correo electrónico comercial comprometido

Señuelo de moda para el phishing: GenAI en la mira

Clock Icon 11 lectura mínima
Related Products
Advanced DNS SecurityAdvanced URL FilteringCloud-Delivered Security ServicesUnit 42 Incident Response iconUnit 42 Incident Response

Resumen ejecutivo

La rápida expansión de la IA generativa (GenAI) ha dado lugar a un conjunto diverso de plataformas basadas en la web que ofrecen capacidades como asistencia de código, generación de lenguaje natural, interacción con chatbot y creación automatizada de sitios web. Este artículo utiliza datos de nuestra telemetría para mostrar las tendencias en la evolución de la web GenAI.

Debido a su creciente prevalencia, la GenAI también abre nuevos vectores de abuso para los actores de amenazas. Los ciberdelincuentes aprovechan cada vez más las plataformas GenAI para crear contenidos de phishing realistas, clonar marcas de confianza y automatizar la implementación a gran escala mediante servicios como los creadores de sitios de bajo código. Las amenazas son cada vez más difíciles de detectar.

Examinamos escenarios específicos de uso indebido, como páginas de phishing generadas por IA y chatbots malintencionados. También proporcionamos indicadores de estas actividades para apoyar los esfuerzos de detección y respuesta.

Los clientes de Palo Alto Networks están mejor protegidos frente a las amenazas descritas en este artículo gracias a los siguientes productos y servicios:

URL Filtering avanzado y Seguridad DNS avanzada identifican como malintencionados los dominios y URLs conocidos asociados con esta actividad.

Si cree que puede haber resultado vulnerado o tiene un problema urgente, póngase en contacto con el equipo de respuesta ante incidentes de Unit 42.

Aumento del uso de GenAI

Introducción a los servicios de IA basados en la web

La GenAI ha impulsado una oleada de nuevos sitios web y plataformas, desde asistentes conversacionales a herramientas de creación multimedia. A medida que evoluciona el ecosistema, identificamos patrones emergentes en el modo en que los usuarios adoptan las distintas categorías de servicios de IA.

Asistentes de redacción, herramientas para reuniones, generadores de código y creadores de sitios web están agilizando tareas que antes exigían un esfuerzo manual considerable, lo que supone un cambio en la forma de crear y entregar el trabajo en todos los ámbitos.

Estamos observando una importante tendencia al alza en la adopción de GenAI en todos los sectores, especialmente como consecuencia del aumento del interés público y la innovación en el espacio de la IA. En tan solo seis meses, el uso de la IA se ha más que duplicado y sigue creciendo a un ritmo constante, como se muestra en la Figura 1.

La línea azul representa el número de visitas a sitios web de IA en miles de millones, de abril de 2024 a abril de 2025. Las barras rojas indican el número de nuevos sitios web que alojan servicios de IA detectados en millones. Esta tendencia general de aumento del tráfico a los sitios web de IA indica una creciente adopción de aplicaciones y servicios de GenAI.

Gráfico de barras y gráfico de líneas en los que se muestran los nuevos lanzamientos de hosts de IA en millones y las visitas a sitios web de IA en miles de millones desde abril de 2024 hasta abril de 2025. Los lanzamientos del host se visualizan mediante barras rojas y las visitas al sitio web mediante una línea azul. Bloqueo del logotipo de Palo Alto Networks y Unit 42.
Figura 1. Tendencias mensuales en el tráfico y el crecimiento del sitio web de IA.

