Una referencia analítica sobre el phishing en 2026 – datos de evolución del canal, análisis de impacto de la IA y lo que revelan los números sobre el mayor vector de ataque en el fraude moderno.
El phishing representó un estimado de 84% de los fraudes basados en la ingeniería social en 2025.La categoría sigue siendo el vector de ataque más grande entre los consumidores y los negocios, con el Grupo de Trabajo Anti-Phishing documentando aproximadamente 6,4 millones de sitios de phishing únicos identificados durante el año.
Tres cambios mensurables han definido el paisaje de phishing de 2025:
| Dimensión | 2022 | 2025 | Cambio |
|---|---|---|---|
| Comentarios desactivados en Phishing | 78% | 61% | 17 pp |
| Mensajes de SMS de phishing | 9% | 23% | Más de 14pp |
| Comparte el phishing | 8% | 11% | Más de 3pp |
| Otros canales (QR y social) | 5% | 5% | No cambia |
| Los correos electrónicos de phishing vencen la detección basada en contenido | ~24% | ~47% | Más de 23pp |
| Sitios de phishing activos identificados anualmente | ~3.5M | ~6.4M | +83% |
El porcentaje de canales calculado a partir de los informes de APWG y FTC que combinan datos de intentos de phishing en múltiples fuentes.
Los cambios revelan tres patrones estructurales: el phishing se ha expandido a través de nuevos canales en lugar de simplemente crecer en volumen, la calidad del contenido capacitado por IA ha erosionado materialmente las señales de detección tradicionales, y la escala absoluta de las operaciones se ha casi duplicado a pesar de la mejora de la infraestructura de detección.
El patrón funciona porque la mayoría de los destinatarios realmente tienen cuentas con los servicios que se imparten, creando una gran relevancia para porcentajes sustanciales de cualquier campaña distribuida en masa.
| El Brand | Componentes de la marca Impersonation | El pretexto principal |
|---|---|---|
| por microsoft | 24% | Office 365 contraseña expiración, suspensión de la cuenta |
| Amazonas | 18% | Pedidos no autorizados, verificación de cuentas |
| Apple | 11% | Almacenamiento en iCloud, verificación de Apple ID |
| Paypal | 9% | Limitaciones de cuenta, actividad sospechosa |
| 7% | Drive Sharing, seguridad de la cuenta | |
| por Netflix | 5% | Fracaso de pago, suspensión de la cuenta |
| Los bancos (en conjunto) | 14% | Verificación de cuentas, alertas de fraude |
| Otros | 12% | Varios minoristas, servicios |
Muchas operaciones de phishing utilizan múltiples pretextos de marca a través de ondas de campañas.
La concentración en plataformas de tecnología (Microsoft, Apple, Google) refleja su alcance universal: prácticamente todos los adultos estadounidenses tienen al menos una cuenta con estos proveedores. la alta cuota de Amazon refleja su posición como la plataforma de comercio electrónico dominante, con pretextos de confirmación de pedidos que logran una alta credibilidad porque la mayoría de los destinatarios realmente tienen pedidos recientes o futuros.
El subconjunto de phishing bancario muestra características distintivas: mayor pérdida por intento exitoso (debido al acceso financiero directo), mayor uso de seguimiento de voz después del contacto inicial por correo electrónico/SMS, y una infraestructura más sofisticada, incluyendo números de teléfono bancario falsos.
El phishing por SMS ha crecido más rápido que cualquier otra categoría de phishing, expandiéndose del 9% de los informes de phishing en 2022 al 23% en 2025.
