El phishing entra en una nueva fase marcada por el uso de inteligencia artificial generativa y técnicas avanzadas de evasión y personalización. De ser un fraude basado en correos o enlaces fácilmente identificables, ha evolucionado hacia ataques dinámicos capaces de adaptarse en tiempo real al usuario, al contexto y al dispositivo. Una  estudio reciente de Unit 42, el equipo de inteligencia de amenazas de Palo Alto Networks, alerta sobre una novedosa modalidad de ataque web en la que páginas aparentemente benignas se transforman, en cuestión de segundos, en sitios de phishing totalmente funcionales y personalizados.

Durante los últimos años, el phishing se ha consolidado en España como una amenaza persistente y en constante evolución. Este 2025, una ola de estafas en La Rioja provocó pérdidas superiores a los 72.500 euros entre varias víctimas. También, en 2025, se repitieron este tipo de ataques en Cataluña, donde se desarticuló una organización que, mediante campañas masivas de smishing, logró sustraer 1,9 millones de euros a cientos de afectados. Casos similares ocurrieron ese mismo año en municipios de Castilla y León y la Comunidad de Madrid con pérdidas, más fragmentadas, pero que reflejan la eficacia del phishing demostrando como ha dejado de ser un fraude aislado para convertirse en una amenaza cotidiana, distribuida territorialmente y con un impacto económico cada vez mayor.

Phishing impulsado por IA: más evasivo, personalizado y difícil de detectar

A diferencia de los ataques tradicionales, estas páginas no contienen código malicioso detectable en el momento de la carga. En su lugar, utilizan llamadas a la API desde el lado del cliente a servicios legítimos de modelos de lenguaje de gran escala (LLM) para generar fragmentos de JavaScript malicioso en tiempo real y eludiendo barreras de seguridad de la IA. Tras este proceso, los fragmentos se devuelven a través de la API, y se ensamblan y ejecutan directamente en el navegador de la víctima, sin dejar rastro de cargas estáticas que puedan ser analizadas previamente por las soluciones de seguridad convencionales.

El resultado es un ataque altamente evasivo ensamblado y ejecutado durante la carga, en el que el código de la página de phishing es polimórfico, con una variante única del código malicioso. Además, el contenido se entrega desde dominios de LLM ampliamente utilizados y considerados de confianza, lo que permite eludir los sistemas de análisis de red y refuerza la eficacia del engaño. Unit 42 afirma que el 36% de las páginas muestran comportamiento ensamblado desde la ejecución y que aprovechar los LLM en tiempo de ejecución en una página web permite a los atacantes evitar el análisis de redes, aumentar la diversidad de scripts maliciosos con cada visita, usar ensamblado en tiempo de ejecución y ejecutar código de JavaScript para complicar la detección, y ofuscar código en texto plano.

Un cambio en el paradigma de la detección del fraude

La capacidad de generar contenido fraudulento en tiempo real, personalizarlo y ejecutarlo directamente en el navegador introduce un desafío significativo para la defensa. Cuando el código malicioso no existe hasta el momento de su ejecución, los enfoques tradicionales de seguridad resultan insuficientes.