En los últimos años, las pérdidas por ciberataques basados en el sector retail se han incrementado significativamente a nivel global, principalmente a través del engaño a las personas, es decir, ataques de ingeniería social.
Esta modalidad no requiere malware sofisticado, ni brechas técnicas, basta con una llamada falsa al área de soporte o un correo que aparenta ser de un superior para abrir la puerta a la violación del sistema.
Esta forma de operar es cada vez más común en América Latina y ha ayudado a comprometer a grandes compañías de múltiples sectores, aprovechando el error humano con una precisión alarmante.
LEA TAMBIÉN: Phishing: ¿cómo evitar ser víctima de los ciberataques?
Esta técnica ha sido perfeccionada por grupos cibercriminales altamente sofisticados como Scattered Spider, cuyo accionar ha afectado a importantes empresas del sector retail en Estados Unidos y el Reino Unido. Lo que hace especialmente peligroso a este grupo es su combinación de habilidades técnicas avanzadas, con un alto dominio de la manipulación psicológica.
Scattered Spider ha demostrado una capacidad inusual para suplantar identidades en llamadas a servicios de soporte, accediendo a sistemas críticos sin levantar sospechas, ni activar alertas automáticas. Sus ataques han generado interrupciones operativas prolongadas, pérdidas económicas millonarias y caídas significativas en el valor de las acciones de empresas afectadas, evidenciando su alto nivel de impacto.
Sin embargo, lo preocupante es que ya no se trata de un grupo aislado, diversas bandas criminales en el mundo están adoptando este enfoque, elevando el nivel de exposición para las empresas en América Latina.
“Lo llamativo es que no se requiere romper barreras tecnológicas; el acceso se obtiene persuadiendo directamente a las personas. Más del 80% de los ciberataques que analizamos en los últimos 3 años en la región, incluyó algún componente de ingeniería social y, en prácticamente todos los casos, los atacantes lograron ingresar sin activar una alerta automatizada o que no fue analizada de manera oportuna. Eso nos dice mucho sobre el tipo de amenaza que enfrentamos”, afirma Edson Villar, Líder Regional de Consultoría en Riesgos Cibernéticos de Marsh McLennan.
LEA TAMBIÉN: Bancos deberán informar en 48 horas ciberataques a clientes afectados
Frente a este panorama, la respuesta no puede limitarse a invertir en nuevas herramientas tecnológicas. Se recomienda adoptar una estrategia integral de gestión del riesgo cibernético, que combine prevención, monitoreo y respuesta activa. Esto incluye entrenamientos constantes para todo el personal, protocolos de verificación más estrictos, ejercicios de simulación realista y una cultura organizacional alineada con la seguridad.
Algunas acciones clave que se recomienda para proteger a la organización son:
- Capacitar regularmente al personal para detectar y reportar ataques de ingeniería social, incluyendo simulaciones de correos y llamadas.
- Implementar un programa de ciberinteligencia para detectar y actuar frente a posibles exposiciones de información.
- Mantener actualizado y probado un plan de respuesta ante ciberincidentes frente a los principales escenarios de ciberataque que puede enfrentar la organización.
