Kaspersky ha actualizado su plataforma de seguridad para servidores de correo con nuevas heurísticas destinadas a identificar fraudes redactados mediante inteligencia artificial, ataques de bombardeo de suscripciones y mensajes procedentes de dominios recién creados. Las funciones llegan con Kaspersky Secure Mail Gateway 3.1, integrado en la oferta Kaspersky Security for Mail Server, y ponen el foco en correos que pueden resultar peligrosos aunque no contengan malware, enlaces fraudulentos ni adjuntos reconocibles.
La novedad más llamativa es la detección de mensajes generados por modelos de lenguaje y vinculados a fraudes financieros o ataques de compromiso del correo empresarial, conocidos como BEC. Kaspersky sostiene que su sistema puede identificar este tipo de comunicaciones en español y otros siete idiomas mediante reglas dinámicas que combinan expresiones propias del fraude con patrones asociados a textos generados automáticamente. La función está reservada al nivel de licencia KSMS Plus.
Kaspersky Secure Mail Gateway 3.1: las claves en 20 segundos
- Añade detección de correos generados por IA relacionados con ataques BEC.
- Analiza mensajes que no contienen enlaces ni archivos maliciosos.
- Reconoce campañas de bombardeo de suscripciones o list-linking.
- Evalúa la antigüedad y reputación de los dominios remitentes.
- Permite aplicar políticas diferentes por departamentos y grupos de usuarios.
- Incorpora análisis de documentos cifrados y protegidos mediante contraseña.
- Estrena una vista de usuarios que concentran más correo peligroso o no deseado.
- Mejora el encaminamiento del correo mediante cabeceras y reglas de contenido.
- La detección avanzada forma parte de KSMS Plus.
- No sustituye a SPF, DKIM, DMARC ni a la formación de los empleados.
Kaspersky Security for Mail Server funciona como una oferta que reúne protección para distintos entornos. Incluye un gateway virtual preparado para filtrar el correo antes de que alcance los buzones, además de aplicaciones destinadas a Microsoft Exchange y Microsoft 365. La compañía combina reputación de direcciones y enlaces, autenticación de remitentes, análisis de archivos, aprendizaje automático y reglas heurísticas.
El phishing generado por IA elimina muchas señales fáciles de detectar
Los filtros de correo llevan años buscando dominios falsos, archivos ejecutables, macros, enlaces hacia páginas de robo de credenciales y coincidencias con campañas conocidas. La inteligencia artificial generativa no anula esas defensas, pero permite a los atacantes producir mensajes más creíbles y adaptados a cada destinatario.
Un correo fraudulento ya no necesita contener errores ortográficos, traducciones extrañas o saludos genéricos. Un modelo puede imitar el lenguaje de un departamento financiero, preparar una petición urgente en varios idiomas y adaptar el tono a la posición profesional de la víctima.
Esta capacidad resulta especialmente útil en los ataques BEC. El atacante suplanta a un directivo, proveedor o compañero para pedir una transferencia, cambiar una cuenta bancaria, adquirir tarjetas regalo o compartir información confidencial. El mensaje puede no incorporar ningún elemento técnicamente malicioso. Su carga útil es la propia petición.
| Amenaza | Por qué puede superar un filtro tradicional |
|---|---|
| BEC generado por IA | Puede carecer de enlaces, malware y adjuntos |
| Suplantación de proveedor | Utiliza lenguaje y contexto empresarial creíbles |
| Cambio de cuenta bancaria | La acción fraudulenta la realiza el propio empleado |
| Fraude del directivo | Se apoya en urgencia, autoridad y confidencialidad |
| Dominio recién registrado | Todavía no acumula una reputación negativa |
| Bombardeo de suscripciones | Los correos proceden de servicios legítimos |
| Archivo cifrado | El gateway no puede ver su contenido sin abrirlo |
La nueva tecnología de Kaspersky intenta localizar expresiones asociadas a fraudes BEC y determinar si el estilo del texto presenta características compatibles con una generación automática. La compañía afirma que funciona con mensajes en inglés, francés, alemán, italiano, portugués, ruso, español y turco.
