Resum: Phishing i Intel·ligència Artificial (IA)

De Esteban Sardanyés el 17.3.2026

<span id="hs_cos_wrapper_name" class="hs_cos_wrapper hs_cos_wrapper_meta_field hs_cos_wrapper_type_text" style="" data-hs-cos-general-type="meta_field" data-hs-cos-type="text" >Resum: Phishing i Intel·ligència Artificial (IA)</span>

La intel·ligència artificial està transformant de manera significativa la forma en què s’executen els atacs de phishing. El que abans requeria temps, coneixement tècnic i redacció manual, avui es pot generar en segons mitjançant models de llenguatge avançats capaços d’adaptar el to, el context i l’estil a cada víctima.

Aquest canvi no només incrementa el volum d’atacs, sinó també la seva credibilitat: els missatges generats per IA eliminen errors gramaticals, imiten patrons interns de comunicació i utilitzen informació pública extreta de xarxes professionals, perfils socials o filtracions prèvies.

Com la IA redefineix el phishing

Els models generatius permeten crear campanyes hiperpersonalitzades a gran escala. En lloc d’enviar el mateix missatge a milers d’usuaris, els atacants poden generar milers de versions diferents, adaptades al rol, sector o context professional de cada objectiu.

A més del correu electrònic, la IA facilita la integració de múltiples canals: SMS, missatgeria instantània i fins i tot trucades amb veus clonades. Aquesta combinació augmenta la pressió psicològica sobre la víctima i redueix la seva capacitat de detectar inconsistències.

El volum d’atacs relacionats amb phishing ha crescut més d’un 500% en els últims anys, i les taxes d’èxit en campanyes dirigides s’han incrementat de manera significativa.

Impacte econòmic i operatiu

L’impacte d’aquests atacs va molt més enllà del robatori d’una credencial. Un compte compromès pot convertir-se en el punt de partida per a fraus financers, accés a entorns al núvol, moviments laterals dins la xarxa o desplegament de ransomware.

A nivell global, les pèrdues associades al phishing i al frau per suplantació arriben a milers de milions de dòlars anuals. No obstant això, el cost econòmic directe és només una part del problema.

Les bretxes derivades del phishing afecten la reputació corporativa, perjudiquen la confiança de clients i empleats i poden generar incompliments regulatoris amb conseqüències legals rellevants.

Mesures de seguretat imprescindibles per protegir-se del phishing generat amb IA

Autenticació resistent al phishing

La defensa s’ha de centrar a minimitzar l’impacte d’una credencial compromesa. La implementació de mètodes com FIDO2 o claus físiques redueix de manera significativa l’efectivitat de portals falsos i suplantacions d’identitat, protegint els accessos crítics fins i tot si un missatge sembla legítim.

Polítiques de correu i monitorització avançada

La tecnologia ha de complementar-se amb configuracions robustes de correu electrònic, detecció primerenca de dominis recentment registrats i plataformes XDR capaces de correlacionar senyals. Això permet identificar campanyes coordinades i comportaments anòmals abans que es produeixi un incident greu.

Processos interns de verificació

La definició de procediments clars per a pagaments, canvis de proveïdor o sol·licituds sensibles actua com a barrera crítica. Aquests processos s’han d’aplicar de manera consistent en tots els canals (correu, SMS o trucades) per impedir que l’enginyeria social superi els controls interns.

Formació avançada i simulacions realistes

La preparació del personal és essencial. Entrenar els equips per reconèixer enginyeria social avançada, suplantacions internes i deepfakes de veu o vídeo ajuda a reduir la taxa d’èxit de les campanyes de phishing potenciades per IA i augmenta la resiliència de l’organització.

Vols saber-ne més?

A ESED hem elaborat un informe detallat sobre: Resum Ciberatacs de phishing 2025. Aquest document ofereix una anàlisi completa amb xifres i estratègies de defensa específiques per a empreses, sobre l’estat dels ciberatacs de phishing tant a nivell global com a Espanya.