Zscaler, Inc., empresa líder en seguridad en la nube, ha anunciado la publicación del informe Zscaler ThreatLabz 2026 Phishing and Initial Access Report. Los datos recopilados por la mayor nube de seguridad online del mundo, que abarcan actividad de phishing, tráfico cifrado e interacciones con sistemas de engaño, apuntan a un cambio de paradigma en la economía del cibercrimen: aunque el volumen global de phishing cayó un 20% por segundo año consecutivo, los ataques son cada vez más sofisticados y efectivos.

En España, la actividad de phishing se ha reducido un 52,79% durante 2025, pasando de 41,6 millones a 19,7 millones de impactos. Según el informe, esta evolución estuvo impulsada por una respuesta más rápida de administraciones públicas y empresas tras diversos incidentes que afectaron al sector público y a infraestructuras críticas. La mejora de las capacidades de detección, el refuerzo de los controles de identidad y una mayor protección del correo electrónico contribuyeron a reducir significativamente el ciclo de vida de los ataques de phishing. A pesar de esta mejora, España se sitúa como el noveno país más atacado del mundo por volumen de phishing.

Los ciberdelincuentes recurren cada vez más a herramientas de IA capaces de generar sitios web fraudulentos a partir de simples instrucciones de texto (“text-to-site”), así como a kits de secuestro de sesiones en tiempo real para sortear la autenticación multifactor (MFA). Además, estas campañas son cada vez más difíciles de detectar: el 95,2% de los intentos de phishing se ocultan actualmente en tráfico cifrado para evadir las soluciones de seguridad tradicionales. Por otro lado, la nueva telemetría basada en tecnologías de engaño, que registró cerca de 90 millones de interacciones hostiles (89,9), pone de manifiesto que los atacantes están llevando a cabo actividades intensivas de reconocimiento sobre identidades corporativas y plataformas de colaboración mucho antes de intentar comprometer sus objetivos.

“Estamos presenciando una recalibración estratégica en la forma en que los ciberdelincuentes obtienen acceso a las empresas. La reducción del volumen de ataques de phishing no significa que la amenaza esté disminuyendo; al contrario, demuestra que está evolucionando. Los atacantes están intercambiando cantidad por calidad, utilizando IA generativa para eliminar indicadores tradicionales como los errores gramaticales y los mensajes genéricos. Con el 95% del phishing ocultándose ahora en tráfico cifrado, las organizaciones ya no pueden permitirse dejar el tráfico TLS sin inspeccionar. Una arquitectura Zero Trust es la única forma de romper la cadena de ataque, desde el reconocimiento inicial hasta la exfiltración de datos”, afirma Deepen Desai, Chief Security Officer de Zscaler.

Cómo utilizan los ciberdelincuentes la IA generativa para mayor efectividad

El informe destaca cómo la IA se ha convertido en el principal motor de las intrusiones modernas. ThreatLabz identificó 413.524 instancias de sitios generados por IA, de las cuales casi un 10% fueron clasificadas como explícitamente maliciosas. Herramientas como Manus AI, Blackbox AI y Lovable AI están siendo utilizadas para crear en cuestión de minutos portales de phishing sofisticados y coherentes con marcas legítimas, tareas que anteriormente requerían días de desarrollo manual.

Estos ataques generados mediante IA son especialmente eficaces a la hora de imitar flujos de trabajo de confianza. El sector servicios fue el más afectado por esta tendencia, experimentando un aumento interanual del 65,5% en los ataques, ya que los ciberdelincuentes explotaron interacciones basadas en la confianza, como procesos de facturación, incorporación de clientes y renovaciones de soporte.

Hallazgos adicionales del informe de 2026

· Panorama global: Estados Unidos sigue siendo uno de los principales objetivos de phishing por correo electrónico; Brasil registró un aumento del 2.522% en el alojamiento de sitios de phishing, convirtiéndose en uno de los cinco principales países de origen a nivel mundial.
· Análisis por sectores: los sectores de manufactura y gobierno continúan siendo los principales objetivos de phishing por correo electrónico, mientras que los ataques dirigidos a organismos gubernamentales aumentaron un 50% debido al interés de los atacantes por obtener información de alto valor.
· Tendencias en el robo de credenciales: Microsoft y Google siguen siendo las marcas más suplantadas en ataques de phishing, lo que refleja el interés continuo por comprometer sistemas de identidad corporativa.
· Evasión de la detección: el cifrado se ha convertido en el método predeterminado para los ciberdelincuentes, con un 87% de la actividad maliciosa distribuida a través de HTTPS.
· Actividad de exploración hostil: los atacantes están aprovechando infraestructuras legítimas de nube pública para realizar tareas de reconocimiento, utilizando más de 121.000 direcciones IP únicas alojadas en la nube pública para sondear entornos empresariales.
· La MFA bajo amenaza: kits avanzados como BlackForce se están utilizando para secuestrar sesiones activas y eludir la autenticación multifactor (MFA) en tiempo real

La tecnología de engaño revela las intenciones de los atacantes

La telemetría de Zscaler obtenida a partir de sistemas de ataque distribuidos globalmente registró casi 90 millones de interacciones hostiles procedentes de 1,37 millones de direcciones IP únicas. Los datos muestran cómo los atacantes analizan de forma sistemática plataformas de identidad y colaboración para identificar vulnerabilidades y validar credenciales antes de lanzar un ataque real.

Mitigando el camino hacia el compromiso

Para contrarrestar estas amenazas en evolución, la plataforma Zscaler Zero Trust Exchange™ proporciona una plataforma de seguridad para IA basada en Zero Trust que:
· Minimiza el descubrimiento de la superficie de ataque: reduce la exposición ocultando las aplicaciones detrás de un proxy distribuido desde la nube y aprovechando la tecnología Deception para identificar tempranamente intentos de reconocimiento mediante escaneo, sondeo y validación de credenciales.
· Ayuda a eliminar el compromiso inicial: bloquea ataques de phishing impulsados por IA y ataques basados en secuestro de sesiones mediante inspección inline basada en IA, incluida la inspección completa de TLS/SSL para exponer amenazas ocultas en tráfico cifrado.
· Detiene el movimiento lateral: conecta a los usuarios directamente con las aplicaciones y aplica controles de acceso Zero Trust para impedir que los atacantes se desplacen desde un punto de acceso inicial hacia otros entornos.
· Previene la pérdida de datos: reduce el impacto de las brechas mediante protección de datos impulsada por IA para identificar información sensible en tránsito y evitar el intercambio o la exfiltración no autorizados.