Tendencias de los servicios de IA y enfoque sectorial

Hablamos de cómo las personas están adoptando capacidades específicas de la IA para que podamos predecir mejor cómo esas diversas funciones pueden suponer nuevos riesgos. Una nueva revisión de nuestra telemetría revela:

  • Los principales sectores que lideran la adopción de la IA son:
    • Alta tecnología
    • Formación
    • Telecomunicaciones
    • Servicios profesionales y legales
  • El sector de la alta tecnología domina el uso de la IA, con más del 70 % del uso total de herramientas GenAI que se muestra en la Figura 2
  • La mayor parte de esta actividad se concentra en aplicaciones de generación de texto (como los asistentes de redacción y los chatbots de IA) y herramientas de generación de medios, como se muestra en la Figura 3
  • Alrededor del 16 % del uso de servicios de IA se dedica al procesamiento de datos y la automatización de flujos de trabajo, como la generación de campañas por correo electrónico
Gráfico circular con la distribución sectorial de los servicios de IA. El sector 'Alta tecnología' domina con un 74,0 %, seguido de 'Otros' con un 3,3 %, 'Gobierno estatal y local' con menos del 1 %, 'Fabricación' con un 1,50 %, 'Comercio mayorista y minorista' con un 1,2 %, 'Servicios profesionales y legales' con un 3,1 % y 'Telecomunicaciones' con un 5,6 %. 'Educación' representa el 9,1 %. Bloqueo del logotipo de Palo Alto Networks y Unit 42.
Figura 2. Distribución líder en el sector de los servicios de IA.
Gráfico circular en el que se muestra la distribución de las tareas gestionadas por tecnologías de IA. Entre los segmentos se incluyen: Generador de medios, con un 24,5 %; Datos y flujo de trabajo de IA, con un 15,8 %; Chatbot, con un 13,2 %; Asistente de código, con un 2,5 %; Asistencia en reuniones, con un 1,3 %; Generador de sitios web, con un 4,3 %; Plataforma y servicio de IA, con un 6,6 %; y Asistente de redacción, con un 31,8 %. Bloqueo del logotipo de Palo Alto Networks y Unit 42.
Figura 3. Distribución de las categorías de IA en todos los sectores.

Descripción general de los ataques de phishing que utilizan indebidamente varios tipos de servicios de IA

Aunque las herramientas GenAI ofrecen potentes capacidades, también conllevan riesgos significativos que los actores de amenazas pueden explotar para el phishing y otros tipos de ciberataques.

  • Los asistentes de código de IA pueden mejorar considerablemente el desarrollo de software. Proporcionan sugerencias de codificación en tiempo real, automatizan la generación de código y pueden reducir los errores. Sin embargo, pueden exponer inadvertidamente código propietario o propiedad intelectual sensible, creando puntos de entrada para ataques selectivos.
  • Las herramientas de generación de texto (como los asistentes conversacionales, de redacción y de reuniones) pueden mejorar la productividad, la creación de contenidos y la interacción con los clientes. Sin embargo, los atacantes pueden manipularlos para generar contenidos de phishing convincentes, difundir información errónea o filtrar datos confidenciales.
  • Los servicios de modelos de IA simplifican la implementación, la formación y la inferencia. No obstante, pueden exponer modelos o datos sensibles a accesos no autorizados. Esto aumenta el riesgo de secuestro o uso indebido del modelo en flujos de trabajo malintencionados.
  • Los atacantes pueden utilizar herramientas de IA multimedia, como generadores multimedia y creadores de sitios web, para crear rápidamente sitios web de aspecto realista pero fraudulentos, contenido deepfake y páginas de phishing engañosas para imitar a marcas de confianza.
  • Las plataformas de datos y las herramientas de automatización de flujos de trabajo basadas en IA optimizan los procesos empresariales, mejoran la eficiencia y facilitan la toma de decisiones informadas. Cuando no están bien gestionados, pueden convertirse en vectores de fuga de datos, acceso no autorizado y explotación automatizada a través de sistemas integrados.

En conjunto, estos riesgos resaltan el potencial de GenAI para amplificar las campañas de phishing y otras amenazas de ingeniería social. Por lo tanto, es necesario reforzar las salvaguardias y la detección de amenazas.

