Las notificaciones a usuarios sobre cuotas impagadas o vencidas, entre otras alertas, pueden generar ansiedad en los destinatarios, llevándolos a actuar con rapidez y, a menudo, de manera irreflexiva para evitar posibles sanciones o cargos adicionales. Esta reacción emocional, que precede a la acción, es precisamente la base que utilizan los ciberdelincuentes en sus tácticas de ingeniería social, con el objetivo de engañar a las víctimas para que envíen dinero, compartan información sensible o instalen aplicaciones maliciosas.
En este contexto, Proofpoint, compañía líder en ciberseguridad y cumplimiento normativo, ha publicado su nuevo informe «2025 Human Factor Report: Social Engineering», basado en uno de los mayores conjuntos de datos del sector. Cada año, la empresa analiza más de 3.400 billones de correos electrónicos, 21.000 billones de URLs, 800 billones de archivos adjuntos y 1.400 millones de SMS sospechosos, entre otros datos.
Los investigadores de amenazas de Proofpoint advierten que “al reaccionar de manera impulsiva ante un correo electrónico o mensaje que genera una respuesta emocional intensa y exige una acción inmediata, las personas pueden pasar por alto señales claras de que están ante una estafa«. Por ello, recomiendan siempre detenerse, analizar y reevaluar cuidadosamente cualquier comunicación que despierte urgencia emocional, ya que este es uno de los fundamentos que aprovechan los atacantes para lograr su éxito.
Estas son las principales conclusiones del informe “2025 Human Factor Report: Social Engineering” de Proofpoint:
1. Las amenazas están explotando en múltiples canales, y son más difíciles de detectar. Proofpoint bloquea al año 117 millones de ataques TOAD (Telephone-Oriented Attack Delivery), una de las amenazas basadas en ingeniería social pura para eludir las defensas de seguridad tradicionales que buscan enlaces o archivos adjuntos maliciosos. Estos ataques TOAD utilizan técnicas de telemarketing para manipular a las personas y que se instalen herramientas de acceso remoto u otros programas maliciosos, poniendo de manifiesto cómo los ciberataques están explotando canales más allá del correo electrónico.
2. Los ingresos de las estafas ‘pig butchering’ suben un 40% con un giro en su temática. Los ciberdelincuentes especializados en este fraude relacionado con criptomonedas está ganando actualmente más dinero con señuelos laborales que con los asuntos románticos tradicionales. Las pérdidas por estas estafas alcanzan los 3.900 millones de dólares, con un aumento del 210% en el número de depósitos solo en 2024. Aun así, mientras que el número de víctimas se disparó, el depósito medio se redujo, lo que sugiere que los atacantes están ampliando la red para estafar pagos más pequeños a un grupo de víctimas más grande.
3. La IA generativa está permitiendo el fraude multilingüe y regionalizado. A medida que el uso de la IA generativa se populariza, los ciberdelincuentes expanden su público objetivo con mensajes de ingeniería social mucho más personalizados y adaptados a distintas regiones o idiomas. No obstante, es esencial recordar que no importa tanto si los mensajes maliciosos han sido generados por una persona o una IA: la detección debe seguir siendo la misma.
4. Alrededor del 25% de todas las campañas de phishing patrocinadas por el Estado comienzan con mensajes de correo electrónico “benignos” para generar confianza. Esto supone un cambio sorprendente en cuanto a manipulación psicológica por encima de los exploits técnicos. Según Proofpoint, el 90% de estos mensajes finge interés en la colaboración y el compromiso para luego sondear cuestiones geopolíticas delicadas.
5. Los fraudes de pagos por adelantado (AFF) aumentan un 47%, mientras que la extorsión desciende un 68%. Se observa un cambio notable de la extorsión basada en el miedo a las estafas basadas en la seducción. Los fraudes por adelantado, como las falsas ofertas de trabajo o los regalos, están resultando más eficaces que las amenazas para los estafadores.
Pese a que las temáticas y los objetivos varían, todas estas amenazas tienen el mismo propósito inicial: conseguir que los usuarios contesten. En la inmensa mayoría de los ataques, los detalles técnicos importan menos que los factores humanos. Por eso, desde Proofpoint recomiendan una defensa centrada en las personas en la que haya visibilidad de quiénes están siendo atacados y si ceden ante las amenazas, con tecnología de detección basada en IA, protección contra riesgos de suplantación de identidad, flujos de trabajo automáticos y concienciación sobre ciberseguridad diseñada con lo último en inteligencia sobre amenazas.
