Los ataques más exitosos de 2026 no explotarán fallas de software, sino la confianza humana, impulsados por inteligencia artificial. A esta conclusión llegaron los investigadores de SecurityWeek, quienes en el marco de sus Cyber Insights para el año que comienza, presentaron un informe centrado en la ingeniería social y la IA.

Los deepfakes, voces clonadas y narrativas sintéticas ya no son experimentos de laboratorio, se han convertido en herramientas activas, utilizadas a escala y con una precisión cada vez más potencialmente devastadora.

Según Bojan Simic, CEO de HYPR, la ingeniería social dejó de depender del error humano aislado para convertirse en un sistema automatizado de engaño masivo. La IA permite combinar personalización extrema con volumen industrial, es decir, campañas hiperpersonalizadas ejecutadas al nivel del phishing masivo. El resultado es un escenario donde el spear phishing (phishing dirigido y personalizado) ya no es selectivo, sino omnipresente, y donde cada interacción puede adaptarse en tiempo real al perfil psicológico del objetivo.

Uno de los grandes catalizadores de este cambio es la llegada de los agentes de IA, capaces de ejecutar campañas completas sin supervisión humana. Expertos de Netskope e Incode Technologies coinciden en que estos agentes pueden investigar objetivos, construir identidades falsas, desplegar infraestructuras y mantener operaciones de engaño de forma autónoma. Las piezas técnicas ya existen (generación de rostros, videos, voces y documentación) y solo resta que se integren completamente, algo que el informe considera inevitable.

El impacto ya no se limita a individuos o empresas. La ingeniería social asistida por IA apunta ahora a industrias enteras, mercados financieros e incluso a la confianza pública de países completos. Casos recientes de suplantación de ejecutivos mediante deepfakes y estafas millonarias confirman esta tendencia, mientras que el avance de herramientas como Sora 2 eleva aún más el realismo de los contenidos falsos. A esto se suma la profesionalización del cibercrimen, con plataformas de phishing como servicio y kits diseñados específicamente para el fraude audiovisual.

El cambio psicológico

Otro cambio clave es psicológico. De acuerdo con especialistas en ética y comportamiento, la IA transforma la ingeniería social en operaciones emocionales continuas, capaces de crear vínculos, reforzar la confianza y manipular decisiones a largo plazo. Ya no se trata de un único mensaje urgente, sino de relaciones falsas sostenidas en el tiempo, optimizadas mediante pruebas constantes y ajustadas al perfil mental de cada víctima.

A este escenario se suma una advertencia crítica: la detección técnica de deepfakes puede que no logre seguir el ritmo de generación. El informe señala que, hacia 2026, el análisis de audio y video dejará de ser confiable, obligando a las organizaciones a abandonar la verificación basada en la apariencia, la voz o la imagen. En su lugar, ganarán protagonismo los procesos humanos reforzados: aprobaciones múltiples, canales de comunicación estrictamente definidos, verificación cruzada y flujos diseñados para eliminar la oportunidad de engaño, incluso cuando el ataque parezca completamente legítimo.

El informe es claro en su advertencia final: la ciberseguridad entra en una nueva era de desconfianza. A medida que los deepfakes se vuelven indistinguibles de lo real, la defensa dependerá menos de identificar al atacante y más de verificar la intención. En ese nuevo escenario, dudar será tan importante como proteger.