| Factor | Efecto |
|---|---|
| Eliminar la infraestructura de filtrado de correo electrónico | Tarifas de envío más altas que el correo electrónico |
| Contexto de urgencia | Promueve la acción rápida sobre la evaluación cuidadosa |
| Formato de mensaje corto | Límites de señales visibles que los usuarios pueden evaluar |
| Números de móviles personales ampliamente disponibles | Mejora de la infraestructura dirigida a través de violaciones de datos |
| Capacidades de identificación de mensajería | Puede aparecer de cualquier fuente, incluyendo marcas legítimas |
| Detección de fraudes a nivel de operador menos madura | Sistemas de detección de la infraestructura de correo electrónico |
La distribución del patrón de phishing de SMS 2025:
| patrón | Comparte los informes de Smishing | Objetivo de captura típico |
|---|---|---|
| Paquete de entrega | 34% | Información de pago a través de "tasa de entrega" |
| Alerta bancaria | 21% | Credenciales de cuenta a través de seguimiento por voz |
| Autoridad Tributaria | 14% | Información personal, pago |
| Emergencia Familiar | 11% | Transferencia por cable, pago con tarjeta de regalo |
| Violación de impuestos / estacionamiento | 9% | Información de pago |
| Verificación de cuentas (varias) | 7% | Credenciales |
| Otros | 4% | Varios |
La predominancia del patrón de entrega de paquetes refleja el objetivo psicológico efectivo: la mayoría de los estadounidenses tienen paquetes en tránsito en cualquier momento, creando una alta relevancia de base para los mensajes de "problema de entrega". El marco de urgencia típico de estos mensajes ("su paquete se devolverá en 24 horas") alienta la acción inmediata sobre una verificación cuidadosa.
2025 fue el primer año en el que se mostró el impacto mensurable de la IA en la eficacia del phishing.Los datos revelan la inflexión en varias dimensiones observables:
| Detección heurística | 2022 Eficiencia | 2050 Eficiencia |
|---|---|---|
| "Los errores gramaticales como señal" | alta | Bajo (en gran medida obsoleto) |
| “Descubrimiento de frases difíciles” | alta | Bajo |
| “Brand template mismatch” | moderado | Bajo (AI replica con precisión) |
| “Saludos generales sospechosos” | moderado | Bajo nivel (personalización a escala) |
| Verificación inversa de búsqueda de imagen | alta | Bajo (imágenes sintéticas) |
| “La resistencia al clonamiento de voz” | N/A | Bajo (herramienta de clonación accesible) |
El paradigma tradicional de detección de phishing se basaba en señales de calidad de contenido a nivel de la superficie —tipos, frases incómodas, obviamente formatación falsa.
Gramática y phrasing: Las herramientas de IA producen copias fluidas y profesionales.El correo electrónico de phishing de 2025 se lee como una comunicación legítima.Los analistas de seguridad de correo electrónico informan que el porcentaje de correos electrónicos de phishing que vencen la detección basada en contenido se ha duplicado aproximadamente desde 2023.
Replicación de diseño visual: Las herramientas de diseño asistidas por IA permiten la replicación precisa de la marca.La experiencia visual de un correo electrónico de phishing de 2025 es funcionalmente idéntica a la comunicación de marca legítima.
Clonación de voz: El phishing de voz ha sido transformado por la clonación accesible.Los estafadores ahora pueden generar muestras de voz convincentes de contenido de redes sociales disponibles públicamente.El patrón de impersonalización de los nietos (el 95% de las víctimas 60+, la pérdida media de $ 9.000) ha aumentado drásticamente en la eficacia de la accesibilidad post-AI.
Personalización a escala: Las campañas de phishing dirigidas a masas ahora utilizan la IA para personalizar el contenido para los destinatarios individuales basándose en la información disponible públicamente.La barrera económica que anteriormente limitaba el phishing dirigido a objetivos de alto valor se ha disuelto en gran medida. "Hola John, tu reciente pedido de Amazon #ABC123 ha sido enviado" alcanza con una credibilidad mucho mayor que las versiones genéricas - incluso cuando se fabrican los números de pedido.
Compromiso de correo electrónico de negocios (BEC) - phishing dirigido dirigido a transacciones financieras de negocios - representa una subcategoría distinta con una economía operativa sustancialmente diferente a la del phishing de los consumidores.
BEC opera a través de varios patrones de ataque distintos:
| patrón | Compartir los informes de BEC | Pérdida mediana |
|---|---|---|
| CEO / Impersonalidad Ejecutiva | 32% | $32,000 |
| Cambios en la ruta de pago del vendedor | 28% | $45,000 |
| El cliente devuelve fraude | 17% | $18,000 |
| Solicitud de información de HR/Payroll | 12% | $8,000 |
| Procurador/Asesora Jurídica Impersonalización | 7% | $28,000 |
| Otros | 4% | Varios |
El patrón de cambio de enrutamiento de pagos del proveedor genera la mayor pérdida mediana ($45.000) y representa la variante BEC más sofisticada. secuencia operativa: los estafadores comprometen el correo electrónico del negocio objetivo o el correo electrónico del proveedor (a menudo a través de phishing anterior), monitorean las comunicaciones para comprender los flujos de trabajo de pago, luego inyectan mensajes fraudulentos "hemos cambiado nuestros detalles bancarios" timed para coincidir con el pago de factura legítima.
