En octubre de 2025, una encuesta global publicada por New York Post y TechRadar reveló un dato alarmante: más de la mitad de los adultos no puede diferenciar entre un correo auténtico y un correo phishing creado con inteligencia artificial (IA).
El estudio, realizado por Talker Research para la empresa de seguridad Yubico, muestra que la capacidad de los atacantes para usar IA está superando la percepción humana. Y esto plantea un desafío directo para las empresas que aún no cuentan con protocolos de autenticación como DMARC, SPF y DKIM.
Fuente: New York Post – “Most adults couldn’t differentiate between authentic AI phishing emails”
Resultados clave del estudio
-
Solo 46 % de los encuestados pudo identificar correctamente un correo phishing generado con IA.
-
Apenas 30 % reconoció que un correo legítimo era auténtico.
-
Más del 44 % admitió haber interactuado con un mensaje phishing en el último año (abriendo un enlace, descargando un archivo o respondiendo).
-
La Generación Z fue la más vulnerable: un 62 % reconoció haber caído en correos falsos.
-
Muchos encuestados usan dispositivos personales para tareas laborales o no aplican autenticación multifactor (MFA).
📖 Fuente adicional: TechRadar – “Phishing emails are now so good that the majority of people believe they are written by humans”
Cómo la inteligencia artificial está cambiando el phishing
Antes, los correos de phishing se detectaban fácilmente por errores ortográficos o lenguaje poco natural.
Hoy, los modelos de IA generan mensajes gramaticalmente perfectos, con tono corporativo, firmas falsas, logos idénticos y enlaces acortados que simulan legitimidad.
Incluso pueden analizar redes sociales y sitios web de empresas para personalizar los mensajes, simulando correos internos o del propio CEO (Business Email Compromise).
Por qué DMARC es ahora indispensable
Cuando los usuarios no pueden distinguir un correo falso de uno real, la defensa debe venir del lado técnico.
DMARC (Domain-based Message Authentication, Reporting & Conformance) autentica el dominio del remitente y evita que terceros envíen correos falsificados en nombre de tu organización.
Implementado junto a SPF y DKIM, DMARC:
-
Impide la suplantación del dominio (spoofing).
-
Mejora la reputación de envío.
-
Permite monitorear las fuentes legítimas e ilegítimas de correo.
-
Protege la confianza digital de la marca.
Sin estas políticas, incluso los mejores filtros anti-spam pueden fallar frente a un correo generado por IA.
El riesgo humano sigue siendo el punto débil
El estudio de Yubico también reveló que más del 60 % de los usuarios confía en reconocer un correo falso “por intuición”, sin verificar encabezados ni dominios.
Esto demuestra que la educación digital sigue siendo clave, pero ya no basta por sí sola.
Una estrategia de seguridad moderna debe incluir:
✅ Autenticación técnica (DMARC, SPF, DKIM)
✅ MFA resistente a phishing
✅ Monitoreo de reportes DMARC
✅ Capacitación periódica de usuarios
✅ Revisión de dominios similares o typo-domains
Fuente: TechRadar – “Most people still can’t identify a phishing attack written by AI”
Conclusión
El phishing ha evolucionado.
Ya no depende de engaños mal escritos, sino de algoritmos inteligentes que replican el lenguaje humano a la perfección.
Por eso, las empresas deben asumir que la detección humana no basta y que la autenticación de correo mediante DMARC se ha convertido en un requisito mínimo para proteger sus comunicaciones.
Protege tu dominio antes de que te suplanten
Evita que tus clientes, colaboradores o socios reciban correos falsos con tu nombre.
Implementa DMARC con Digital Corp y refuerza tu seguridad de correo electrónico.
Más información en: https://digitalcorplatam.com/protocolo-dmarc
