ER.-En los últimos años, las pérdidas causadas por ciberataques al sector retail han crecido de forma alarmante en todo el mundo. Lo más preocupante: no requieren de malware complejo ni vulnerabilidades técnicas. Basta una llamada falsa o un correo que simule ser de un superior para abrir las puertas de acceso a sistemas críticos.
Esta modalidad, conocida como ingeniería social, es hoy una de las herramientas más utilizadas por ciberdelincuentes en América Latina. Su éxito radica en una simple premisa: engañar al eslabón más vulnerable de la cadena, las personas.
Uno de los grupos criminales más peligrosos en esta línea es Scattered Spider, una organización altamente sofisticada que ha afectado a grandes empresas del sector retail en Estados Unidos y el Reino Unido. Su modus operandi combina habilidades técnicas avanzadas con una precisión quirúrgica en la manipulación psicológica.
Este grupo ha logrado suplantar identidades en llamadas a servicios de soporte, accediendo a sistemas empresariales sin levantar alertas automáticas. Los resultados han sido devastadores: interrupciones operativas prolongadas, pérdidas económicas millonarias y desplomes en el valor de las acciones de empresas afectadas.
Lo más inquietante es que su estrategia se está replicando a nivel global. “Más del 80% de los ciberataques que analizamos en los últimos tres años en la región incluyó algún componente de ingeniería social. En casi todos los casos, los atacantes ingresaron sin activar una sola alerta automática o sin que esta fuera atendida a tiempo”, alerta Edson Villar, Líder Regional de Consultoría en Riesgos Cibernéticos de Marsh McLennan.
Más allá de la tecnología: seguridad como cultura
Ante este panorama, la respuesta no pasa únicamente por invertir en tecnología. Desde Marsh recomiendan adoptar un enfoque integral de gestión del riesgo cibernético, que combine prevención, monitoreo y capacidad de respuesta activa.
Entre las acciones clave destacan:
-
Capacitación continua al personal para identificar correos o llamadas sospechosas.
-
Simulacros realistas de ataques de ingeniería social.
-
Protocolos de verificación más estrictos para acceder a sistemas sensibles.
-
Programas de ciberinteligencia que alerten sobre posibles filtraciones o amenazas emergentes.
-
Planes de respuesta ante incidentes bien definidos, probados y actualizados.
“La seguridad no empieza en el software, empieza en la conducta diaria de los colaboradores. Lo más peligroso de estos ataques es que muchas veces se subestiman, porque no hay pantallas negras ni virus. Solo una llamada mal respondida o un clic fuera de lugar”, enfatiza Villar.
Además, contar con un seguro cibernético especializado puede hacer la diferencia cuando ocurre un incidente, al permitir a las organizaciones reaccionar con rapidez y minimizar el impacto.
El enemigo invisible: la confianza
El cibercrimen evoluciona constantemente y con él, las técnicas para infiltrarse. La ingeniería social se ha convertido en una de las formas más sofisticadas, precisamente porque ataca donde la tecnología no siempre puede proteger: la confianza entre personas.
En un entorno donde la reputación, los datos y la continuidad operativa son activos clave, la anticipación ya no es una opción, sino la única forma de proteger lo esencial.