El phishing dejó de ser solo un correo mal escrito. Hoy, con IA, los atacantes imitan la redacción, la voz y hasta la imagen de tus directivos para apurar pagos, pedir claves o solicitar cambios de cuentas bancarias. A esta evolución se le llama “Phishing 3.0” y combina ingeniería social clásica con deepfakes. El problema es que el mensaje ya no “suena extraño”: parece auténtico, urgente y razonable. Una pyme en Temuco puede pasar de la duda a la transferencia en cuestión de minutos si no tiene controles operativos claros.cm-alliance​

El correo con SPF, DKIM y DMARC ayuda mucho, pero no detiene engaños que evitan el canal del email, como llamadas o mensajes con voz sintética. La contramedida clave es el proceso: para pagos fuera de rutina o cambios de cuentas, exige verificación por un canal independiente, como una llamada a un número interno verificado o un segundo aprobador. Evita usar el mismo hilo o número que inició la solicitud, porque también puede estar bajo control del atacante. Este simple paso corta la mayoría de fraudes con identidades “perfectas”.enisa.europa​

Establece una lista de “palabras rojas” que activan revisión adicional: urgencias con tiempos imposibles, confidencialidad extrema, saltarse el proceso y amenazas veladas de consecuencias por demora. Capacitar al equipo para detectar estas señales y reportarlas sin miedo es tan importante como un filtro de correo. La cultura de seguridad debe premiar al que pregunta antes de pagar, no al que se “adelanta” asumiendo.

En resumen, el phishing 3.0 ataca la confianza entre personas, no solo la tecnología. Responder pasa por procesos claros, cultura de verificación y controles mínimos como MFA. Si quieres reforzar hoy, solicita una sesión de capacitación para tu equipo y revisa Ciberseguridad para Pymes y Contacto para implementar cambios esta semana.