Conviene matizar el alcance de esta función. Un detector no puede demostrar de forma infalible que un texto salió de ChatGPT, Gemini, Claude o cualquier otro modelo. Los mensajes humanos y los generados por IA pueden compartir estructura, vocabulario y estilo.
El sistema debe entenderse como otra señal de riesgo. Un correo que combine un texto aparentemente sintético con una petición financiera, un remitente inusual y un dominio reciente puede recibir una puntuación más elevada y terminar en cuarentena. La decisión gana precisión al sumar señales, no al confiar en una supuesta huella universal de la escritura artificial.
Esta diferencia resulta importante para evitar falsos positivos. Departamentos comerciales, jurídicos o de atención al cliente pueden utilizar asistentes de escritura para preparar comunicaciones legítimas. Bloquear automáticamente cualquier texto que parezca generado por IA causaría problemas operativos.
Kaspersky indica que las heurísticas pueden configurarse por grupos y asociarse a diferentes acciones. Una empresa podría endurecer los controles para dirección y finanzas, mientras mantiene una política menos restrictiva para departamentos donde el uso de asistentes generativos es habitual.
La nueva capa tampoco reemplaza la autenticación del correo. SPF permite comprobar qué servidores pueden enviar mensajes en nombre de un dominio; DKIM firma el contenido para detectar modificaciones; y DMARC establece qué debe hacer el receptor cuando esas comprobaciones fallan. Kaspersky mantiene soporte para estos mecanismos junto con alineación de dominios y reputación del remitente.
Los atacantes pueden, sin embargo, registrar un dominio parecido al legítimo y configurar correctamente SPF, DKIM y DMARC. El mensaje estará autenticado, pero seguirá procediendo de una organización falsa. De ahí la utilidad de añadir la edad del dominio, su historial y el contenido de la petición al análisis.
Bombardeos de suscripciones y archivos protegidos con contraseña
Kaspersky también ha incorporado una heurística para detectar ataques de list-linking, conocidos como bombardeos de suscripciones. En lugar de enviar miles de mensajes desde una infraestructura controlada por el atacante, el delincuente registra la dirección de la víctima en formularios, boletines y servicios legítimos.
El usuario comienza a recibir confirmaciones de alta, avisos comerciales y mensajes automáticos procedentes de dominios con buena reputación. Los filtros convencionales tienen dificultades para bloquearlos porque cada correo, analizado de forma aislada, puede ser completamente legítimo.
La avalancha puede utilizarse para inutilizar temporalmente el buzón, distraer al empleado o esconder un aviso importante. Una confirmación de compra, el cambio de una contraseña o una alerta de seguridad pueden pasar desapercibidos entre cientos de mensajes.
La detección requiere observar el patrón: un aumento repentino de altas y confirmaciones dirigidas a la misma persona, procedentes de numerosos servicios y concentradas en un periodo corto. Kaspersky afirma que KSMG 3.1 puede reconocer esta conducta aunque los remitentes individuales no estén catalogados como maliciosos. La función se incluye entre las heurísticas avanzadas de KSMS Plus.
Otra mejora aborda los adjuntos protegidos por contraseña. Los atacantes utilizan archivos cifrados para impedir que el gateway examine el código, las macros o los documentos alojados en su interior. La contraseña suele aparecer en el cuerpo del correo, en una imagen o en otro mensaje.
Kaspersky ya ofrecía análisis de archivos comprimidos protegidos y afirma que la actualización amplía la inspección a documentos cifrados, incluidos formatos de Office y PDF. El objetivo es descubrir contenido oculto antes de que llegue al destinatario.
Esta capacidad tiene límites prácticos. Un gateway no puede abrir cualquier archivo cifrado sin conocer la contraseña, y los administradores deben valorar el consumo de CPU, memoria y tiempo que supone probar claves o descomprimir objetos complejos. También es necesario establecer límites de tamaño, profundidad y tiempo para evitar que el propio análisis se convierta en una vía de denegación de servicio.