BEC se diferencia fundamentalmente del phishing de los consumidores en la economía operativa. Las pérdidas por incidencia ($25,000-$45,000 mediana por tipo de patrón) hacen que la investigación dirigida sea económicamente viable. Donde el phishing de los consumidores opera en la economía de baja conversión de distribución masiva, BEC opera en la economía de alta conversión de investigación dirigida.
El phishing de voz ("vishing") ha crecido junto con las capacidades de IA. Mientras que el volumen sigue siendo menor que el de phishing de correo electrónico o SMS, las pérdidas por incidente son notablemente mayores, especialmente para la demografía más antigua.
| patrón | La demografía primaria | Pérdida de AVG | tendencia |
|---|---|---|---|
| Técnicas de apoyo a las estafas | 73% de edad 50+ | $1,395 | Estable |
| Impresionante niñez | 95% de edad 60+ | $9,000+ | Clonación de voz (AI voice cloning) |
| Medicare / Impersonalización de la SSA | 87% de edad 60+ | $1,800 | Estable |
| Impresionismo IRS | mezclado | $1,200 | Disminución de la conciencia (consciencia) |
| El fraude bancario “investigador” | mezclado | $4,800 | ascendente |
Las concentraciones demográficas reflejan la naturaleza dirigida de los scripts específicos. la impersonalización de los nietos y las estafas de Medicare/SSA están diseñadas específicamente en torno a la demografía de los adultos mayores; su distribución de víctimas refleja la orientación en lugar de la vulnerabilidad aleatoria.
La fuerte subida del patrón de imitación de los nietos en 2025 sigue la accesibilidad de la clonación de voz de IA. La mecánica del patrón:
Los fraudadores ahora pueden generar muestras de voz convincentes de contenido de redes sociales disponibles públicamente - un vídeo público de TikTok, apariencia de podcast o vídeo familiar proporciona suficiente audio para clonar.
El patrón de estafa de soporte tecnológico sigue siendo estructuralmente estable, pero opera con una concentración demográfica consistente. advertencias pop-up, llamadas frías de "técnicos de soporte" y anuncios de motores de búsqueda para números de teléfono de soporte falsos se dirigen hacia la instalación de software de acceso remoto, "descubrimientos" de diagnóstico fabricados y el pago de servicios falsos. el 73% de las víctimas son 50+, con la concentración demográfica reflejando tanto la infraestructura dirigida (dirigida específicamente a adultos mayores) como la reducida familiaridad con cómo funciona el soporte tecnológico real.
Comprender por qué el phishing tiene éxito, en particular contra personas que "deberían saber mejor", informa una defensa efectiva más allá de los consejos de detección de superficie.
La calidad ha mejorado verdaderamente más allá de la detección. El marco tradicional de escepticismo se basó en las señales superficiales (gramática, formatación, incomodidad). la eliminación de estas señales por parte de la IA significa que el marco ahora produce falsos negativos a altas tasas.
La presión del tiempo evita el pensamiento crítico. Casi todos los patrones eficaces de phishing incluyen el marco de urgencia.El análisis del phishing exitoso en 2025 revela elementos consistentes de urgencia:
| Tipo de emergencia | Los beneficios del phishing exitoso |
|---|---|
| “La cuenta será suspendida en [horas]” | 34% |
| "Pago inmediato necesario para evitar [consecuencias]" | 26% |
| "Actividad sospechosa detectada - verifica ahora" | 22% |
| "La oferta de tiempo limitado expira hoy" | 11% |
| "El paquete se devolverá si no es enviado" | 7% |
La familiaridad heurística actúa contra la detección. La imitación de marca es exitosa porque la mayoría de los destinatarios realmente tienen cuentas con los servicios de imitación. Un correo electrónico de phishing de "Microsoft Office 365" llega a un porcentaje sustancial de los destinatarios que son realmente usuarios de Microsoft 365. La legitimidad inicial asumida se amplifica cuando el phishing aprovecha el contexto - recibir un SMS "problema de entrega" mientras realmente espera un paquete, o una alerta de "actividad sospechosa" poco después de una actividad legítima que parece sospechosa (como una compra de viaje).
