Phishing, la estafa digital más común que pone en jaque a las empresas

En 2024, los intentos de estafa a través de emails fraudulentos aumentaron un 140% en América Latina. En Argentina, el incremento fue todavía más preocupante: un 300%. Detrás de un email aparentemente inofensivo puede esconderse una filtración de datos sensibles, la interrupción total de las operaciones o incluso un robo millonario. Lo más grave es que, en muchos casos, todo comienza con un solo click.

Las técnicas de phishing han evolucionado con la tecnología. Ya quedaron atrás los emails mal redactados y poco creíbles. Hoy los atacantes replican firmas reales, usan inteligencia artificial para escribir textos, incorporan deepfakes de voz e imagen y diseñan ataques con altísima precisión en ingeniería social. Suplantan identidades reales, imitan proveedores conocidos y apelan al miedo o la urgencia, generando mensajes tan creíbles que incluso las personas con experiencia pueden caer.

En Argentina, el phishing se ha consolidado como una amenaza concreta. Según el Centro de Ciberseguridad de la Ciudad de Buenos Aires, el 8,1% de los incidentes reportados en 2024 fueron ataques de este tipo. Y las estafas digitales en general, muchas de ellas que empiezan con phishing, alcanzaron el 20%. Estas cifras reflejan apenas una parte del problema, porque muchas empresas deciden no denunciar los incidentes para evitar el daño a su reputación.

Un caso reciente en una empresa de servicios de Buenos Aires lo ilustra con claridad. Un supuesto proveedor envió un PDF con detalles sobre una factura “vencida”. El email incluía una firma aparentemente real y un tono profesional. El remitente, sin embargo, era una cuenta de Gmail con una letra alterada. Un click fue suficiente para que el atacante pudiera ingresar al sistema interno, extrajera información sensible de clientes y exigiera un rescate. No hubo cobertura mediática, pero sí consecuencias reales: pérdida de confianza, semanas de operaciones paralizadas y una base de datos comprometida.

Estos ataques pocas veces llegan a los titulares, pero sus efectos pueden ser destructivos. Lo preocupante es que no se limitan a grandes corporaciones ni al área de IT. Cualquier persona con acceso a una cuenta de mail puede convertirse en la puerta de entrada: desde un administrativo hasta el CEO. En las medianas empresas, donde los recursos en ciberseguridad suelen ser más acotados, el riesgo es incluso mayor.

La inteligencia artificial ha ampliado las capacidades de los atacantes, que hoy pueden crear emails casi indistinguibles de los legítimos, imitar voces humanas y automatizar miles de intentos en pocos minutos. El phishing ha dejado de ser un problema técnico para convertirse en un desafío humano. Las instituciones que no capacitan a su personal ni implementan controles básicos están dejando la puerta abierta al ciberdelito. Un simple descuido puede derivar en una crisis. Por eso, el enfoque efectivo combina tecnología con acompañamiento humano: prevenir antes que lamentar.

Blindar una organización no requiere necesariamente de una infraestructura compleja, pero sí implica tomar decisiones estratégicas. Capacitar a los colaboradores, implementar autenticación multifactor, segmentar accesos, verificar la legitimidad de los correos sospechosos y contar con planes de respuesta ante incidentes son prácticas esenciales. A pesar de esto, muchas empresas todavía subestiman el problema, hasta que es demasiado tarde.

El riesgo de phishing está tanto fuera como dentro de las instituciones. Y no se combate únicamente con firewalls. La defensa más sólida es una cultura organizacional centrada en la seguridad, que entiende que el tema va más allá del área IT y la incorpora como una prioridad estratégica.

Cada día, miles de mails maliciosos esquivan filtros y llegan a las bandejas de entrada de empleados desprevenidos. El verdadero desafío no es evitar que esto pase, sino estar preparados para cuando suceda. Reconocer que la amenaza es real es el primer paso para prevenir incidentes que, de otra manera, podrían comprometer la continuidad del negocio.