Deepfakes y phishing: amenazas clave en ciberseguridad 2025

Tiempo estimado de lectura: 5 minutos

En 2025 la ciberseguridad ya no se juega solo en servidores o firewalls, sino en la bandeja de entrada cada miembro de una compañía, en las videollamadas internas, en los audios que recibimos por WhatsApp o incluso en una simple solicitud de acceso. ¿El motivo? El auge imparable del phishing, los deepfakes y la inteligencia artificial generativa.

Phishing en 2025: más creíble, dirigido y peligroso

El phishing tradicional ha evolucionado hasta convertirse en una de las amenazas más sofisticadas y efectivas. Hoy los atacantes no solo copian una página de login o envían un correo genérico, sino que utilizan IA generativa para:

• Redactar mensajes perfectos, sin errores gramaticales.
• Imitar el tono de voz o lenguaje interno de una empresa.
• Personalizar ataques con datos reales de LinkedIn o redes sociales.

Esta combinación da lugar al spear phishing, donde cada ataque está diseñado a medida de la víctima. Según ElDerecho.com, más del 60% de los ciberataques en España en 2025 se inician a través de phishing.

Deepfakes: la cara más peligrosa del engaño

Si el phishing convence con palabras, los deepfakes convencen con imágenes y voces. En 2025 es técnicamente posible crear un vídeo o audio de un CEO solicitando una transferencia urgente… y que nadie dude de su autenticidad.

Esto da lugar al vishing deepfake, una modalidad cada vez más común en entornos corporativos. Directivos «falsos», grabaciones manipuladas y audios clonados están siendo utilizados en estafas que ya han costado millones a empresas de todo el mundo.

Según Red Seguridad, el 45% de los ciberataques más avanzados ya combinan herramientas de GenAI para aumentar su tasa de éxito.

La IA generativa lo ha cambiado todo

El verdadero punto de inflexión no es solo la aparición de nuevos ataques, sino la democratización total de las herramientas para llevarlos a cabo.

Hace años, para falsificar un vídeo o audio se necesitaban conocimientos técnicos, equipos potentes y mucho tiempo. Sin embargo, hoy en día cualquier persona con conexión a internet puede usar herramientas como:

• ElevenLabs: para clonar voces humanas de forma hiperrealista.
• Runway o Pika Labs: para generar vídeos en segundos con texto.
• Midjourney y DALL·E: para crear imágenes falsas con altísima calidad.
• Copilot, Gemini, ChatGPT: para redactar correos, guiones y textos creíbles en cuestión de segundos.

Ya no hablamos de ciberdelincuentes en sótanos, pueden ser incluso amateurs, con la capacidad de lanzar ataques sofisticados sin apenas barreras técnicas ni económicas lanzando, por ejemplo, el fraude del CEO prácticamente sin ninguna dificultad.

¿Cómo respondemos desde las empresas?

La única respuesta posible es formación, cultura y prevención.

Aquí van algunas recomendaciones prácticas para el curso 2025-2026:

• Implementar autenticación multifactor (MFA) en todos los accesos sensibles.
• Reforzar los protocolos internos de verificación, especialmente para transferencias y decisiones críticas.
• Formar a todos los empleados, con casos reales y actualizados.
• Utilizar herramientas de detección de deepfakes y phishing, integradas en correo, videollamadas y canales internos.
• Promover una cultura de ciberalerta, en la que reportar dudas o comportamientos extraños esté normalizado.

Los ataques actuales no siempre rompen sistemas, pero sí la confianza. Y lo hacen desde dentro, utilizando nuestra propia voz, cara o estructura interna contra nosotros mismos.

Phishing, deepfakes e IA generativa no son problemas del futuro: son el presente. Por eso, es importante apostar por una ciberseguridad preventiva, transversal y continua, donde la tecnología y el factor humano vayan siempre de la mano.

Contenido elaborado con ayuda de IA y supervisión editorial humana