cuentas falsas de soporte en redes sociales que te estafan

Estadísticas de phishing en España 2026: datos, tendencias y sectores más atacados
Phishing y Estafas

Estadísticas de phishing en España 2026: datos, tendencias y sectores más atacados

AiTM Phishing: el ataque de proxy inverso que roba sesiones en tiempo real
Phishing y Estafas

AiTM Phishing: el ataque de proxy inverso que roba sesiones en tiempo real

← Volver al blog