Los ciberdelincuentes de 2025 ya no se parecen a los personajes de películas de ciencia ficción. En lugar de esconderse detrás de sudaderas y código verde, ahora se hacen pasar por representantes bancarios, socios logísticos o agentes de servicios financieros de confianza. Los incidentes cibernéticos más graves del año no dependieron de avances técnicos sofisticados, sino de explotar algo mucho más sutil: la confianza humana.
Desde el robo de langostas valoradas en $400,000 destinadas a Costco hasta el ataque de $400 millones contra Coinbase mediante ingeniería social, pasando por el hackeo al gigante británico Marks & Spencer, el patrón fue inconfundible. Según informes de la industria, estos fueron fracasos en las suposiciones sobre identidad, legitimidad y la seguridad de los procesos empresariales normales.
El Cambio de la Ingeniería Social en el Cibercrimen
Durante años, la industria de seguridad ha tratado el phishing como un problema técnico: enlaces maliciosos, archivos adjuntos armados y dominios falsificados. Los controles siguieron esa línea con filtros de correo, reescritura de URL y análisis de archivos adjuntos. Sin embargo, las estafas más dañinas del año pasado no dependieron de la entrega de malware o el robo de credenciales, sino de la persuasión.
Lo que hizo efectivos estos ataques no fue la perfección, sino la plausibilidad. Los correos electrónicos, mensajes, llamadas y perfiles falsos desplegados por los estafadores en 2025 no eran impecables, pero no necesitaban serlo. Solo necesitaban parecer suficientemente correctos para pasar el escrutinio humano en cuanto a remitente, tono, momento y solicitud adecuados.
Además, muchos de los eventos cibernéticos más perjudiciales del año se originaron desde sistemas legítimos utilizando datos legítimos. En los casos de Coinbase y el robo de langostas, según reportes de seguridad, los atacantes no inventaron la confianza desde cero, sino que aprovecharon datos robados de las propias empresas para lanzar ataques de ingeniería social altamente creíbles contra clientes.
Cómo la Inteligencia Artificial Transformó la Ingeniería Social
En el caso del ataque a Marks & Spencer, que obligó al minorista a suspender pedidos en línea, pagos sin contacto y servicios de recogida durante semanas, los atacantes engañaron al personal de servicio técnico para restablecer credenciales, aprovechándose de debilidades humanas y procedimentales. El informe “Vendors and Vulnerabilities” de PYMNTS Intelligence encontró que los proveedores y las cadenas de suministro son, en muchos casos, el punto más vulnerable de las defensas empresariales.
El estudio indica que el 38% de los casos de fraude de facturas y el 43% de los ataques de phishing provienen de proveedores comprometidos. Mientras tanto, con la inteligencia artificial acelerando el realismo, la escala y la personalización de estas interacciones de ingeniería social, los atacantes pueden ejecutar ataques de fraude a gran escala con una velocidad y precisión sin precedentes.
La IA no inventó la ingeniería social, pero ha ayudado a industrializarla. Los atacantes se han vuelto expertos en usar IA para investigar objetivos, imitar estilos de escritura, localizar idiomas, ajustar tonos y mantener personas consistentes a través de correo electrónico, SMS, voz e incluso video. El resultado es una clase de estafas que pueden sentirse menos como ataques y más como rutina empresarial.
La Nueva Superficie de Ataque Empresarial
La superficie de ataque empresarial ahora incluye psicología, diseño de procesos e incentivos organizacionales. También puede incluir factores de la vida personal, como perfiles de redes sociales, diseñados para sondear vulnerabilidades empresariales. PYMNTS Intelligence encontró recientemente que el 21% de los consumidores de la Generación Z reportaron haber caído en estafas iniciadas a través de plataformas de redes sociales.
Adicionalmente, un informe de PYMNTS Intelligence titulado “From Spark to Strategy” reveló que más de 3 de cada 4 directores de producto (77%) están utilizando inteligencia artificial generativa para ciberseguridad. Este dato subraya cómo las empresas están respondiendo a la amenaza con tecnología similar.
En definitiva, el futuro de la ciberseguridad no se decidirá únicamente por mejores algoritmos de detección o cifrado más fuerte. Se decidirá por qué tan bien las organizaciones aprendan a defender la capa invisible donde termina la tecnología y comienza la confianza. Las empresas deberán fortalecer protocolos de verificación humana y procedimientos de autenticación para 2026, especialmente en puntos de contacto con clientes y proveedores. La efectividad de estas medidas determinará si las organizaciones pueden reducir las pérdidas por ingeniería social o si los ciberdelincuentes continuarán aprovechando la confianza como su arma más poderosa.