La personalización derrota la detección genérica. El phishing que se refiere a datos personales reales -nombre de empleador, compras recientes, miembros de la familia- derrota el heurístico de detección de "esto parece un correo electrónico masivo". la personalización capacitada por IA a escala ha hecho este enfoque económicamente viable para los estafadores que operan campañas de targeting masivo.
Varios patrones de 2025 son susceptibles de definir el paisaje de phishing de 2026:
La sofisticación de la IA seguirá superando la detección. La trayectoria de 2022-2025 muestra que la detección basada en contenido se deteriora de ~76% a ~53% de eficacia.
El phishing de código QR crecerá como una categoría. El patrón "quishing" -códigos QR en correos electrónicos, señales físicas o correos dirigidos a sitios de phishing- explota la naturaleza visual de los códigos QR, donde los usuarios no pueden ver las URLs de destino antes de escanear. menús de restaurantes, metros de estacionamiento y contextos legítimos similares han normalizado el uso de códigos QR, proporcionando cobertura para variantes fraudulentas.
Los ataques coordinados multicanales se convertirán en la norma. Las sofisticadas operaciones de phishing están coordinando cada vez más a través de los canales: el correo electrónico inicial crea contexto, el reforzamiento de SMS, luego una llamada de voz de un "representante de soporte" que tiene conocimiento de las comunicaciones anteriores.
La clonación de voz acelerará el crecimiento de los viñedos. Los resultados esperados: más operaciones dirigidas a esta demografía, mayores pérdidas por incidente a medida que la clonación mejora, y erosión de la defensa de "Habría reconocido su voz".
La personalización continuará democratizando los ataques dirigidos. La personalización masiva habilitada por la IA ha disuelto la barrera económica entre el phishing masivo y dirigido.La implicación: los ataques de estilo dirigido (referenciando a datos personales reales, específicos para los destinatarios individuales) se convertirán en viables a escala masiva.
La conclusión analítica agregada: el phishing está estructuralmente avanzando hacia derrotar a la defensa del consumidor en lugar de enfrentarla.La detección a través de la calidad del contenido, el reconocimiento de modelos de marca, la familiaridad de voz y la sospecha de contenido genérico se están deteriorando simultáneamente.La defensa efectiva requiere o bien una alfabetización técnica sustancialmente mejorada (una expectativa poco realista en la población general) o herramientas accesibles que verifican la legitimidad de la comunicación a nivel de la infraestructura.
El phishing representa un estimado del 84% de los fraudes basados en la ingeniería social y sigue siendo el vector de ataque más grande entre los consumidores y los negocios.El Grupo de Trabajo Anti-Phishing documentó aproximadamente 6,4 millones de sitios de phishing únicos identificados en 2025 - un aumento del 83% respecto a los ~ 3,5 millones de 2022 .
El phishing de SMS creció del 9% de los informes de phishing en 2022 al 23% en 2025 - más rápido que cualquier otro canal. Factores estructurales que impulsan el crecimiento: elimina la infraestructura de filtración de correo electrónico (más tasas de entrega), el contexto móvil alienta la acción rápida, los límites de formato de mensajes cortos para las señales visibles que los usuarios pueden evaluar, los números de móviles personales ampliamente disponibles a través de violaciones de datos, las capacidades de falsificación de identidad del remitente y la detección de fraudes a nivel de operador menos maduras que la infraestructura de correo electrónico.
2025: Microsoft (24%), Amazon (18%), Apple (11%), PayPal (9%), Google (7%), Netflix (5%), bancos agregados (14%), y otros minoristas/servicios (12%).La concentración en plataformas tecnológicas refleja su alcance universal: prácticamente todos los adultos estadounidenses tienen cuentas con estos proveedores, creando una alta relevancia de base para cualquier campaña de masas.
