El volumen de phishing cayó un 20%. Esa es, en realidad, la parte aterradora.

La mayoría de los titulares de seguridad sobre cifras en descenso se archivan bajo la categoría de "buenas noticias con cautela". Así que cuando el informe anual de phishing 2026 de Zscaler llegó con una caída del 20% en el volumen de phishing, el instinto fue apuntarlo en la columna de las pequeñas victorias. Los investigadores de Zscaler se negaron explícitamente a permitirlo. Llamaron a la tendencia un "reequilibrio", y una vez que entiendes lo que esa palabra hace en esa frase, el número deja de sentirse como un progreso en absoluto.

Calidad sobre cantidad: el nuevo modelo de negocio del atacante

El enfoque de Zscaler, según lo reportado por Nate Nelson en Dark Reading, es preciso y deliberadamente inquietante: los actores de amenazas no están enviando menos mensajes de phishing porque los defensores hayan mejorado en detenerlos. Los están enviando en menor cantidad porque las herramientas de IA han hecho que cada intento individual sea dramáticamente más peligroso. El modelo antiguo era un juego de números: enviar suficientes correos suficientemente convincentes y un porcentaje iba a funcionar. El nuevo modelo se parece más al cálculo de un francotirador: menos disparos, cada uno mejor apuntado.

Según lo reportado por Dark Reading sobre los hallazgos de Zscaler, este cambio significa que el volumen en descenso indica de manera contraintuitiva una amenaza mayor, no menor, porque los sistemas de detección y los programas de capacitación de usuarios calibrados para detectar campañas masivas de alto volumen ahora se enfrentan a un problema fundamentalmente diferente.

El contexto estadístico más amplio hace que este reequilibrio sea más fácil de visualizar. Los datos de phishing agregados de 2026 de StationX sitúan el volumen diario de correos electrónicos de phishing en 3,400 millones de mensajes, con el 82.6% de ellos conteniendo ahora alguna forma de contenido generado por IA. CNiC Solutions, compilando datos de fuentes que incluyen el FBI IC3 y el Verizon DBIR, informa que los correos electrónicos de phishing generados por IA logran tasas de clics 4.5 veces más altas que los tradicionales. Combina esos dos hechos y la aritmética de la amenaza cambia por completo. Una reducción del 20% en el volumen total no significa casi nada cuando el volumen restante es tanto más personalizado como mediblemente más efectivo para provocar ese único clic que importa.

La infraestructura del engaño también se está abaratando

La precisión no llega de forma aislada. Llega dentro de una infraestructura de entrega cada vez más profesionalizada y automatizada. Según StationX, se detectan más de 80,000 sitios web de phishing anualmente, cada uno sobreviviendo un promedio de solo 12 horas antes de ser eliminado, lo que significa que los actores de amenazas han industrializado el proceso de crear y descartar páginas engañosas más rápido de lo que la mayoría de los sistemas de detección pueden identificarlas.

APWG, también citado por StationX, registró 3.8 millones de ataques de phishing a lo largo de 2025, con un solo trimestre, el segundo trimestre de 2025, registrando 1,130,393 ataques por sí solo. Ese volumen de referencia, establecido antes de que las herramientas de IA maduraran hasta su forma actual, es lo que hace que el enfoque de "reequilibrio" de Zscaler sea tan significativo: la capacidad de infraestructura para el phishing masivo nunca desapareció, simplemente se redirigió hacia un trabajo de precisión de mayor valor.

El informe del panorama de amenazas de correo electrónico del primer trimestre de 2026 de Microsoft corrobora de forma independiente la dirección de este cambio. La visibilidad de Microsoft en su ecosistema de correo electrónico la coloca en una posición para observar los cambios de calidad a escala, y sus hallazgos del primer trimestre de 2026 se alinean con la imagen que describe Zscaler: el entorno de amenazas de correo electrónico está evolucionando en carácter, no solo en cantidad.

