Publicado: noviembre 18, 2025, 4:23 am
No siempre hay un enlace o un archivo malicioso: en la ingeniería social, a veces el peligro está solo en el texto, quizás una frase o un par de párrafos sin más, pero detrás de ello hay alguien tratando de convencer a otra persona para que interactúe con un contenido malicioso. A veces, en forma de alerta, indicando que el navegador está desactualizado cuando en realidad es una trampa para instalar malware, o simplemente un correo electrónico con URLs y archivos adjuntos sospechosos. En otras ocasiones, surge una interacción de lo más inofensiva en la que el atacante pregunta si se tienen unos minutos para hablar por teléfono y, a partir de ahí, establecer cierta confianza hasta que ese interés inicial se convierte en una falsa promesa que luego acaba en extorsión.
Los ciberdelincuentes no escatiman a la hora de ponerse creativos para hacer que estas estafas parezcan convincentes. Dedican bastantes esfuerzos en conseguir señuelos efectivos, porque tienen comprobado que se trata de un negocio muy lucrativo. Hasta el punto de suplantar a tu jefe pidiéndote que contactes a alguien de la misma empresa para la que trabajas, lo que distorsiona tu juicio: si te está llamando directamente a ti para que hagas eso, sientes que necesitas hacerlo sí o sí. O cuando una empresa de confianza, pero suplantada por ciberdelincuentes, escribe a sus clientes informando de que ha sufrido un ciberataque, instándoles a responder para obtener más información sobre lo sucedido y sobre cómo pueden realizar sus pagos ahora, algo frecuente en bancos y otras compañías de servicios.
También pueden lanzar una oferta de trabajo en remoto y hacer que pagues por tu ordenador por adelantado, que luego nunca llega, o responder a un extenso formulario con todo tipo de datos sensibles y personales. Es importante señalar, no obstante, que esos primeros emails en los que se pregunta a la posible víctima si está interesada en el puesto de trabajo, por sí solos, no hacen nada. Quien los recibe puede no saber realmente lo que pasa hasta que inicia la conversación con el atacante camuflado o interactúa con el contenido.
A propósito de tener conversaciones y relacionarse con gente, hay una estafa en la que los ciberdelincuentes se aprovechan de las personas de una manera cruel: las de supuesto interés romántico con pérdidas monetarias. Estos fraudes no son meros incidentes de ciberseguridad, son problemas humanos que ojalá queden erradicados algún día.
Hoy en día, es posible recibir llamadas no solo de las redes telefónicas tradicionales, sino de distintas aplicaciones, lo que amplía las superficies de ataque y hace más difícil distinguir entre comunicaciones legítimas y fraudulentas. Por eso, en vez de dejar de contestar el teléfono de manera sistemática, lo que sí podría ponerse en práctica es dejar claro que, si alguien quiere comunicarse, debe enviar primero un mensaje o email para avisar de que va a llamar.
Aunque la mayor parte de estas conversaciones benignas se usan para fraudes de pagos anticipados, en solicitudes de presupuestos o ataques de phishing de voz combinados con emails, también se ven algunas cuyo objetivo es entregar malware, robar credenciales con precisión y también ciberespionaje. El caso de las campañas APT, de agentes patrocinados por estados, es especialmente característico por dirigirse a un volumen mucho menor de objetivos y estar fuertemente adaptadas. La dinámica que suele seguirse es la de suplantar la identidad de un periodista interesado en hablar con alguien experto y de autoridad en un tema de diplomacia o política, por ejemplo, y conseguir que finalmente la víctima responda a ello para que potencialmente acabe instalando malware con el que se pueda hacer una actividad de seguimiento.
Últimamente, los atacantes están probando múltiples plataformas y herramientas en la cadena de ataque para lograr su objetivo final, eludiendo los sistemas de seguridad. La tecnología ha evolucionado enormemente en la detección de correos electrónicos falsificados. Existen varios mecanismos eficaces para verificar si un dominio está autorizado para enviar correos en nombre de una organización, añadir una firma digital a cada mensaje enviado desde un dominio para garantizar su autenticidad e integridad, así como establecer políticas y reglas para gestionar los correos que no superen esas verificaciones. A pesar de reducir eficazmente muchas estafas, hoy se ve menos suplantación del dominio exacto y más suplantaciones sofisticadas, en las que se emplean dominios falsos con pequeñas variaciones o errores tipográficos, pero técnicamente válidos. No obstante, también se envían señuelos maliciosos a través de servicios legítimos, por lo que logran pasar los controles de seguridad.
Aun así, las buenas prácticas siguen siendo, en esencia, las mismas. Aunque las amenazas se vuelvan más sofisticadas, como con el uso de la IA para generar voces más realistas en idiomas y acentos iguales a los de las víctimas, los principios de detección y respuesta permanecen constantes. Independientemente de quién o qué haya creado un email, una llamada o un mensaje, la detección de amenazas y las medidas de protección se aplicarán de la misma manera. La tecnología que aprovechen los ciberdelincuentes puede cambiar, pero la vigilancia y la concienciación del usuario continuarán siendo las mejores defensas.