2025 fue el primer año que mostró un impacto mensurable de la IA. La eficacia de la detección basada en contenido cayó de ~76% en 2022 a ~53% en 2025. Impactos específicos: la gramática/frases dice en gran medida eliminada, la replicación visual de la marca casi perfecta a través del diseño asistido por la IA, el clonado de voz que permite llamadas de vicio convincentes, las fotos de perfil sintéticas derrotando la búsqueda de imagen inversa y la personalización a escala derrotando la detección de contenido genérico.
Los fraudes de entrega de paquetes representan el 34% de los informes de phishing de SMS de 2025 - la categoría única más grande. El patrón funciona porque la mayoría de los estadounidenses tienen paquetes en tránsito en cualquier momento, creando una alta relevancia de base. El marco de emergencia ('retornado en 24 horas') alienta la acción inmediata. Las cantidades pequeñas de tarifas ($2.99-$5.99) vencen los umbrales de sospecha. El objetivo real de la captura es la información de pago, no la pequeña tarifa en sí.
BEC generó 1,4 mil millones de dólares en pérdidas empresariales estadounidenses en 2025. las pérdidas por incidente son dramáticamente más altas que el phishing de los consumidores: pérdidas medianas por patrón: cambio en el enrutamiento de pagos de los proveedores ($45,000), impersonalización de CEO / ejecutivo ($32,000), impersonalización de abogados / abogados ($28,000), fraude de reembolso de clientes ($18,000), solicitud de información de personal / salario ($8,000).
La concentración demográfica refleja el enfoque de la infraestructura en lugar de la vulnerabilidad aleatoria. estafas de soporte técnico: 73% de edad 50+. impersonalización de los nietos: 95% de edad 60+. impersonalización de Medicare/SSA: 87% de edad 60+. Estos patrones están diseñados específicamente en torno a la demografía de los adultos mayores – contenido de guión, patrones de deferencia de autoridad, y supuso desconocimiento de los mensajes de error de la tecnología todos calibrar a esta cohorte.
El acentuado aumento del patrón de imitación de los nietos en 2025 traza la accesibilidad de la clonación de voz de IA. Los estafadores ahora pueden generar muestras de voz convincentes de contenido de redes sociales disponibles públicamente - un vídeo público TikTok, apariencia de podcast o vídeo familiar proporciona suficiente audio para clonar. La defensa de "habría reconocido su voz" que históricamente ha protegido a los adultos mayores ha sido sustancialmente erosionada.
Casi todos los ataques de phishing eficaces incluyen el marco de urgencia. 2025 análisis de phishing exitoso: 'La cuenta será suspendida' (34%), 'Pago inmediato requerido' (26%), 'Actividad sospechosa detectada - verifique ahora' (22%), 'La oferta limitada en tiempo expira hoy' (11%), 'El paquete será devuelto' (7%).
Una categoría emergente donde los códigos QR están incorporados en correos electrónicos, señales físicas o correos impresos directamente a sitios de phishing. El patrón explota la naturaleza visual de los códigos QR — los usuarios no pueden ver las URLs de destino antes de escanear. los menús de restaurantes, los metros de estacionamiento y contextos legítimos similares han normalizado el uso de códigos QR, proporcionando cobertura para variantes fraudulentas. Aproximadamente el 2% de los casos de phishing en 2025 pero la trayectoria sugiere un potencial de crecimiento sustancial.
La trayectoria de eficacia de 2022-2025 muestra que la detección basada en contenido se deteriora del ~76% al ~53%.La IA generativa ha derrotado sistemáticamente cada señal de contenido tradicional: la gramática y la fraseción dicen eliminada, la replicación visual de la marca casi perfecta, la búsqueda de imagen inversa derrotada por fotos sintéticas, el clonado de voz eliminando señales de familiaridad de audio y la personalización a escala derrotando la detección de contenido genérico.
El phishing de los consumidores opera en una economía de baja conversión de distribución masiva — millones de mensajes con tasas de éxito bajas generan retornos agregados. BEC opera en una economía de alta conversión de investigación dirigida — operaciones de investigación intensiva contra objetivos empresariales específicos con una alta extracción por incidente. la personalización masiva capacitada por IA está disolviendo la barrera económica entre estos modelos — los ataques de estilo dirigido (referenciando a datos personales reales) que se convierten en viables a escala masiva representa la trayectoria principal de 2026.