Marc Sureda
Las emociones humanas, como la ansiedad o la urgencia, continúan situándose en el centro de las estrategias de los cibercriminales. Según el nuevo informe «2025 Human Factor Report: Social Engineering» publicado por Proofpoint, la explotación de reacciones emocionales inmediatas sigue siendo un vector de ataque fundamental para conseguir que las víctimas envíen dinero, compartan información sensible o instalen software malicioso.
La investigación de Proofpoint se basa en uno de los mayores conjuntos de datos de la industria, que analiza anualmente más de 3.400 billones de mensajes de correo electrónico, 21.000 billones de URLs, 800 billones de archivos adjuntos y 1.400 millones de SMS sospechosos, entre otros datos. De estos análisis se concluye que las personas que responden de manera impulsiva a un mensaje emocionalmente cargado tienen más probabilidades de ser víctimas de fraude.
Expansión de las amenazas y evolución de las tácticas
Una de las tendencias más relevantes del informe es la proliferación de amenazas a través de múltiples canales. Un ejemplo es el auge de los ataques TOAD (Telephone-Oriented Attack Delivery), donde los atacantes utilizan técnicas de telemarketing para manipular a las víctimas. Proofpoint bloquea anualmente 117 millones de estos intentos, que eluden las defensas tradicionales al no incluir enlaces o adjuntos maliciosos.
Otra transformación significativa es el crecimiento de las estafas conocidas como «pig butchering», tradicionalmente ligadas al fraude romántico. En 2024, estos engaños han evolucionado hacia señuelos laborales, generando un incremento del 40% en ingresos y pérdidas estimadas de 3.900 millones de dólares. Aunque el número de víctimas ha aumentado, el depósito medio ha descendido, indicando un enfoque de estafas de menor cuantía pero a un público más amplio.
Impacto de la IA generativa y cambios en la manipulación psicológica
La IA generativa está desempeñando un papel creciente en la sofisticación de los fraudes. Permite a los atacantes generar contenidos multilingües y personalizados, ampliando su alcance a distintos idiomas y regiones. A pesar de ello, los expertos de Proofpoint recalcan que la detección debe centrarse en los patrones de ataque más que en su autoría, ya sea humana o automatizada.
El informe destaca también un cambio en las campañas de phishing patrocinadas por estados: aproximadamente el 25% de ellas comienzan con mensajes «benignos», cuyo propósito inicial es generar confianza antes de abordar cuestiones geopolíticas sensibles. El 90% de estos mensajes simulan interés en colaboración o cooperación, utilizando la psicología social en lugar de vulnerabilidades técnicas.
De la amenaza al engaño: nuevas tendencias en los fraudes
Otro dato relevante del estudio de Proofpoint es el incremento del 47% en los fraudes de pagos por adelantado (AFF), mientras que los casos de extorsión han disminuido un 68%. Esta evolución refleja un cambio en las tácticas de los atacantes: la seducción y la persuasión están sustituyendo al miedo como herramienta principal para engañar a las víctimas.
La esencia de todas estas amenazas, independientemente del canal o del método utilizado, radica en el mismo objetivo: conseguir que el usuario responda de alguna manera. Dado que los factores técnicos son menos determinantes que los humanos en la mayoría de los ataques, Proofpoint aboga por una estrategia de defensa centrada en las personas, que combine la detección basada en IA, la protección contra la suplantación de identidad, flujos de trabajo automáticos, y programas de concienciación en ciberseguridad respaldados por inteligencia actualizada sobre amenazas.
