La ingeniería social se confirma como la vía de entrada favorita de los ciberatacantes en 2025, según se desprende del Unit 42 Global Incident Response Report: Social Engineering Edition de Palo Alto Networks. Entre mayo de 2024 y mayo de 2025, más de un tercio de los incidentes gestionados por el equipo de ciberinteligencia comenzaron explotando la confianza humana en lugar de vulnerabilidades técnicas.
El impacto es notable: 6 de cada 10 ataques de ingeniería social provocaron fuga de datos, 16 puntos más que otros vectores de intrusión, y en el 93% de los casos la motivación fue puramente económica (compromiso de correo empresarial, ransomware o venta de credenciales robadas).
El phishing sigue siendo la técnica más común (65%), con campañas dirigidas a cuentas con privilegios (66%) y a la suplantación de empleados internos (45%). Pero el repertorio criminal se amplía: el 35 % de los ataques utilizaron métodos como publicidad maliciosa, envenenamiento SEO, smishing, bombardeo de MFA (autenticaciones multifactor) o campañas tipo ClickFix, basadas en falsas alertas de actualización para engañar al usuario y obtener acceso inicial.
Si bien el sector TI concentra el mayor número de ataques a nivel general, la industria es la que sufre el mayor impacto de los ciberataques basados en ingeniería social. Tras ella, los sectores legal, retail y servicios financieros figuran entre los más afectados por este tipo de intrusiones.
La IA basada en agentes eleva el alcance y credibilidad de los ataques
Aunque su adopción aún es limitada, el informe también alerta del uso creciente de IA basada en agentes, que permite automatizar tareas encadenadas como la creación de identidades sintéticas (CVs falsos y perfiles en redes sociales) o la distribución masiva y adaptada de mensajes fraudulentos, aumentando la escala y el realismo de los engaños.
Los atacantes combinan IA generativa y agentes autónomos para ejecutar campañas más convincentes y difíciles de detectar, capaces de mantener conversaciones en tiempo real sin intervención humana, usar voces clonadas para engañar a los help desk y reforzar solicitudes fraudulentas con documentación falsa. Este salto cualitativo reduce el coste y tiempo de ejecución de los ataques, amplía su alcance y eleva las tasas de éxito al explotar la confianza humana con un nivel de detalle sin precedentes.
Muddled Libra: de ingeniería social a ataques corporativos a gran escala
Entre los grupos que más han evolucionado en el uso de la ingeniería social, destaca Muddled Libra (también conocido como Scattered Spider), cuyas operaciones recientes ilustran cómo estas tácticas pueden escalar hasta comprometer grandes corporaciones y también apuntan al uso creciente de IA y automatización para multiplicar su impacto. Según Unit 42, este colectivo ha pasado de pequeños robos de criptomonedas a convertirse en una red distribuida de equipos especializados, capaz de provocar interrupciones críticas en sectores clave. En sus ataques más recientes, se han documentado pérdidas superiores a 400 millones de dólares para una sola víctima, cierres temporales de aerolíneas y desabastecimiento en cadenas de supermercados.
Su modus operandi se basa en manipular el “sistema operativo humano”: hacerse pasar por empleados internos para restablecer autenticaciones MFA, intercambiar tarjetas SIM y recopilar datos detallados de fuentes como LinkedIn para construir identidades convincentes. Una vez dentro, emplean herramientas legítimas de gestión remota (RMM) para mantener acceso persistente y escalar privilegios en cuestión de minutos. A diferencia de otros grupos que aún se esfuerzan por adaptarse a la nube, Muddled Libra la ha adoptado como vector principal, aprovechando las lagunas de visibilidad y control en entornos corporativos.
Su estructura modular, formada por equipos especializados en procesos de negocio, infraestructura cloud y operaciones destructivas, permite ataques diseñados para interrumpir servicios esenciales y eliminar infraestructuras virtuales, complicando cualquier intento de recuperación.
Recomendaciones para reducir la superficie de ataque
El informe advierte que muchas organizaciones siguen siendo un “fruto fácil” para la ingeniería social debido a permisos excesivos, falta de visibilidad en el comportamiento de usuarios y procesos de verificación débiles. Para reducir riesgos, Unit 42 recomienda:
- Detectar anomalías en el uso de credenciales mediante analítica de comportamiento e implementación de soluciones de Identity Threat Detection and Response (ITDR).
- Blindar los procesos de recuperación de cuentas, aplicando verificaciones estrictas y uso de accesos condicionales para evitar abusos en help desk y MFA.
- Expandir el modelo Zero Trust a los usuarios, no solo a la red, limitando privilegios por defecto y aplicando provisiones temporales para operaciones sensibles.
Para profundizar en estas tácticas en evolución y en el análisis completo de Unit 42, descarga el informe completo aquí.
