Microsoft publicó su reporte de Q1 2026 sobre el threat landscape de email a finales de abril. Lo recomiendo leer entero, pero voy a contar lo que más me marcó.
Los volúmenes de phishing siguen subiendo. Eso era predecible. Lo nuevo
es la calidad. Microsoft reporta crecimiento sustancial en correos generados
con LLMs. La gramática perfecta, el tono profesional, la personalización por
información pública del target — todo lo que antes era pista para detectar
phishing, hoy es nivel base.
El problema con eso: los entrenamientos de awareness de hace tres años
están obsoletos. “Busca errores ortográficos” ya no es señal. El correo
phishing de hoy no tiene errores. “Busca tono extraño” ya no es señal. El
correo phishing está bien escrito.
Lo que sí sigue funcionando como señal
Análisis de origen. Headers, dominios sutilmente alterados,
infraestructura de envío. Defender for Office hace este trabajo bien. La pieza
humana se reduce a “verifica antes de actuar en cosas inusuales”.
Análisis de contexto. ¿El CEO realmente te pide a ti, en este formato, en
este momento, por este canal? Si rompe patrón, sospecha. La regla “si rompe
patrón, valida por canal alterno” sigue válida.
Análisis de intent. Defender XDR ahora marca correos por intent —
financial fraud attempt, credential theft, etc. La clasificación por intent es
más útil que por superficie.
Lo que cambió en mi operación
Bajé las expectativas de que el usuario detecte el phishing. La línea de
defensa principal ya no es “el usuario que duda”. Es la pila de detección
automatizada: anti-spoofing, sandboxing, intent analysis, link rewriting con
análisis dinámico. Si llega al inbox un phishing decente, asumo que un
porcentaje de usuarios va a caer.
Subí la inversión en respuesta rápida post-click. Cuando un usuario hace
click en un link malicioso, ¿qué pasa? La velocidad entre click y contención es
lo que marca la diferencia. Defender XDR más Security Copilot reduce esto.
Capacitación distinta. Ya no enseño a “detectar phishing por errores”.
Enseño a “validar por canal alterno cualquier solicitud financiera o de
credenciales no esperada”. Es regla simple. La gente la sigue.
Para dónde va esto
La carrera entre phishing generado por IA y detección por IA va a definir
el panorama de email security los próximos años. Es asimétrica — el atacante
necesita pasar uno, el defensor necesita parar todos. Pero las herramientas
defensivas están mejorando rápido también.
Mi predicción: en 2027 el email puro como vector va a perder relevancia
frente a vectores multi-canal (email más SMS más voz, con IA orquestando los
tres). La defensa va a tener que cubrir el customer journey completo, no solo
el inbox.
No hay comentarios.:
Publicar un comentario