Marc Sureda
Durante el año 2025, el Instituto Nacional de Ciberseguridad contabilizó más de 122.000 incidentes de seguridad en el territorio español. De esta cifra, aproximadamente el 40% correspondieron a fraudes a través de internet, destacando la suplantación de identidad o engaño informático con más de 25.000 casos documentados. Estas estrategias de ataque, conocidas técnicamente como suplantación de identidad o engaño informático, suelen valerse de correos electrónicos o mensajes falsos para manipular a los destinatarios. Un caso documentado por la propia institución pública ilustra esta metodología, en el cual un departamento de recursos humanos recibió un mensaje que simulaba provenir de un trabajador real para solicitar un cambio en el número de cuenta bancaria donde se ingresaba su nómina. Logrando que los delincuentes recibieran los fondos de dicho salario.
Con motivo de la reciente conmemoración del Día Internacional de los Trabajadores, la compañía de seguridad informática ESET ha analizado cómo este tipo de amenazas evidencian que las vulnerabilidades técnicas han pasado a un segundo plano frente a los errores humanos. Los portavoces de la firma, a través de su responsable de investigación y concienciación en el país, explican que los profesionales actuales utilizan numerosos dispositivos conectados a lo largo de su jornada, lo que facilita que los atacantes se aprovechen de los automatismos y las prisas diarias. De este modo, los propios miembros de la plantilla acaban actuando como el principal punto de acceso involuntario para los criminales, demostrando que un simple mensaje con apariencia habitual puede derivar en un compromiso financiero corporativo.
Josep Albors, director de Investigación y Concienciación de ESET España señala: “Hoy en día, prácticamente cualquier profesional utiliza varios dispositivos conectados a la red a lo largo de su jornada. Esto hace que la ciberseguridad ya no sea solo una cuestión tecnológica, sino también de hábitos, criterio y prevención. La ciberdelincuencia ya no solo busca vulnerabilidades técnicas, sino que aprovecha las prisas, los automatismos y los errores del día a día en cualquier organización. Un mensaje convincente o una solicitud aparentemente rutinaria pueden ser suficientes para desencadenar un incidente de seguridad”.
Ante el incremento sostenido de estos fraudes laborales, los expertos de la firma tecnológica recalcan que la protección de las organizaciones requiere ir más allá de la mera instalación de programas defensivos, exigiendo considerar la seguridad como una responsabilidad compartida que requiere dotar a los equipos humanos de conocimientos específicos. Para mitigar los riesgos, resulta fundamental que los trabajadores adopten la costumbre de comprobar siempre la legitimidad de cualquier comunicación que reclame información confidencial o modificaciones en los procesos de pago. Al mismo tiempo que deben recelar de las exigencias inusuales o que requieran una acción urgente. Así mismo, las rutinas de prevención diarias deben contemplar la precaución de no acceder a enlaces sospechosos ni descargar archivos adjuntos de remitentes que no sean de absoluta confianza, manteniendo en todo momento los equipos de trabajo correctamente actualizados.
