¿Por qué las empresas no pueden detener los ataques de ingeniería social? | Opinión

Fuente: CryptoNewsNet Título original: ¿Por qué las empresas no pueden detener los ataques de ingeniería social? | Opinión Enlace original: Durante el último año, la mayoría de los mayores exploits en criptomonedas han tenido la misma causa raíz: las personas. Solo en los últimos meses, Ledger instó a los usuarios a pausar la actividad en cadena tras ser engañados los mantenedores de npm y propagarse paquetes maliciosos; Workday reveló una campaña de ingeniería social que accedió a datos en un CRM de terceros; y operadores vinculados a estados continuaron con engaños de ofertas de trabajo falsas contra equipos de criptomonedas para distribuir malware.

Resumen

• La criptografía no está siendo hackeada — se le está convenciendo de que se entregue. La mayoría de las brechas ahora provienen de phishing, actualizaciones falsas y suplantación, no de código roto, haciendo que las “personas” sean la principal superficie de ataque.
• El dinero programable convierte pequeños errores en pérdidas catastróficas. Una sola clave filtrada o solicitud aprobada puede drenar fondos instantáneamente e irreversiblemente, haciendo que la ingeniería social sea un riesgo sistémico, no un error del usuario.
• Hasta que la seguridad operativa se trate como infraestructura central, los exploits seguirán escalando. Las auditorías y revisiones de código no pueden detener el engaño humano — solo los estándares de dispositivo, acceso y capacitación aplicados pueden hacerlo.

A pesar de gastar miles de millones en ciberseguridad, las empresas siguen siendo derrotadas por la ingeniería social simple. Los equipos invierten dinero en salvaguardas técnicas, auditorías y revisiones de código, mientras descuidan la seguridad operativa, la higiene de los dispositivos y los factores humanos básicos. A medida que más actividad financiera se traslada a la cadena, ese punto ciego se convierte en un riesgo sistémico para la infraestructura digital.

La única forma de frenar el auge de los ataques de ingeniería social es una inversión amplia y sostenida en seguridad operativa que reduzca la rentabilidad de estas tácticas.

La ingeniería social es el talón de Aquiles de la ciberseguridad

El Informe de Investigaciones sobre Brechas de Datos de Verizon 2025 vincula el “elemento humano” de la ciberseguridad (phishing, credenciales robadas y errores cotidianos) con aproximadamente el 60% de las brechas de datos.

La ingeniería social funciona porque apunta a las personas, no al código, explotando la confianza, la urgencia, la familiaridad y la rutina. Este tipo de exploits no pueden eliminarse mediante una auditoría de código y son difíciles de defender con herramientas automatizadas de ciberseguridad. La revisión de código y otras prácticas comunes de ciberseguridad no pueden evitar que un empleado apruebe una solicitud fraudulenta que parece provenir de un gerente, o descargue una actualización de software falsa que parece legítima.

Incluso los equipos altamente técnicos son vulnerables; la debilidad humana es universal y obstinada. Como resultado, la ingeniería social continúa impulsando incidentes en el mundo real.

La criptografía aumenta las apuestas

El dinero programable concentra el riesgo. En web3, comprometer una frase semilla o un token API puede ser equivalente a violar una bóveda bancaria. La naturaleza irreversible de las transacciones en criptomonedas amplifica los errores: una vez que los fondos se mueven, a menudo no hay forma de revertir la transacción. Una sola falla en la seguridad del dispositivo o en el manejo de claves puede eliminar activos. El diseño descentralizado de web3 significa que a menudo no hay un centro de ayuda al que acudir, dejando a los usuarios a su suerte.

Los hackers, incluidos operativos respaldados por estados, han notado la efectividad de los ataques de ingeniería social y se han adaptado en consecuencia. Las operaciones dependen en gran medida de la ingeniería social: ofertas de trabajo falsas, PDFs envenenados, paquetes maliciosos y phishing personalizado que aprovechan vulnerabilidades humanas.

