En 2025, la ingeniería social sigue siendo el principal vector de los ciberataques. Aunque las organizaciones continúan invirtiendo en tecnologías de ciberseguridad cada vez más sofisticadas, muchas aún subestiman la preferencia de los ciberdelincuentes por explotar las vulnerabilidades humanas. La manipulación o el soborno de empleados sigue siendo una estrategia de ataque sumamente eficaz.
Aproximadamente el 98 % de los ciberataques aprovechan técnicas de ingeniería social, especialmente el phishing. Ataques de alto perfil como los ocurridos en M&S y Co-Op en el Reino Unido evidencian brechas persistentes en la preparación, lo que demuestra que el panorama de amenazas requiere una mayor vigilancia y medidas de seguridad proactivas.
Un recordatorio de alto perfil: el ataque a Marks & Spencer
En julio, Marks & Spencer confirmó que un sofisticado ataque de ingeniería social provocó una grave brecha de ransomware.
Los actores del grupo Scattered Spider se hicieron pasar por uno de los 50.000 colaboradores de la empresa para engañar a un proveedor externo y lograr que restableciera la contraseña de un empleado. Esto permitió a los atacantes infiltrarse en la red, lo que resultó en una filtración de 150 GB de datos sensibles y causó una gran interrupción operativa, con pérdidas financieras estimadas en más de 300 millones de libras.
La amenaza interna persistente
Los modelos de trabajo híbrido han ampliado la superficie de riesgo, haciendo que los empleados que trabajan de forma remota sean especialmente vulnerables. Los ciberdelincuentes explotan estos entornos mediante ataques de phishing dirigidos, suplantación de identidad y técnicas para evadir la autenticación multifactor (MFA), lo que incrementa significativamente la posibilidad de robo de credenciales y accesos no autorizados a sistemas críticos.
Las organizaciones deben abordar estas amenazas de forma proactiva mediante programas de concienciación y medidas de seguridad específicas para proteger sus activos más críticos.
Formación del personal: convertir a los empleados de objetivo en defensa
Los empleados son la primera línea de defensa contra las amenazas de ingeniería social. Una comunicación constante, sesiones de formación sólidas y simulaciones de phishing ayudan a crear conciencia y resiliencia.
Las mejores prácticas incluyen:
• Evitar hacer clic en enlaces o abrir archivos adjuntos de remitentes desconocidos.
• Nunca compartir información sensible por teléfono, correo electrónico o SMS.
• Verificar la identidad del solicitante mediante múltiples canales antes de compartir información.
• Implementar la autenticación multifactor (MFA).
• Actualizar regularmente el software antivirus y antimalware.
Fomentar una cultura laboral positiva también reduce la probabilidad de que los empleados sean susceptibles a sobornos o manipulaciones, disminuyendo así el riesgo de amenazas internas.
Detección proactiva con Managed Detection and Response (MDR)
El error humano es inevitable, por lo que la detección proactiva de amenazas es fundamental. Muchas organizaciones se ven abrumadas por el volumen de ataques de phishing, lo que sobrecarga a los equipos de seguridad internos.
Colaborar con un proveedor de servicios MDR (Managed Detection and Response) como Integrity360 puede mejorar significativamente la seguridad, gracias a:
• Monitoreo continuo frente a ataques de phishing e ingeniería social.
• Identificación y contención rápida de amenazas.
• Permitir que los equipos internos se centren en tareas estratégicas de seguridad.
Cómo ayudan los servicios de pruebas de ciberseguridad de Integrity360
Los servicios integrales de Cyber Security Testing de Integrity360 abordan directamente las vulnerabilidades explotadas en ataques como el de M&S. Ofrecemos pruebas de penetración, auditorías de seguridad y evaluaciones realistas de ingeniería social que simulan ataques por phishing, suplantación y otras técnicas centradas en el factor humano.
Los informes detallados de estas pruebas proporcionan información práctica que permite a las organizaciones mejorar la formación del personal, reforzar los protocolos y fortalecer sus defensas ante futuros ataques.
Descubre cómo los servicios de pruebas de ingeniería social de Integrity360 pueden proteger tu empresa.
Refuerzo de las defensas en entornos híbridos
Para combatir eficazmente la evolución de la ingeniería social:
- Capacita y prueba regularmente a todos los empleados, incluidos los remotos.
- Revisa y refuerza los protocolos de verificación de identidad del helpdesk.
- Mejora la detección y respuesta con MDR.
- Evalúa continuamente tu seguridad con los servicios de pruebas de Integrity360.
Integrity360 es tu aliado para reducir riesgos y fortalecer tus defensas frente a los ataques de ingeniería social. ¿Listo para mejorar tu postura de seguridad? Ponte en contacto con Integrity360 hoy mismo para programar tu evaluación y proteger tu organización.