Skip to content
SecForge
IA · DEFENSA

Usar LLMs para cazar phishing.

Los filtros clásicos buscan coincidencias con cadenas de texto conocidas como maliciosas. Los modelos de lenguaje pueden leer la intención. Así es como eso ayuda en defensa — y dónde falla en silencio.

14 de junio, 20268 min de lectura

El phishing siempre ha vencido a los filtros simples por una razón: el atacante escribe un texto nuevo cada vez. Una regla que bloquea la frase "verifica tu cuenta" se esquiva de forma trivial reformulándola. Este es exactamente el tipo de problema para el que están hechos los grandes modelos de lenguaje, porque puntúan el significado en lugar de las cadenas exactas — y eso los convierte en una capa realmente útil dentro de una pila moderna de seguridad de correo defensiva.

Este artículo trata sobre detección: usar modelos para proteger a tus propios usuarios. No trata sobre escribir cebos más convincentes. Todo lo que sigue asume que estás defendiendo un buzón del que eres responsable.

Por qué los filtros de palabras clave se pierden el phishing moderno

La detección tradicional se apoya en señales como dominios de remitente conocidos como maliciosos, URLs en listas de bloqueo y palabras clave sospechosas. Estas señales atrapan bien el spam de gran volumen y bajo esfuerzo. Con los ataques dirigidos flaquean: un mensaje bien redactado desde un dominio recién registrado, sin faltas de ortografía y sin ningún enlace bloqueado, pasa directo. La pista en esos mensajes no es una cadena de texto — es la intención: una urgencia fabricada, una petición inusual para mover dinero o credenciales, un desajuste entre quién dice ser el remitente y cómo escribe.

Qué aporta realmente el modelo

Un modelo de lenguaje lee el mensaje como lo haría una persona cautelosa y señala las alarmas semánticas:

  • Clasificación de intención — ¿este mensaje intenta que quien lo lee se autentique, pague o instale algo, y encaja esa petición con la relación aparente?
  • Análisis de tono y presión — el phishing se apoya con fuerza en la urgencia y la consecuencia ("la cuenta se cerrará hoy"). Los modelos captan esto de forma fiable.
  • Comprobaciones de suplantación de marca — ¿el mensaje imita la voz de una marca conocida mientras el dominio del remitente y los enlaces apuntan a otro sitio sin relación?
  • Desajuste de contexto — un "CEO" que escribe desde una dirección personal pidiendo a un empleado junior que compre tarjetas regalo es un patrón que un modelo reconoce aunque cada palabra por separado sea inocente.

Dónde encaja un LLM en el pipeline

No sustituyes tus filtros actuales por un modelo — añades el modelo como una etapa posterior y más cara. Un diseño sensato:

EtapaQué ocurre
Etapa 1 — filtros baratosReputación de dominio, comprobaciones SPF/DKIM/DMARC, listas de bloqueo de URLs. Rechazan la basura obvia con un coste casi nulo.
Etapa 2 — puntuación del modeloLos mensajes que pasan las comprobaciones baratas pero caen en una zona gris se envían al modelo para una evaluación de intención y tono. Pagas por llamada, así que solo lo gastas donde la capa barata no fue concluyente.
Etapa 3 — revisión humanaTodo lo que el modelo puntúa como de alto riesgo pero no seguro pasa a un analista de seguridad o a un flujo de "reportar phishing", en lugar de borrarse en silencio.

Mantener el modelo en el medio, no al frente, controla tanto el coste como el radio de impacto: una llamada errónea del modelo pone un mensaje en cuarentena para revisión, no borra correo por su cuenta.

Los límites que tienes que tener en cuenta al diseñarlo

Quien te venda un detector de phishing basado en LLM como una bala de plata está exagerando. Las restricciones reales:

  • Los falsos positivos tienen un coste. Marca demasiados correos legítimos y los usuarios aprenderán a ignorar los avisos — o bloquearás una factura real. Un detector que grita "que viene el lobo" es peor que no tener ninguno.
  • Los atacantes se adaptan. En cuanto los defensores usan modelos, los atacantes también prueban sus cebos contra modelos. La detección es un objetivo en movimiento, no un problema resuelto.
  • La privacidad es una preocupación de primer nivel. Enviar correo corporativo a la API de un modelo de terceros significa enviar contenido potencialmente sensible fuera de casa. Para muchas organizaciones esa es una razón para ejecutar el modelo localmente o bajo un acuerdo estricto de procesamiento de datos.
  • La inyección de prompts corta por los dos lados. Un detector que lee correo está él mismo leyendo texto controlado por el atacante. Un mensaje diseñado a propósito podría intentar convencer al clasificador de que no lo marque — consulta La inyección de prompts, explicada.

La guía de CISA sobre cómo evitar el phishing sigue siendo válida por debajo de todo esto: la detección técnica es una capa, la formación de usuarios y una vía de reporte rápida son las otras. El modelo hace más inteligente la capa técnica; no elimina la necesidad del resto.

Medir si de verdad funciona

Un detector que no puedes medir es un detector en el que no puedes confiar. Antes de llevar una etapa con LLM a producción, ponle números frente a un conjunto etiquetado de correo real (anonimizado) — tanto phishing conocido como mensajes legítimos conocidos:

  • Precisión — de todo lo que el modelo marcó, cuánto era realmente phishing. Una precisión baja significa ruido, y el ruido enseña a los usuarios a saltarse tus avisos.
  • Exhaustividad (recall) — de todo el phishing que llegó, cuánto atrapó el modelo. Una exhaustividad baja da una falsa sensación de seguridad.
  • El equilibrio es un dial, no un hecho. Sube el umbral para atrapar más phishing y marcarás más correo legítimo; aflójalo y ocurre lo contrario. Elige dónde situarte de forma deliberada, según lo que a tu organización le cueste un fallo frente a una falsa alarma.

Vuelve a medir después de cada cambio en el prompt, el modelo o los filtros que lo rodean — la misma disciplina que un red team aplica a un modelo, pero dirigida hacia dentro, a tu propio detector. Sigue los números a lo largo del tiempo; una deriva lenta en la exhaustividad suele ser la primera señal de que los atacantes se han adaptado a lo que sea que tu modelo detecta.

Una nota sobre el alcance. Esto es educación en seguridad defensiva — usar modelos para proteger sistemas y usuarios de los que eres responsable. No es una guía para elaborar mensajes de phishing ni para evadir los filtros de otra persona.

Bien usado, un LLM convierte tu filtro de phishing de un comparador de cadenas en algo más parecido a un lector desconfiado. Mal usado — como una única puerta sin responsable, sin humano en el circuito, sin medir y sin afinar — simplemente falla de formas nuevas y más seguras de sí mismas. El valor está en las capas, y en medir la capa que has añadido.