Tech Week Nicaragua 2025: phishing y fraude digital, una amenaza que no engaña sistemas, sino personas

En la conferencia inicial del día se hizo un llamado a concienciar y capacitar al personal de forma regular y efectiva, realizar demostraciones y ejercicios de simulación de phishing de manera frecuente e involucrar a todos los niveles de la organización.

El Tech Day, día central del Tech Week Nicaragua 2025, inició con la conferencia de Darling Hernández, especialista en seguridad de la información, quien brindó la conferencia "Evolución del phishing y fraudes digitales. Durante la charla, ofreció una perspectiva crucial y alarmante sobre la evolución del phishing y los fraudes digitales, destacando la vulnerabilidad humana como el eslabón más crítico en la cadena de ciberseguridad.

El concepto de phishing se remonta a principios de los años 90 con el caso de America Online (AOL), cuando un grupo de "maleantes" explotó vulnerabilidades para robar datos y generar números de tarjeta aleatorios. Mientras que el fraude digital es un acto intencional, similar al phishing, que utiliza la suplantación de identidad para el fraude electrónico, con un fin primordialmente financiero.

Hernández detalló las "4 P" clave en las técnicas de fraude digital:

• Pretender ser alguien que no se es.

• Provocar o insinuar un problema a resolver.

• Presionar (como la táctica del tiempo usada en el experimento del QR) para que la víctima caiga

• Pagar un rescate.

Las técnicas de ataque han evolucionado significativamente. Ahora están basadas en correo electrónico empresarial (BEC), donde un impostor se hace pasar por un CEO o ejecutivo. Los canales principales son correos, redes sociales, mensajes y llamadas. Es alarmante que el 41% de los incidentes de phishing involucran ataques multicanal, y el 40% se extiende más allá del correo electrónico tradicional, utilizando herramientas colaborativas y de mensajería empresarial.

Entre mayo de 2004 y mayo de 2005, 1,2 millones de víctimas se vieron comprometidas, con fraudes que sumaron aproximadamente 929 millones de dólares y afectaron a 2.000 millones de organizaciones. Mientras que, en 2024, las pérdidas ascendieron a 12.500 millones de dólares, un aumento de más del 25% respecto a 2023.

El costo promedio de un ataque en 2025 es de US$4.67 millones y las pérdidas atribuibles a Business Email Compromise (BEC) a nivel mundial alcanzan los US$55.500 millones. Las cifras indican que el 80% de los incidentes se atribuyen a ataques de phishing que ocurren cuando un colaborador es víctima, siendo el 36% responsabilidad directa de ellos, especialmente cuando son nuevos y no han sido capacitados.

En la ponencia se indicó que las industrias más atacadas son las financieras, de salud y gubernamentales. Los ataques de ransomware, que pueden derivar en pérdidas directas y robo de datos, a menudo se inician por phishing (45% de los casos). Hernández enfatizó que el 95% de las violaciones de ciberseguridad se atribuyen al error humano. Esta estadística subraya la necesidad crítica de concienciación y capacitación continua, ya que un 32,4% de los colaboradores no tiene información adecuada sobre cómo prevenir el phishing y casi una de cada cinco organizaciones capacita solo una vez al año.

La solución no radica solo en la tecnología de punta, que puede ser de "última generación", pero "no va a funcionar" si el usuario final sigue dando clic a enlaces maliciosos. La especialista hizo un llamado a concienciar y capacitar al personal de forma regular y efectiva, realizar demostraciones y ejercicios de simulación de phishing de manera frecuente e involucrar a todos los niveles de la organización, desde directivos hasta colaboradores operativos, en la seguridad de la información.

Le puede interesar: "Microsoft y OpenAI lanzan una academia en Estados Unidos para capacitar a 400.000 docentes en IA"