EDUARDO TAMBIÉN ESTÁ EN:

El nuevo rostro del ciberataque, tu identidad digital

Hoy muchas amenazas no empiezan atacando una computadora, sino convenciendo a una persona de abrir la puerta.

18 de mayo, 2026

Advertencia visual sobre robo de identidad digital: hombre angustiado frente a laptop y señales de phishing y estafas digitales alrededor.

Durante años, muchas empresas han invertido en tecnología para proteger sus sistemas, redes, correos y plataformas. Esa inversión sigue siendo necesaria. Sin embargo, cada vez más ataques no inician con una falla técnica visible, sino con algo mucho más cotidiano: un mensaje convincente, una llamada urgente, una solicitud aparentemente normal o una autorización que parece inofensiva.

El cambio es importante porque los delincuentes digitales han entendido algo muy simple: a veces es más fácil engañar a una persona que romper directamente la seguridad de una empresa. Si logran que alguien entregue su contraseña, apruebe un acceso, comparta un código, autorice una aplicación o confíe en un mensaje falso, pueden entrar como si fueran un usuario legítimo.

Esto no significa que el malware haya desaparecido. Los virus, programas maliciosos y Ransomware siguen existiendo. Lo que está cambiando es la ruta de entrada. Hoy, la identidad digital de una persona -su correo, contraseña, sesión abierta, permisos y accesos- se ha convertido en una de las puertas más atractivas para los atacantes.

El problema no es solo tecnológico. También es humano y emocional. Los ciberdelincuentes aprovechan momentos de presión, prisa, cansancio, miedo, confianza o deseo de ayudar. Por eso muchos ataques ya no parecen ataques. Parecen mensajes del banco, avisos de paquetería, solicitudes de un proveedor, instrucciones de un jefe, accesos a plataformas conocidas o llamadas de soporte técnico.

¿Cómo ocurre el robo de identidad digital?

Estas son algunas de las formas más comunes en que una persona o empresa puede ser engañada:

· Correos o mensajes falsos: Imitan a bancos, empresas, proveedores o compañeros de trabajo para pedir contraseñas, códigos o información sensible.

· Llamadas de supuesta ayuda o soporte: El atacante se hace pasar por alguien confiable y presiona al usuario para que actúe rápido, comparta datos o instale algo.

· Mensajes por SMS o WhatsApp: Usan avisos de entrega, pagos pendientes, promociones o alertas falsas para llevar al usuario a una página fraudulenta.

· Contraseñas filtradas: Cuando una contraseña usada en otro sitio aparece en una filtración, puede ser probada después en correos o sistemas corporativos.

· Sesiones abiertas robadas: El atacante puede aprovechar una sesión ya iniciada para entrar sin pedir nuevamente la contraseña.

· Aplicaciones con permisos excesivos: El usuario puede autorizar una app que parece legítima, pero que después accede a correos, archivos o contactos.

· Suplantación de directivos o proveedores: Se envían instrucciones falsas para cambiar cuentas bancarias, aprobar pagos o entregar documentos.

· Voz, imagen o video falsos con inteligencia artificial: Los deepfakes pueden hacer más creíble una llamada, un mensaje o una instrucción urgente.

La señal de alerta no siempre será un archivo extraño. Muchas veces será una solicitud que parece normal, pero que busca provocar una decisión rápida.

Recomendaciones prácticas para usuarios digitales

· Pausa antes de actuar: Si el mensaje genera urgencia, miedo o presión, detente unos segundos. Esa emoción puede ser parte del engaño.

· Verifica por otro canal: Si alguien pide dinero, contraseñas, códigos o información delicada, confirma por teléfono o por un canal oficial ya conocido.

· No compartas códigos de seguridad: Los códigos de acceso, ligas de recuperación y claves temporales son personales. Ningún soporte legítimo debería pedírtelos.

· Cuida tus contraseñas: Usa contraseñas distintas para servicios importantes y apóyate en un administrador de contraseñas cuando sea posible.

· Desconfía de enlaces inesperados: Aunque el mensaje parezca venir de una empresa conocida, entra desde la página oficial y no desde la liga recibida.

· Revisa permisos de aplicaciones: No autorices aplicaciones que pidan acceso a tu correo, archivos o contactos si no tienes plena confianza en ellas.

· Reporta sin miedo: Si diste clic, compartiste algo o sospechas de un engaño, reportarlo rápido puede evitar un daño mayor.

Recomendaciones para empresas

· Capacitación continua: No basta una plática anual. El entrenamiento debe ser frecuente, breve, práctico y relacionado con situaciones reales.

· Simulaciones controladas: Las pruebas de phishing ayudan a identificar áreas de riesgo y reforzar hábitos sin culpar a las personas.