En la Figura 4 se muestran los tres principales servicios de IA utilizados indebidamente para el phishing:

  • Generadores de sitios web (aproximadamente el 40 %)
  • Ayudantes de redacción (aproximadamente el 30 %)
  • Chatbots (casi el 11 %)
Gráfico circular en el que se muestra la distribución de los servicios de IA utilizados indebidamente para ataques de phishing. El 'Generador de sitios web' lidera con un 40,4 %, seguido del 'Asistente de redacción' con un 29,6 %, el 'Chatbot' con un 10,5 %, el 'Generador de medios' con un 8,4 %, la 'Plataforma y servicio de IA' con un 4,1 %, el 'Asistente de reuniones' con un 3,5 %, los 'Datos y flujo de trabajo de IA' con un 3,2 % y el 'Asistente de código' con un 0,3 %. Bloqueo del logotipo de Palo Alto Networks y Unit 42.
Figura 4. Distribución de las categorías de servicios de IA utilizados de manera indebida para ataques de phishing.

Uso indebido de los servicios de generación de sitios web

Aunque estos servicios son relativamente nuevos, los atacantes ya están utilizando indebidamente los creadores de sitios web basados en IA para ataques de phishing en el mundo real.

Hemos observado sitios web de phishing creados por los actores de amenazas mediante un conocido creador de sitios web basado en IA, capaz de crear sitios web en cuestión de segundos. Esta plataforma permite a alguien entrar en una indicación que puede construir y publicar sitios web sin ningún tipo de verificación de correo electrónico o teléfono. El sitio utiliza IA para generar imágenes y texto basados en esta indicación, para crear un sitio web.

En mayo de 2025 detectamos dos ejemplos reales de páginas de destino de phishing generadas por IA. Ambas páginas de phishing, representadas en las Figuras 5 y 6, dirigen a sitios de robo de credenciales propiedad de atacantes.

Página web promocional en la que se ofrece un "CUPÓN GRATUITO" para desbloquear un Plan Estándar de 12 meses con un descuento del 100 %, junto con un botón denominado 'Mostrar código del cupón' seguido de otro botón donde se indica 'Haga clic aquí'. En el fondo hay una imagen borrosa de formas en rojo y negro.
Figura 5. Captura de pantalla de la página de phishing vista en mayo de 2025.
Captura de pantalla de la página promocional 'Tarjeta regalo' de un sitio web, en la que figuran tres imágenes borrosas de tarjetas con texto superpuesto para promocionar diferentes beneficios de compra. En el menú de navegación hay opciones para Inicio, Acerca de, Productos y Contacto.
Figura 6. Captura de pantalla de la página de phishing vista en mayo de 2025.

Algunos de los creadores de sitios web asistidos por IA que hemos investigado parecen carecer de barreras que impidan que alguien se haga pasar por una empresa u organización existente. Como prueba, utilizamos un conocido creador de sitios web asistido por IA para crear una página falsa que aparenta ser de Palo Alto Networks.

El creador de sitios web solo requería una dirección de correo electrónico válida (no necesariamente una dirección de correo electrónico de Palo Alto Networks) para establecer una cuenta de prueba y publicar una página haciéndose pasar por nuestra empresa. Dado que estas páginas pretenden establecer rápidamente la presencia en Internet de una nueva empresa u organización, carecen de los elementos de diseño que los delincuentes utilizarían para falsificar una marca objetivo.

En nuestra prueba, el creador de sitios web prometía generar un sitio web IA gratuito en 60 segundos, lo cual es una afirmación acertada. Nuestra única entrada era una breve descripción de la empresa para un texto inicial. En la Figura 7 se muestra una breve descripción de Palo Alto Networks que escribimos en la indicación inicial antes de hacer clic en el botón “Enhance Prompt” (Mejorar consulta).

Creador de sitios web con IA. Cree un sitio web gratuito con IA en 60 segundos. A continuación, encontrará una ventana emergente con la siguiente información: Palo Alto Networks es una empresa líder en ciberseguridad que ofrece firewalls de última generación y otras soluciones de seguridad. Hay un cursor gigante a punto de seleccionar el botón Mejorar indicaciones.
Figura 7. Una breve descripción de nuestra empresa en un mensaje del creador de sitios web asistido por IA.