La protección debe combinarse con políticas sencillas. Una empresa puede poner en cuarentena documentos cifrados enviados desde dominios desconocidos, permitirlos solo para determinados departamentos o exigir que se intercambien mediante una plataforma corporativa controlada.
Un panel para localizar a los usuarios más atacados
La actualización incorpora el módulo “Users at Risk”, que destaca a los empleados que reciben más phishing, spam, enlaces maliciosos y archivos peligrosos. El objetivo es cambiar la mirada desde el volumen total de amenazas hacia su distribución dentro de la empresa.
No todos los buzones tienen el mismo valor para los atacantes. Dirección, contabilidad, compras, recursos humanos y soporte suelen estar más expuestos porque gestionan pagos, documentación, currículos o comunicaciones externas.
La concentración de mensajes peligrosos tampoco significa necesariamente que el empleado actúe mal. Puede deberse a que su dirección es pública, aparece en filtraciones, recibe facturas de numerosos proveedores o desempeña una función atractiva para el fraude.
El panel puede ayudar a decidir dónde reforzar la autenticación, limitar determinadas operaciones o realizar ejercicios específicos de concienciación. También puede descubrir direcciones que reciben ataques repetidos y que deberían contar con reglas adicionales.
La métrica debe usarse con cuidado. Etiquetar a una persona como “usuario de riesgo” puede generar una interpretación injusta si el panel mide principalmente los mensajes recibidos y no su comportamiento. El hecho de ser objetivo frecuente no implica haber abierto archivos ni haber entregado credenciales.
KSMG 3.1 añade además reglas de encaminamiento capaces de utilizar cabeceras creadas por el filtrado de contenido. El correo puede dirigirse a diferentes servidores, cuarentenas o procesos según el remitente, el destinatario, el asunto, el cuerpo o los adjuntos.
Una organización podría enviar los documentos cifrados a una zona de análisis adicional, separar campañas comerciales, aplicar rutas especiales al correo dirigido a finanzas o entregar mensajes sospechosos a un entorno de investigación. La posibilidad de buscar y comentar reglas también puede reducir errores en configuraciones grandes.
La actualización amplía el contexto disponible para decidir, pero no elimina la necesidad de diseñar bien el flujo de correo. Un gateway debe integrarse con la identidad, el SIEM, la protección del endpoint y los procesos de respuesta. Detectar un mensaje BEC sirve de poco si la organización no revisa después los dominios implicados, busca correos similares y alerta al posible destinatario.
La inteligencia artificial está ayudando a los delincuentes a producir fraudes más convincentes, pero también obliga a los defensores a mirar más allá de los indicadores técnicos evidentes. Kaspersky intenta responder con una combinación de análisis lingüístico, reputación, comportamiento y contexto empresarial.
La prueba estará en las cifras que todavía no se han hecho públicas: precisión frente a campañas reales, falsos positivos, tiempo de análisis y capacidad para distinguir un correo legítimo redactado con IA de otro creado para provocar una transferencia fraudulenta.
Preguntas frecuentes
¿Kaspersky puede saber con certeza si un correo fue escrito por una IA?
No existe un método infalible. La solución analiza patrones de generación automática, lenguaje asociado a BEC y otras señales para asignar riesgo al mensaje.
¿La nueva detección funciona en español?
Kaspersky afirma que reconoce correos BEC generados por IA en ocho idiomas, incluido el español.
¿Qué es un ataque de bombardeo de suscripciones?
Consiste en registrar automáticamente el correo de la víctima en numerosos servicios legítimos para inundar su buzón, distraerla o esconder alertas importantes.
¿Las nuevas funciones están incluidas en cualquier licencia?
Las heurísticas para mensajes generados por IA, list-linking y otras capacidades avanzadas se ofrecen dentro del nivel KSMS Plus.
vía: kaspersky