· Autenticación más segura: Usar doble factor de autenticación y, cuando sea posible, métodos resistentes a phishing.

· Revisión de accesos: Validar quién tiene acceso a qué información, qué permisos son realmente necesarios y qué aplicaciones están autorizadas.

· Procedimientos claros de validación: Definir cómo confirmar solicitudes de pagos, cambios de cuenta bancaria, transferencias o información sensible.

· Canales simples de reporte: El usuario debe saber a quién avisar y cómo hacerlo en menos de un minuto.

· Cultura sin castigo: Cuando reportar se vuelve motivo de regaño, la gente oculta errores. Cuando se promueve, la empresa responde mejor.

Tecnología y conciencia: se necesitan ambas

Las soluciones tecnológicas son indispensables: protección de correo, autenticación multifactor, monitoreo de accesos, revisión de permisos, detección de comportamientos inusuales y respuesta rápida ante incidentes. Pero ninguna herramienta sustituye el criterio de una persona en el momento en que recibe un mensaje, una llamada o una solicitud sospechosa.

Por eso, la concientización moderna debe ir más allá de explicar qué es un correo falso. Debe ayudar a las personas a reconocer cómo se sienten y cómo reaccionan ante la presión. Muchos engaños funcionan porque provocan urgencia, miedo, obediencia o exceso de confianza.

Herramientas como KnowBe4 ayudan a medir y entrenar el comportamiento de los usuarios mediante simulaciones, capacitación continua y reportes que permiten mejorar con datos. Pero también es importante trabajar la parte humana: cómo pensamos, cómo decidimos y cómo podemos frenar una reacción impulsiva antes de caer en el engaño.

En este punto, Psico Security 360 de ETP Tecnología aporta un enfoque complementario: integra ciberseguridad, psicología aplicada y concientización práctica para que los usuarios digitales aprendan a identificar amenazas, gestionar la presión emocional y tomar mejores decisiones en momentos críticos.

Conclusión

El robo de identidad digital ya no debe verse como un riesgo lejano o exclusivo de grandes empresas. Hoy puede afectar a cualquier persona que use correo, banca en línea, redes sociales, plataformas corporativas o aplicaciones en la nube.

La mejor defensa combina tecnología, procesos claros y usuarios mejor preparados. No se trata de vivir con miedo, sino de aprender a detectar señales, validar antes de actuar y reportar a tiempo.

La identidad digital es hoy una llave de acceso. Protegerla debe ser una prioridad personal y empresarial.

Fuentes de referencia

· CrowdStrike, Global Threat Report 2025

· Cloudflare, Security Signals Report 2025

· KnowBe4, Phishing by Industry Benchmarking Report 2025

Comentarios

Jose Luis Garcia

BIO JOSE LUIS GARCIA José Luis García es Emprendedor y Director General de Grupo ETP. Graduado de la Universidad Autónoma Metropolitana como Ingeniero Industrial, con posgrados en Ciberseguridad y Finanzas por el Tecnológico de Monterrey y CISO Club, ha colaborado en posiciones ejecutivas para empresas como NCR de México, Moore de México y fue socio fundador de Netrix empresa especializada en Seguridad Informática. Durante su carrera profesional ha desarrollado exitosamente la instalación del primer SOC-MSSP de carácter internacional con Verisign, hoy Secure Works, desarrollando proyectos de integración en Seguridad informática, gestión de riesgos, certificación ISO 27000, y Security Awareness entre otros para instituciones como el SAT, SCT, Banorte, BanBajio, HDI, Banco Ve Por Mas, etcétera. Cuenta con las certificaciones Certified Cybersecurity Awareness Professional Certified Cybersecurity Professional por HIPAA y Cybersecurity Awareness – CAPC por CertiProf. Actualmente, dirige ETP Tecnología - unidad de negocios de Grupo ETP - como una empresa especializada en el ramo de la Seguridad de la Información y Gestión de Activos de TI.

See Full Bio

Más de categoría

ANDROID SHOW 2026: GOOGLE QUIERE QUE GEMINI PIENSE Y ACTÚE POR TI

Google acaba de dejar muy claro hacia dónde quiere llevar Android… y honestamente, ya no parece solamente un sistema...

mayo 15, 2026

Guillermo Hernández Salgado

Brown hamster highlighted in a red circle over a grayscale microscopic background of round cells.

Así escapa el hantavirus al control del sistema inmunitario: ¿cómo puede evitarse?

Narcisa Martínez Quiles | Catedrática de Inmunología (UCM) y Especialista en Inmunología (Ministerio de Sanidad), Universidad Complutense de Madrid...

mayo 13, 2026

The Conversation