El phishing es la amenaza #1 en volumen y la causa raiz de >80% de breaches segun multiples surveys. Este theme conecta los 3 angulos del problema: el playbook IR cuando un cliente recibe phishing (IRM-13), el playbook IR generico de phishing al empleado (IRM-16), y el use case CTI de phishing intelligence (UC6) — monitorizar dominios maliciosos antes de que se usen.

IRM-13 (customer phishing) y IRM-16 (employee phishing) tienen flujos divergentes: el primero requiere takedown legal externo, el segundo bloqueo interno + reset credentials. UC6 (Phishing Intel) provee inteligencia preventiva que reduce frecuencia de ambos IRMs. La cadena ideal: UC6 detecta dominio sospechoso -> takedown preventivo -> nunca llega a fase IR. En la realidad: ratio reactivo/preventivo es 70/30 en organizaciones promedio.

El junior CTI debe operar UC6 (monitoring dominios + brand protection) y conocer IRM-13/16 para entender que pasa "downstream" cuando UC6 falla. Tools clave: PhishTank, OpenPhish, urlscan.io, certificate transparency logs, brand monitoring services (Recorded Future, ZeroFox).

Faltan notas sobre: spearphishing dirigido (vs mass phishing), BEC (Business Email Compromise — categoria propia), smishing/vishing tendencias 2026.