La convergencia de dos grandes conjuntos de datos independientes, uno de un proveedor de seguridad que observa el tráfico web y otro de una plataforma que procesa el volumen global de correo electrónico, apuntando en la misma dirección, es el tipo de evidencia que debería cambiar la forma en que los defensores piensan sobre las métricas de éxito.

Por qué tus intuiciones sobre "menos ataques" están siendo explotadas

Aquí está la dinámica adversarial que hace que esta tendencia sea genuinamente instructiva para cualquier persona que esté aprendiendo sobre seguridad. Cuando el volumen cae, las organizaciones a veces lo interpretan como evidencia de que sus defensas están funcionando. La capacitación en concienciación sobre seguridad se deja de priorizar. Los umbrales de detección calibrados para señales de alta frecuencia se dejan sin cambios. Las conversaciones sobre presupuesto cambian. Los actores de amenazas, consciente o inconscientemente, se benefician exactamente de esa respuesta. La postura de defensa se relaja precisamente cuando el peligro por intento está aumentando.

CNiC Solutions señala que uno de cada tres empleados sin capacitación seguirá haciendo clic en un enlace de phishing simulado hoy en día, y el phishing aparece en el 36% de todas las brechas de datos según StationX. Esos números no se mueven cuando el volumen cae; solo se vuelven más relevantes cuando cada intento que sobrevive es más preciso.

La lección que realmente enseña el enfoque de "reequilibrio" de Zscaler es una metalección sobre las métricas: el volumen es un indicador rezagado y manipulable del nivel de amenaza. Las preguntas correctas que hay que hacer son sobre la tasa de éxito por intento, la tasa de recolección de credenciales y el tiempo de detección, no sobre el recuento total de mensajes.

El trabajo de Microsoft sobre el panorama de amenazas del primer trimestre de 2026, combinado con los hallazgos anuales de Zscaler, les da a los defensores un mandato claro: recalibra tu lógica de detección y tus programas de capacitación para ataques de bajo volumen y alta fidelidad, porque ese es el entorno en el que estás operando ahora, ya sea que tus paneles de control lo muestren todavía o no.

La próxima historia a seguir es cómo la detección asistida por IA cierra la brecha con los ataques asistidos por IA. La brecha es real, se está ampliando, y entender por qué las estadísticas de volumen pueden engañar es el primer paso para construir defensas que realmente rastreen la señal correcta.

Fuentes

• El volumen de ataques de phishing cae un 20%, pero el riesgo sigue aumentando(se abre en una pestaña nueva)
• Panorama de amenazas de correo electrónico: tendencias e información del primer trimestre de 2026 - Microsoft(se abre en una pestaña nueva)
• Estadísticas de phishing [2026]: últimos datos y tendencias de ataques(se abre en una pestaña nueva)
• Estadísticas de phishing 2026: volumen, costos, ataques de IA y datos de defensa(se abre en una pestaña nueva)

Fuentes

• El volumen de ataques de phishing cae un 20%, pero el riesgo sigue aumentando(se abre en una pestaña nueva)
• Panorama de amenazas de correo electrónico: tendencias e información del primer trimestre de 2026 - Microsoft(se abre en una pestaña nueva)
• Estadísticas de phishing [2026]: últimos datos y tendencias de ataques(se abre en una pestaña nueva)
• Estadísticas y tendencias de phishing para 2026 | VikingCloud(se abre en una pestaña nueva)
• Estadísticas de phishing 2026: volumen, costos, ataques de IA y datos de defensa(se abre en una pestaña nueva)
• Estadísticas de phishing [2026]: últimos datos y tendencias de ataques(se abre en una pestaña nueva)
• phishing – Krebs on Security(se abre en una pestaña nueva)
• Bleeping Computer – Krebs on Security(se abre en una pestaña nueva)
• [PDF] fbi-cisa-vishing.pdf - Krebs on Security(se abre en una pestaña nueva)
• Informe de tendencias de phishing (actualizado para 2026) - Hoxhunt(se abre en una pestaña nueva)