El Hub de Negocios.- El factor humano se convirtió en la principal puerta de entrada de los ciberdelincuentes a las empresas que operan en México. Esto hace vulnerable a cualquier sistema de protección sin importar qué tan robusto es. Incluso, no importa si se trata de una compañía grande o de un negocio pequeño.
Mediante ingeniería social, los cibercriminales logran que las propias víctimas les den acceso a los sistemas sin tener que vulnerar algún código. Suelen hacerlo con tres técnicas:
- Engaños
- Suplantación de identidad
- Manipulación de la confianza
“La realidad es que los ciberdelincuentes han cambiado su enfoque. Antes buscaban vulnerar sistemas; hoy buscan vulnerar a las personas. Un clic, una llamada o un mensaje pueden ser suficientes para abrir la puerta a un ataque”, explicó Sergio Mora, CTO en Ecosistemas Global.
Desde su punto de vista, el crecimiento de estas tácticas responde a su alta efectividad. “La ingeniería social funciona porque explota algo que ninguna tecnología puede controlar al 100%: la confianza. Los ataques son cada vez más personalizados, más creíbles y mejor dirigidos”, puntualizó.
A pesar de que las organizaciones han incrementado su inversión en herramientas de ciberseguridad, los ataques continúan al alza, indicó Ecosistemas Global en un comunicado.
“Existe un desfase entre la tecnología y la cultura digital. Muchas empresas han invertido en infraestructura, pero no necesariamente en educación y concientización. Puedes tener el mejor sistema de protección, pero si un colaborador entrega sus credenciales, el atacante entra por la puerta principal”, indicó el experto.
Te invitamos a leer: ¿Por qué el pensamiento humano es la última línea de defensa digital?
¿Cuáles son las técnicas de ingeniería social más utilizadas por los ciberdelincuentes?
Mora indica que las tácticas de vulneración del factor humano más utilizadas por los ciberdelincuentes son:
- Phishing: Correos electrónicos que suplantan a instituciones legítimas. Son comunes en sectores como el financiero, el comercio electrónico y los servicios digitales. Esto, debido a que en estas áreas los usuarios interactúan constantemente con plataformas en línea.
- Smishing: Mensajes SMS con enlaces maliciosos que han ganado terreno en la banca móvil y las telecomunicaciones. Aprovechan la inmediatez y la alta tasa de apertura de estos canales.
- Vishing: Llamadas telefónicas donde los atacantes se hacen pasar por personal de bancos o soporte técnico. Se trata de un método frecuente en usuarios de servicios financieros tradicionales.
- Baiting (cebo): Promesas de descargas gratuitas, premios o dispositivos físicos para infectar equipos. Es una práctica común en entornos corporativos e industriales.
- Pretexting: Creación de escenarios falsos convincentes como auditorías o emergencias. Esta técnica permite obtener información sensible, especialmente en áreas como recursos humanos, finanzas y atención a clientes.
Síguenos en Instagram: @elhubdenegocios
¿Cuáles son los sectores más atacados por la ingeniería social de los delincuentes cibernéticos?
El retail, la educación, la salud y los servicios han sido particularmente afectados debido a diversos factores que amplían significativamente la superficie de ataque:
- El volumen de información sensible que manejan: datos personales, financieros y operativos.
- La interacción constante con usuarios, clientes y proveedores, lo que.
“El sector financiero es uno de los más atacados porque combina dos elementos clave para los ciberdelincuentes: dinero y urgencia. Las personas reaccionan más rápido ante un mensaje que involucra su cuenta o su dinero, y ahí es donde los atacantes aprovechan para engañar”, explicó Sergio Mora.
Te invitamos a leer: Horabot: el software malicioso que roba tus credenciales bancarias
Frente a este escenario, expertos en ciberseguridad señalan que la respuesta no puede limitarse a invertir en infraestructura tecnológica. La diferencia entre un incidente menor y una crisis financiera o reputacional puede depender de una sola acción como abrir o no abrir un enlace enviado por los ciberdelincuentes.
Organismos como la Condusef y el CERT-MX han recomendado a instituciones públicas y privadas reforzar sus programas de capacitación interna como parte de sus estrategias de prevención.
“La ciberseguridad hoy es un tema cultural. No se trata sólo de implementar herramientas, sino de cambiar comportamientos. Verificar antes de hacer clic, desconfiar de lo urgente y proteger la información personal son acciones básicas que pueden evitar pérdidas millonarias”, concluye Mora.
Síguenos en Facebook: @elhubdenegocios
