Según el Índice de Ciberseguridad 2025 de Fortinet –empresa especializada en esa materia—el año pasado México sufrió 130 mil millones de ataques cibernéticos exitosos. IBM en su respectivo índice en esa misma materia, señala que cada ataque exitoso le cuesta en promedio un millón 400 mil dólares a cada víctima, cuando se trata de empresas, pero cuando se trata de personas la cosa puede ser peor: desde extorsiones hasta usurpación de personalidad.
Otros gigantes digitales globales como Microsoft, Google, Nvidia, Check Point, HP, por mencionar algunas, también elaboran sus propios índices y, quien tenga la curiosidad suficiente, encontrará diferencias notables en los números, aunque todas tienen un común denominador: los ataques se cuentan por cientos de miles de millones y México y Brasil se pelean el deshonroso primer lugar entre las naciones más atacadas en América Latina.
Estas discrepancias se explican porque las empresas miden los ciberataques sufridos en los equipos que tienen contratados sus servicios alrededor del mundo, así que no existe una medición estrictamente global sino, en todo caso, empresarial.
Como sea, el problema es grave, porque hoy los delincuentes tienen a la mano una herramienta de un increíble poder, que les ha dado las posibilidades de llevar sus fechorías al siguiente nivel: la Inteligencia Artificial.
Según Sebastián Russo, director de ingeniería de Fortinet México, con la Inteligencia Artificial un delincuente puede el día de hoy, armar al 100 por ciento una campaña de phishing en dos o tres días, que puede resultar hasta 70 por ciento más eficaz que técnicas anteriores, a través del llamado “spear phishing” o “pesca con arpón”, para decirlo en español.
Esta nueva modalidad de la delincuencia, consiste en que el delincuente elige a una víctima a partir de su perfil en cualquier red social. Con herramientas de Inteligencia Artificial que obtiene gratuitamente en la darkweb o hasta en el internet abierto, puede hacer una revisión profunda de las actividades, gustos, trabajo, logros, familia, compras, hábitos y preferencias políticas, entre otras cosas, y preparar un mensaje personalizado convincente en uno o dos días.
La revisión incluye ver sus correos electrónicos personales y de trabajo, de donde la IA extrae incluso expresiones específicas de personas en lo individual. Por ejemplo, si mi jefe suele usar determinadas palabras en sus correos institucionales, la herramienta lo detecta para después usarlos en los mensajes fraudulentos, para darles verosimilitud.
Una vez que están listos todos estos perfilamientos, el delincuente envía los mensajes que la IA le ha preparado totalmente personalizados hasta un punto casi imposible de detectar y cuando recibe respuestas, tarda minutos en evaluar quién es la víctima más propiciatoria y entonces ataca con ese nivel de eficiencia: 70 por ciento.
Esto es, caen siete de cada diez víctimas, incluyendo ¡ejecutivos de empresas de ciberseguridad! y se llama “pesca con arpón”, porque se dirige a personas en lo individual, en lugar de ser campañas generalizadas como aquellas donde se avisa de una “aleta de seguridad de tu banco”.
Otra variante es el “phishing hiperrealista”, donde los delincuentes usan la IA “generar campañas en las cuales ni siquiera te da tiempo de reaccionar”.
Según Lorena Bravo, directora de innovación y seguridad de Google, esta técnica “ya está en su apogeo en América Latina” y a través de ella, los delincuentes crean deepfakes, (o imágenes falsas de gran calidad) entran a los canales digitales, a los videos, toman el control de las cuentas de sus víctimas y comienzan, por ejemplo, a hacer comunicación en televisión abierta, diciendo que son la persona afectada.
Se trata de un delito que ya cuenta entre sus víctimas a gobiernos y a empresas, en cuyo nombre se crean campañas de odio y afectación social: “Ese tipo de cosas te entretienen como encargado de ciberseguridad, mientras los ciberdelincuentes se llevan los datos, hacen ramsonware (es decir, secuestrar completo el sistema de cómputo de una empresa para luego exigir un ‘rescate’), extorsión y fraudes”.
Por eso, el nombre del juego se llama desconfianza, especialmente en el día a día de las personas individuales.
En un mundo donde los fraudes digitales van en aumento, los expertos recomiendan identificar a los estafadores antes de que surtan efecto sus técnicas de ingeniería social, que típicamente se basan en tres métodos: jugar con las emociones de la víctima; hacerse pasar por autoridad o vigilar las redes sociales.
Es necesario estar alerta: si alguien te presiona para tomar una decisión urgente, desconfía. Si una oferta es demasiado buena, desconfía. Si el vendedor cambia su versión una y otra vez, desconfía.
También desconfía de supuestas llamadas de bancos, tiendas departamentales o instituciones diversas; de “autoridades” que pidan datos personales o pagos urgentes; de quien no utiliza canales oficiales; y hay que desconfiar también de vendedores que parecen saber demasiado de ti o bien de perfiles recientes en redes sociales que interactúen demasiado, porque probablemente te están espiando.
Y para cerrar el círculo de defensa, Francia Pietrasanta, abogada en la Red de Defensa de los Derechos Digitales (R3D), recomienda: el phishing es un delito que se debe tipificar y tratar como tal y quedar establecido en el Código Penal.
“En el tipo penal que se establezca sobre el phishing, debe quedar claro que se trata de una conducta dolosa, cometida mediante engaño, con la voluntad y conocimiento del perpetrador de que se trata de una conducta delictiva y establecer excepciones claras” para evitar que algunas personas sean criminalizadas con esta legislación.