El botón Enhance Prompt tomó nuestra entrada inicial y creó una indicación completa de IA para la página, como se muestra a continuación en la Figura 8. El resultado final incluía un párrafo generado por la IA sobre la empresa, un estilo de diseño predeterminado que puede modificarse fácilmente y una lista de contenidos para incluir en el sitio.

Captura de pantalla de una página web con texto sobre el compromiso de Palo Alto Networks con la innovación y la ciberseguridad, que incluye una sección sobre el nombre de la empresa/proyecto junto con la misión y los servicios de la empresa. El cursor se encuentra sobre la flecha hacia arriba situada a la derecha.
Figura 8. La indicación mejorada del creador de sitios web asistido por IA.

A continuación, hicimos clic en el botón de flecha que aparece en la Figura 8, y el generador tardó aproximadamente entre 5 y 10 segundos en crear un entorno de ensayo para el sitio. A partir de un mensaje inicial escrito a toda velocidad como “Palo Alto Networks es una empresa líder en ciberseguridad que cuenta con firewalls de nueva generación y otras soluciones de seguridad”, la página resultante que se muestra en la Figura 9 parece verosímil para una empresa de ciberseguridad.

Un profesional en una estación de trabajo con numerosas pantallas en las que aparecen datos, en el sitio web falso y generado por IA de Palo Alto Networks, con un texto titulado "La ciberseguridad redefinida: proteja sus activos con confianza" y un botón "Ver servicios".
Figura 9. Página de índice generada por el creador de sitios web asistido por IA.

Al desplazarnos por la página de índice generada por el creador del sitio, encontramos una convincente descripción de nuestra empresa generada por la IA, como se muestra en la Figura 10.

Página de inicio falsa generada por IA del sitio web de Palo Alto Networks, en la que aparece un profesional frente a pantallas digitales, con texto sobre soluciones líderes en ciberseguridad.
Figura 10. Descripción de la empresa en una página generada por el creador de sitios web asistido por IA.

En la página de índice se incluyen enlaces a distintas páginas que contienen descripciones de firewalls de nueva generación, soluciones de seguridad en la nube y servicios de inteligencia de amenazas. En la Figura 11 se muestra un enlace desde la página de índice de los servicios de inteligencia de amenazas y la página resultante de ese enlace. Al igual que la descripción de la empresa, la descripción de estos servicios imita lo que la mayoría de las personas esperaría de una empresa de ciberseguridad consolidada.

Collage de capturas de pantalla del sitio web falso generado por IA de Palo Alto Networks, que incluye secciones sobre seguridad en la nube, inteligencia de amenazas y servicios avanzados de protección contra amenazas, con imágenes de operaciones de seguridad de la red y texto descriptivo sobre soluciones de ciberseguridad.
Figura 11. Página de servicios de inteligencia de amenazas generada por el creador de sitios web asistido por IA.

El creador de sitios web incluye un botón para publicar el sitio. Al pulsar este botón se generó la ventana de diálogo que se muestra en la Figura 12.

Captura de pantalla de la interfaz del editor de un sitio web de la falsa Palo Alto Networks generada por IA, en la que se muestra una ventana emergente titulada "Publicar sitio web". La ventana emergente solicita al usuario que agregue un dominio personalizado con información sobre precios y planes de suscripción. Los botones "Ver planes", "Cancelar" y "Publicar" están visibles.
Figura 12. Ventana de diálogo para publicar el sitio desde nuestra prueba.

Aunque no publicamos este sitio falso de Palo Alto Networks, los ciberdelincuentes han utilizado indebidamente este creador para publicar páginas de phishing que imitan a otras marcas, como los dos ejemplos reales a los que nos hemos referido antes.