Estos exploits son sorprendentemente efectivos y fáciles de ejecutar, y las empresas tecnológicas parecen incapaces de defenderse contra ellos. A diferencia de los exploits de día cero, que se parchean rápidamente (obligando a los hackers a buscar nuevas estrategias de explotación), los hackers pueden aprovechar las mismas tácticas de ingeniería social una y otra vez, de forma autónoma, dedicando más tiempo a hackear y menos a I+D.

Las empresas deben invertir en seguridad operativa

Demasiadas organizaciones todavía tratan la seguridad como un ejercicio de cumplimiento — una actitud reforzada por estándares regulatorios permisivos. Las empresas pasan rutinariamente auditorías y publican informes impecables, incluso mientras albergan riesgos operativos evidentes: claves de administrador almacenadas en laptops personales, credenciales compartidas por chat y email, privilegios de acceso obsoletos que nunca se rotan, y laptops de viaje reutilizadas como máquinas de desarrollo.

Corregir esta falta de disciplina requiere una seguridad operativa explícita y aplicada. Los equipos deben usar dispositivos gestionados, protección de endpoints robusta y cifrado completo del disco; los inicios de sesión en la empresa deben aprovechar gestores de contraseñas y MFA resistente al phishing; y los administradores de sistemas deben gestionar cuidadosamente privilegios y accesos. Estos controles no son una solución definitiva, pero dificultan los ataques de ingeniería social y ayudan a mitigar el impacto de posibles exploits.

Lo más importante es que los equipos inviertan en capacitación en seguridad operativa; los empleados (no los equipos de ciberseguridad) son la primera línea de defensa contra los ataques de ingeniería social. Las empresas deben dedicar tiempo a entrenar a sus equipos para detectar ataques de phishing, practicar una higiene de datos segura y entender las prácticas de seguridad operativa.

Críticamente, no podemos esperar que las organizaciones adopten posturas de ciberseguridad reforzadas de forma voluntaria; los reguladores deben intervenir y establecer líneas base operativas exigibles que hagan que la verdadera seguridad no sea opcional. Los marcos de cumplimiento deben ir más allá de la documentación y requerir pruebas demostrables de prácticas seguras: gestión verificada de claves, revisiones periódicas de acceso, endurecimiento de endpoints y simulacros de phishing. Sin dientes regulatorios, el incentivo siempre favorecerá la apariencia sobre los resultados.

La ingeniería social solo empeora

Es fundamental invertir en seguridad operativa ahora porque la tasa de ataques crece exponencialmente.

La IA generativa ha cambiado la economía del engaño. Los atacantes ahora pueden personalizar, localizar y automatizar el phishing a escala industrial. Las campañas que antes se centraban en un solo usuario o empresa ahora pueden dirigirse a miles de negocios con poco costo adicional. Los ataques de phishing pueden personalizarse con solo unos clics, incorporando detalles íntimos para que un email falsificado parezca legítimo.

La IA también acelera el reconocimiento. Las huellas públicas, credenciales filtradas y la inteligencia de código abierto pueden ser minadas y ensambladas en “informes” sobre cada víctima, ayudando a los hackers a desarrollar ataques profundamente convincentes.

Reduciendo la tasa de ataques

La ingeniería social prospera donde la confianza implícita y la conveniencia superan la verificación y la prudencia. Las organizaciones deben adoptar una postura más defensiva y (correctamente) suponer que están bajo la amenaza constante de un ataque de ingeniería social.

Los equipos deben aplicar principios de zero-trust en las operaciones diarias e incorporar principios de seguridad operativa en toda la empresa. Deben capacitar a los empleados en seguridad operativa para detener los ataques temprano y mantener a su equipo actualizado sobre las últimas tácticas de ingeniería social.

Lo más importante es que las empresas encuentren dónde aún reside la confianza en sus operaciones (donde un atacante puede suplantar a un empleado, un software o un cliente) y añadan salvaguardas adicionales.

La ingeniería social no desaparecerá, pero podemos hacer que sea mucho menos efectiva y mucho menos catastrófica cuando ocurran ataques. A medida que la industria se fortalece contra estos ataques, la ingeniería social será menos lucrativa para los hackers, y la tasa de ataques disminuirá, poniendo fin finalmente a este ciclo implacable de exploits.