Ciudad de México, 06 de noviembre del 2025.- Un mensaje que advierte sobre la suspensión temporal de una cuenta bancaria, otro que informa de un paquete no entregado y uno que anuncia la obtención de una tarjeta regalo. Además, incluyen un enlace que solicita al usuario introducir sus datos personales. Sin embargo, ninguno es lo que parece. Todos pueden ser ejemplos de ingeniería social, un conjunto de técnicas de manipulación diseñadas para engañar a las personas y obtener beneficios del engaño. Mecanismos que, con el reciente auge de la inteligencia artificial generativa, han aumentado tanto en número como en complejidad.
Del SEO al GEO: cómo la inteligencia artificial redefine el posicionamiento del contenido
Hasta ahora, la realización de un ‘phishing’, uno de los ataques de ingeniería social más comunes, requería la realización de una investigación exhaustiva de la víctima que se tenía que hacer fundamentalmente de forma manual (lenta y costosa), por lo que estos ataques eran menos frecuentes. Sin embargo, las capacidades de inteligencia artificial generativa permiten automatizar esta búsqueda y realizar ataques dirigidos de forma masiva. A pesar de que los ataques han disminuido un 20% a nivel mundial, son más específicos, según un informe de Zscaler, empresa estadounidense de ciberseguridad. Con ayuda de la IA, se crean vídeos, audios y SMS engañosos. Otro ataque muy recurrente es crear plataformas falsas de criptomonedas en las que los usuarios introducen sus credenciales. Con esos datos, los estafadores acceden a sus cuentas y roban el dinero.
Además, hay otro aspecto clave: la IA generativa facilita la creación inmediata de mensajes redactados de forma que parecen legítimos y que tienen más probabilidades de engañar a las víctimas, ya sea a través de correos, llamadas y SMS que simulan ser entidades legítimas como una red social, un banco o una institución pública.
¿Cómo afecta la inteligencia artificial al ‘phishing’?
Internet es un entorno en el que los estafadores no tienen que exponerse físicamente para dar sus golpes, lo cual les proporciona una cómoda sensación de seguridad. Asimismo, existen muchas formas de automatizar tareas, que hace que los delincuentes puedan afectar a cifras astronómicas de posibles víctimas casi sin esfuerzo.
Por este motivo, la ingeniería social a través de Internet no ha dejado de evolucionar junto con la digitalización de las empresas y de las personas. Si bien inicialmente solo se realizaba a través de correos electrónicos (lo que se conoce como ‘phishing’), progresivamente se han ido incorporando nuevos canales a los engaños, como los sistemas de mensajería instantánea y redes sociales (‘SMSishing’), las memorias USB extraviadas (‘baiting’), las llamadas telefónicas (‘vishing’), y más recientemente los códigos QR, que están cada vez más presentes tanto en el entorno físico como en el digital (‘QRishing’).
A lo largo del tiempo los ataques de ingeniería social también se han ido haciendo cada vez más sofisticados. Al inicio, consistían en envíos masivos de mensajes con contenidos muy generales, cada vez se han ido perfeccionando más, dirigiéndose a colectivos específicos y tratando temáticas adaptadas a ese colectivo, de modo que el engaño sea mucho más difícil de identificar.
De esta forma, el ‘phishing’ se enmascara en un mensaje aparentemente procedente de un contacto real, o simula un mensaje correspondiente a un proceso real de la empresa de la víctima, por ejemplo. Esto es lo que se conoce como ‘phishing’ dirigido, o comúnmente en su término en inglés ‘spear phishing’. Y, aunque los correos electrónicos de ‘phishing’ dirigido representan solo el 0,1% de todos los emails enviados, estos son responsables del 66% de todas las brechas de seguridad, según un informe de Barracuda, compañía de seguridad estadounidense.
Como consecuencia, los ciberataques recibidos en España han incrementado de manera notable. En 2024 alcanzaron una cifra de 97.348 incidentes de ciberseguridad registrados, lo que supone un aumento del 16% con respecto al 2023, según datos de el Instituto Nacional de Ciberseguridad (INCIBE). Por esta razón, el 64% de jefes de empresas españolas creen que un ciberataque a su reputación dañaría significativamente su negocio, según el Informe de Ciberpreparación de la aseguradora Hiscox.
Ciberseguridad industrial: protegiendo los pilares de las infraestructuras críticas
También los objetivos de la ingeniería social han ido evolucionando con el tiempo. Si bien al principio fundamentalmente buscaban información fácilmente convertible en dinero, como contraseñas de los bancos, o directamente engañar a la víctima para que realice un pago al atacante, con la mejora en los sistemas de verificación de la identidad del usuario, como la biometría, cada vez más el objetivo consiste en instalar un ‘malware’ en el dispositivo de la víctima que permita al atacante obtener el control y acceder desde él a las tareas que considere.
Con información de: BBVA
