Las alertas a usuarios sobre cuotas impagadas o vencidas, entre otras, pueden provocar ansiedad en los destinatarios, consiguiendo que actúen con rapidez, y también de manera irreflexiva, para evitar posibles sanciones o tasas. Esa emoción humana que precede a la acción es la base de la táctica de ingeniería social con la que los ciberdelincuentes tratan de engañar asiduamente a sus víctimas para conseguir que envíen dinero, divulguen información sensible o instalen una aplicación en su sistema.

Proofpoint , empresa de ciberseguridad y cumplimiento normativo, ha publicado su nuevo informe “ Informe de Factor Humano 2025: Ingeniería Social” que extrae conclusiones de uno de los mayores conjuntos de datos de la industria de ciberseguridad: cada año, la compañía analiza más 3.400 billones de mensajes por correo electrónico, 21.000 billones de URLs, 800 billones de archivos adjuntos, 1.400 millones de SMS sospechosos y mucho más.

«Al actuar de inmediato y calculando en una respuesta emocional, las personas pueden pasar por alto detalles que demuestran que están ante una estafa. Este es un buen ejemplo de por qué es importante hacer una pausa y reevaluar cualquier correo electrónico y mensaje recibido en redes sociales o por aplicaciones de mensajería que provocan una fuerte respuesta emocional y exija una acción inmediata. Esa es la piedra angular del éxito de los atacantes» , aconsejan los investigadores de amenazas de Proofpoint.

Estas son las principales conclusiones del informe “Informe de Factor Humano 2025: Ingeniería Social” de Proofpoint:

1. Las amenazas están explotando en múltiples canales, y son más difíciles de detectar . Proofpoint bloquea al año 117 millones de ataques TOAD (Telephone-Oriented Attack Delivery), una de las amenazas basadas en ingeniería social pura para eludir las defensas de seguridad tradicionales que buscan enlaces o archivos adjuntos maliciosos. Estos ataques TOAD utilizan técnicas de telemarketing para manipular a las personas y que se instalan herramientas de acceso remoto u otros programas maliciosos, poniendo de manifiesto cómo los ciberataques están explotando canales más allá del correo electrónico.

2. Los ingresos de las estafas ‘cerdos sacrificados’ suben un 40% con un giro en su temática . Los ciberdelincuentes especializados en este fraude relacionado con criptomonedas están ganando actualmente más dinero con señuelos laborales que con los asuntos románticos tradicionales. Las pérdidas por estas estafas alcanzan los 3.900 millones de dólares, con un aumento del 210% en el número de depósitos solo en 2024. Aun así, mientras que el número de víctimas se disparó, el depósito medio se redujo, lo que sugiere que los atacantes están ampliando la red para estafar pagos más pequeños a un grupo de víctimas más grande.

3. La IA generativa está permitiendo el fraude multilingüe y regionalizado . A medida que el uso de la IA generativa se populariza, los ciberdelincuentes expanden su público objetivo con mensajes de ingeniería social mucho más personalizados y adaptados a distintas regiones o idiomas. No obstante, es esencial recordar que no importa tanto si los mensajes maliciosos han sido generados por una persona o una IA: la detección debe seguir siendo la misma.

4. Alrededor del 25% de todas las campañas de phishing patrocinadas por el Estado comienzan con mensajes de correo electrónico “benignos” para generar confianza . Esto supone un cambio sorprendente en cuanto a manipulación psicológica por encima de los exploits técnicos. Según Proofpoint, el 90% de estos mensajes finge interés en la colaboración y el compromiso para luego sondear cuestiones geopolíticas delicadas.

5. Los fraudes de pagos por adelantado (AFF) aumentan un 47%, mientras que la extorsión desciende un 68% . Se observa un cambio notable de la extorsión basada en el miedo a las estafas basadas en la seducción. Los fraudes por adelantado, como las falsas ofertas de trabajo o los regalos, están resultando más eficaces que las amenazas para los estafadores.

Pese a que las temáticas y los objetivos varían, todas estas amenazas tienen el mismo propósito inicial: conseguir que los usuarios contesten. En la inmensa mayoría de los ataques, los detalles técnicos importan menos que los factores humanos. Por eso, desde Proofpoint recomiendan una defensa centrada en las personas en la que haya visibilidad de quiénes están siendo atacados y si ceden ante las amenazas, con tecnología de detección basada en IA, protección contra riesgos de suplantación de identidad, flujos de trabajo automáticos y concienciación sobre ciberseguridad diseñada con lo último en inteligencia sobre amenazas.