En los últimos años, las pérdidas por ciberataques basados en el sector retail se han incrementado significativamente a nivel global, principalmente a través del engaño a las personas, es decir, ataques de ingeniería social. Esta modalidad no requiere malware sofisticado, ni brechas técnicas, basta con una llamada falsa al área de soporte o un correo que aparenta ser de un superior para abrir la puerta a la violación del sistema. Esta forma de operar es cada vez más común en América Latina y ha ayudado a comprometer a grandes compañías de múltiples sectores, aprovechando el error humano con una precisión alarmante.
Esta técnica ha sido perfeccionada por grupos cibercriminales altamente sofisticados como Scattered Spider, cuyo accionar ha afectado a importantes empresas del sector retail en Estados Unidos y el Reino Unido. Lo que hace especialmente peligroso a este grupo es su combinación de habilidades técnicas avanzadas, con un alto dominio de la manipulación psicológica.
Scattered Spider ha demostrado una capacidad inusual para suplantar identidades en llamadas a servicios de soporte, accediendo a sistemas críticos sin levantar sospechas, ni activar alertas automáticas. Sus ataques han generado interrupciones operativas prolongadas, pérdidas económicas millonarias y caídas significativas en el valor de las acciones de empresas afectadas, evidenciando su alto nivel de impacto. Sin embargo, lo preocupante es que ya no se trata de un grupo aislado, diversas bandas criminales en el mundo están adoptando este enfoque, elevando el nivel de exposición para las empresas en América Latina.
“Lo llamativo es que no se requiere romper barreras tecnológicas; el acceso se obtiene persuadiendo directamente a las personas. Más del 80% de los ciberataques que analizamos en los últimos 3 años en la región, incluyó algún componente de ingeniería social y, en prácticamente todos los casos, los atacantes lograron ingresar sin activar una alerta automatizada o que no fue analizada de manera oportuna. Eso nos dice mucho sobre el tipo de amenaza que enfrentamos”, afirma Edson Villar, Líder Regional de Consultoría en Riesgos Cibernéticos de Marsh McLennan.
Frente a este panorama, la respuesta no puede limitarse a invertir en nuevas herramientas tecnológicas. Desde Marsh, se recomienda adoptar una estrategia integral de gestión del riesgo cibernético, que combine prevención, monitoreo y respuesta activa. Esto incluye entrenamientos constantes para todo el personal, protocolos de verificación más estrictos, ejercicios de simulación realista y una cultura organizacional alineada con la seguridad.
Algunas acciones clave que Marsh recomienda para proteger a la organización son:
- Capacitar regularmente al personal para detectar y reportar ataques de ingeniería social, incluyendo simulaciones de correos y llamadas.
- Implementar un programa de ciberinteligencia para detectar y actuar frente a posibles exposiciones de información.
- Mantener actualizado y probado un plan de respuesta ante ciberincidentes frente a los principales escenarios de ciberataque que puede enfrentar la organización.
“Lo más peligroso de este tipo de ataques es que muchas veces se subestiman. En muchos casos, no hay un software malicioso, ni pantallas negras, en el vector inicial, solo un clic mal dado o una llamada mal respondida. Por eso, las empresas que están mejor preparadas no son necesariamente las que más invierten en tecnología, sino las que entienden que la seguridad empieza en la conducta diaria de sus colaboradores”, sostiene Villar.
Además, Marsh destaca la importancia de un enfoque integral en la gestión del riesgo cibernético que combine prevención, monitoreo y capacidad de respuesta. Contar con un seguro especializado y disponible de forma continua contribuye a fortalecer la resiliencia organizacional desde la estrategia, más allá de la infraestructura tecnológica.
El cibercrimen evoluciona, y con él, las técnicas para engañar e infiltrarse en las organizaciones. La ingeniería social es una de sus formas más sofisticadas, porque ataca donde la tecnología no siempre llega: la confianza entre personas. En un entorno donde la reputación, los datos y la continuidad operativa son activos irremplazables, anticiparse no es una opción: es la única vía para proteger lo esencial.