Los atacantes pueden replicar vectores de ataque parecidos en otras plataformas de creación de sitios web, ya que muchas de ellas han agregado recientemente funciones asistidas por IA. En la Figura 13 se muestra un ejemplo de un sitio falso de tarjetas de regalo que suplanta a vendedores de renombre creado a través de un famoso creador de sitios web.

Banner promocional para un sitio web fraudulento de tarjetas de regalo con el lema 'Alegría en cada tarjeta', que incluye el botón 'Explorar' y la imagen de una mano que sostiene una tarjeta brillante. A continuación, se muestran diversas ofertas de tarjetas, como crédito para la tienda, vales de descuento, tarjetas de regalo y crédito de suscripción, con los precios indicados.
Figura 13. Página web para tarjetas regalo con descuento generadas en otro creador de sitios web popular basado en IA.

Actualmente, los ataques de phishing en el mundo real que se ven en los creadores de sitios web con IA parecen relativamente rudimentarios y podrían no engañar a la mayoría de las víctimas potenciales. Sin embargo, a medio y largo plazo, creemos que estos ataques se volverán más convincentes a medida que los creadores de sitios web con IA se vuelvan más potentes.

Uso indebido de los servicios de asistentes de redacción

Además de los creadores de sitios web, identificamos muchas URL de phishing del mundo real generadas y alojadas en plataformas de asistentes de redacción de IA de terceros. En todos estos casos, el atacante utilizó la aplicación para alojar una página de phishing. La página de phishing muestra un mensaje genérico como “Tiene nuevos documentos: haga clic en el botón para acceder”. Al hacer clic en el botón, se dirige a la víctima a un sitio secundario de robo de credenciales, como una página falsa de inicio de sesión de Microsoft.

A pesar de estar alojadas en plataformas que ofrecen generación de contenidos mediante IA, estas páginas de phishing son bastante simples y no presentan signos claros de participación de la IA (consulte las Figuras 14 y 15). Este tipo de actividad es similar a lo que hemos visto en campañas de uso indebido de plataformas de software como servicio (SaaS), como páginas de phishing alojadas en creadores de presentaciones u otras herramientas legítimas de intercambio de contenidos.

Captura de pantalla de una interfaz para compartir documentos digitales titulada DOCUMENTOS COMERCIALES SEGUROS. Las características incluyen un enlace a "VER PDF EN LÍNEA" y secciones adicionales para iniciar sesión, detalles del autor y un recordatorio de activación para Windows.
Figura 14. Captura de pantalla de una página de phishing creada en una plataforma de asistencia SEO.
Captura de pantalla del servicio para compartir documentos con un documento PDF listo para compartir. Hay un botón con la etiqueta "VER DOCUMENTO", seguido de una firma de alguien que se supone que es "Kim Cromidas", con parte de la información censurada por motivos de seguridad.
Figura 15. Captura de pantalla de la página de phishing creada en una plataforma de asistencia comercial.

Aunque los atacantes podrían aprovechar la funcionalidad de IA de estas plataformas de formas más potentes en el futuro, actualmente las utilizan principalmente como servicio de alojamiento de contenidos malintencionados.

Conclusión

En este artículo, hablamos de los servicios de GenAI basados en web y repasamos los ataques de phishing que los utilizan indebidamente. Investigamos ejemplos de páginas de phishing de creadores de sitios web basados en IA y exploramos cómo los delincuentes pueden utilizar estos creadores para crear contenido de phishing con mayor facilidad. Los delincuentes también han hecho un uso indebido de los servicios de asistente de redacción basados en IA, pero estas plataformas se han utilizado principalmente como servicio de alojamiento de contenidos malintencionados sin indicios claros de implicación de la IA.

Nuestra telemetría refleja la creciente adopción de aplicaciones y servicios de GenAI, y esperamos un aumento correspondiente de los ataques que se aprovechan de GenAI a medida que pase el tiempo.

