Según la empresa Soluciones Virtuales Perú®, el phishing sigue consolidándose como una de las amenazas cibernéticas más activas y peligrosas del mundo digital.
Este tipo de ataque- basado en la ingeniería social- busca engañar a las personas para que revelen información confidencial como credenciales, datos personales o financieros. Para ello, los ciberdelincuentes emplean diferentes técnicas, siendo las más comunes el phishing por correo electrónico, es decir, envío masivo de correos fraudulentos que simulan provenir de entidades legítimas; spear phishing o ataques altamente personalizados dirigidos a individuos u organizaciones específicas; y el vishing y smishing, fraudes realizados mediante llamadas telefónicas, mensajes SMS o aplicaciones de mensajería como WhatsApp o Telegram.
Así lo explica Claudia Gorritti, gerente general de esta empresa líder en servicios y soluciones Cloud, quien manifiesta que los ciberatacantes explotan emociones humanas como la urgencia, el miedo o la autoridad para manipular a sus víctimas y facilitar el inicio de ciberataques más amplios.
“Según el Informe Verizon 2024 sobre investigaciones de filtraciones de datos, el phishing representa el 14% de las filtraciones de credenciales, evidenciando su persistente relevancia. Aún más alarmante, se estima que cada 20 segundos surge un nuevo sitio web de phishing, un ritmo que resalta la urgencia de implementar defensas cibernéticas robustas”, señala la ejecutiva de Soluciones Virtuales Perú®.
A la vez, comenta que recientemente se descubrió una filtración masiva que afecta a más de 26.000 millones de registros, considerada una de las mayores de la historia. Esta brecha, de aproximadamente 12 terabytes, contiene información procedente de plataformas como Dropbox, LinkedIn, Twitter, Adobe, Canva e incluso organismos gubernamentales.
El factor humano: el eslabón más vulnerable
Claudia Gorritti sostiene que los ataques de phishing prosperan porque se aprovechan de la naturaleza humana. De hecho, algunos estudios demuestran que las personas tienen un 35% más de probabilidades de hacer clic en enlaces fraudulentos cuando enfrentan mensajes con carácter urgente.
Entre los principales factores que incrementan este tipo de vulnerabilidad menciona la falta de concientización sobre tácticas de phishing; sesgos cognitivos, como la confianza en figuras de autoridad o decisiones impulsivas; y la formación insuficiente en ciberseguridad.
“Algunas tácticas comunes utilizadas por los atacantes incluyen mensajes de urgencia (“Su cuenta será desactivada”), miedo (“Debe impuestos atrasados”) y autoridad (“Habla el director general, procese este pago”). Las estafas que apelan a la urgencia presentan tasas de éxito del 45%, según datos de simulaciones recientes”, añade.
Frente a esta realidad, afirma que la evaluación del riesgo de phishing es un paso esencial para determinar la exposición de una organización. En este sentido, las estrategias más eficaces incluyen las simulaciones de phishing, para medir la respuesta de los empleados; análisis de métricas clave, como tasas de clics o tiempos de denuncia; comparación con estándares del sector y revisión de controles técnicos; y las encuestas y análisis de incidentes previos, para detectar patrones de vulnerabilidad.
“Convertir estos datos en acciones tangibles permite priorizar grupos de riesgo, mejorar la formación personalizada y fortalecer las defensas técnicas y culturales”, asevera.
Formación continua: clave para la resiliencia cibernética
Dado lo anterior, desde Soluciones Virtuales Perú® expresan que los programas de formación deben ser dinámicos, prácticos y medibles. De hecho, las simulaciones reales han demostrado reducir en un 64% la probabilidad de caer en ataques de phishing a los seis meses de su implementación.
“Una cultura organizacional sólida en ciberseguridad se construye integrando la seguridad en la rutina diaria, fomentando la denuncia abierta de intentos sospechosos y reconociendo a quienes contribuyen a la detección temprana”, advierte la ejecutiva.
Adicionalmente, indica que las organizaciones deben monitorear indicadores clave de rendimiento (KPI) como la tasa de clics en simulaciones de phishing, nivel de compromiso con la formación, y frecuencia y rapidez en la denuncia de incidentes.
La gerente general de esta compañía resalta que la lucha contra el phishing no es un evento aislado, sino un proceso continuo de mejora, educación y adaptación. “Fortalecer la conciencia de los usuarios, evaluar regularmente los riesgos y mantener programas de formación continua son pasos decisivos para proteger los datos y consolidar una cultura de resiliencia cibernética en las organizaciones modernas”, puntualiza.
