El spam se ha convertido en uno de los campos de batalla más activos. Lo que antes era una molestia ocasional ahora es una amenaza cada vez más sofisticada, en parte gracias a los avances tecnológicos en generación automática de texto por IA.
La proliferación del correo no deseado ha alcanzado un nuevo nivel de automatización. Ya más de la mitad de estos mensajes ya no son redactados por humanos.
Un nuevo estudio realizado por investigadores de las Universidades de Columbia y Chicago, en colaboración con Barracuda Networks, ha arrojado resultados preocupantes sobre el uso de sistemas de inteligencia artificial para generar campañas masivas de spam.
Esta transformación en el panorama del correo electrónico está teniendo implicaciones directas en la seguridad de usuarios, empresas y administraciones públicas.
La inteligencia artificial ya es el nuevo redactor del spam global
El análisis se basó en un amplio conjunto de correos electrónicos no solicitados y maliciosos registrados entre febrero de 2022 y abril de 2025. A partir de este corpus, los expertos pudieron identificar una tendencia clara: la creciente implicación de la inteligencia artificial en la generación de mensajes de spam.
En abril de 2025, el 51 % de los correos electrónicos de spam ya eran generados por IA.
Este dato no solo revela una aceleración tecnológica, sino también un cambio de enfoque por parte de los actores maliciosos. En lugar de depender de humanos para crear contenido fraudulento o engañoso, los atacantes están recurriendo a modelos automatizados que pueden producir miles de variaciones en minutos, con un nivel de corrección lingüística y persuasión que hace más difícil detectar los intentos de fraude.
El mismo estudio señala que, aunque solo el 14 % de los ataques de tipo BEC (Business Email Compromise) fueron generados por IA en esa misma fecha, la tendencia es claramente ascendente. La IA se está consolidando como herramienta preferida para redactar correos más eficaces y difíciles de filtrar.
Un antes y un después del spam desde noviembre de 2022
Los investigadores utilizaron como referencia el mes de noviembre de 2022, fecha en la que se lanzó públicamente ChatGPT, para establecer un punto de inflexión. Comparando el volumen y estilo de los mensajes antes y después de esta fecha, pudieron entrenar algoritmos de detección para identificar cuándo un correo electrónico había sido probablemente generado por un sistema de IA.
Uno de los patrones detectados fue el aumento en el uso de lenguaje más formal y sofisticado. A diferencia del spam tradicional, a menudo plagado de errores gramaticales y estructuras torpes, los correos electrónicos actuales generados por IA son más pulidos, fluidos y convincentes.
Esta transformación complica la labor de los filtros automáticos, que durante años han dependido de señales superficiales para bloquear contenido malicioso.
Además, los atacantes parecen estar utilizando la inteligencia artificial no solo para redactar los correos, sino para ajustar estratégicamente palabras clave y expresiones con el fin de evadir los sistemas de defensa tradicionales.
El uso de sinónimos, frases reformuladas y estructuras variables les permite probar cientos de combinaciones y detectar cuáles son más efectivas para eludir los controles.
Los correos de compromiso empresarial siguen resistiendo al spam
Aunque los correos de tipo BEC todavía dependen en gran medida del trabajo humano, por su necesidad de adaptarse al contexto y simular comunicaciones empresariales reales, la participación de sistemas de IA también está creciendo.
Estos ataques suelen requerir personalización, imitación de estilo de escritura e información contextual, lo que explica por qué los humanos siguen siendo el principal canal de creación. Sin embargo, el uso de IA como herramienta de asistencia, por ejemplo para corregir errores o suavizar el tono, está cada vez más extendido.
Asaf Cidon, profesor asociado de Ingeniería en la Universidad de Columbia y uno de los autores del informe, reconoce que es difícil saber con certeza cómo se ha generado cada correo. “Solo vemos el resultado del ataque, pero no siempre sabemos si lo escribió una persona o una IA. Sin embargo, todo apunta a que el volumen generado automáticamente está creciendo a ritmo constante”, advierte.
Nuevas amenazas requieren nuevas defensas
Ante este panorama, las soluciones de ciberseguridad deben evolucionar al mismo ritmo que lo hacen las amenazas. Desde Barracuda recomiendan adoptar medidas de protección avanzada, que incluyan modelos de detección también basados en inteligencia artificial, capaces de identificar patrones sintácticos y semánticos propios de los correos generados automáticamente.
Además de la tecnología, la concienciación sigue siendo fundamental. La formación en ciberseguridad de los empleados, tanto en grandes empresas como en pymes, es un factor clave para reducir el riesgo. Comprender cómo actúan estas nuevas amenazas, y saber identificar señales de alerta en correos aparentemente inofensivos, puede marcar la diferencia entre la seguridad y la exposición.
Lo cierto es que el uso masivo de sistemas de IA en la creación de spam no solo aumenta la frecuencia y el volumen de estos mensajes, sino que eleva su nivel de sofisticación. En este nuevo entorno, la automatización no es solo una herramienta de eficiencia para el trabajo legítimo: también se ha convertido en un recurso peligroso en manos equivocadas.