Los clientes de Palo Alto Networks están mejor protegidos frente a las amenazas mencionadas en este artículo gracias a los siguientes productos:

Si cree que puede haber resultado vulnerado o tiene un problema urgente, póngase en contacto con el equipo de respuesta ante incidentes de Unit 42 o llame al:

  • Norteamérica: llamada gratuita: +1 (866) 486-4842 (866.4.UNIT42)
  • Reino Unido: +44.20.3743.3660
  • Europa y Oriente Medio: +31.20.299.3130
  • Asia: +65.6983.8730
  • Japón: +81.50.1790.0200
  • Australia: +61.2.4062.7950
  • India: 00080005045107

Palo Alto Networks ha compartido estos resultados con nuestros compañeros de Cyber Threat Alliance (CTA). Los miembros de CTA utilizan esta inteligencia para implementar rápidamente medidas de protección para sus clientes y desarticular sistemáticamente a los ciberdelincuentes. Obtenga más información sobre Cyber Threat Alliance.

Agradecimientos

Gracias a Peng Peng por su investigación sobre chatbots malintencionados, así como a Alex Starov y Jun Javier Wang por sus sugerencias.

Apéndice

En las Figuras 16-22 se muestran capturas de pantalla adicionales de páginas de phishing relacionadas con GenAI que encontramos en su hábitat natural.

El encabezado del sitio web contiene un banner con el texto "Cupón gratuito", en el que figuran imágenes de una mesa de madera con billetes europeos y una caja con piñas, junto con un texto que invita a "¡Desbloquee sus ahorros hoy mismo!"
Figura 16. Una captura de pantalla adicional del sitio de phishing de la Figura 5.
Fondo con páginas dispuestas de forma compacta, posiblemente documentos o formularios, con un texto superpuesto que dice "DOCUMENTO SEGURO" y un botón con la etiqueta "VER DOCUMENTO".
Figura 17. Captura de pantalla de una página de phishing alojada en una plataforma web basada en IA, enviada inicialmente a través de un correo electrónico de phishing. Esta página web enlaza con una página de inicio de sesión falsa de un servicio web muy popular.
Collage de seis imágenes que muestran diversos productos tecnológicos y de estilo de vida a la venta. Los precios oscilan entre $1 y $20.
Figura 18. Página de compra de tarjetas regalo falsificada generada en un creador de sitios web.
Una notificación en la pantalla de una computadora en la que aparece un mensaje titulado "Se ha recibido un nuevo documento PDF completado". En el correo electrónico se informa al destinatario de que hay un nuevo documento PDF listo para su revisión y se incluye un botón rojo con el texto "Revisar documentos completados".
Figura 19. Captura de pantalla de una página de phishing generada mediante un sitio web de asistencia al diseño basado en IA.
Una notificación en la pantalla de una computadora en la que aparece un mensaje titulado "Se ha recibido un nuevo documento PDF completado". En el correo electrónico se informa al destinatario de que hay un nuevo documento PDF listo para su revisión y se incluye un botón rojo con el texto "Revisar documentos completados".
Figura 20. Captura de pantalla de una página de phishing generada en un sitio web de asistencia al diseño basado en IA.
Captura de pantalla de una página de phishing en la que se muestran un automóvil, televisores y otros artículos con un botón KLIK CEK KUPON.
Figura 21. Captura de pantalla de una página de aterrizaje de phishing generada en un creador de aplicaciones sin código.
Captura de pantalla de una página de phishing que muestra un mensaje que dice "Tiene 2 nuevos documentos de fax" con una opción para "Obtener sus archivos aquí". El formato es PDF y el estado es entregado. La interfaz incluye iconos y botones de colores.
Figura 22. Captura de pantalla de una página de phishing generada en una plataforma educativa basada en IA.

Etiquetas

ÍNDICE

Artículos relacionados

Relacionados correo electrónico comercial comprometido Recursos

Enlarged Image

Obtenga las últimas noticias, invitaciones a eventos y alertas de amenazas

Default Heading

Read the article Right Arrow