Divulgación
Las opiniones y puntos de vista expresados aquí pertenecen únicamente al autor y no representan las opiniones de la editorial de crypto.news.
La amenaza de la ingeniería social en criptomonedas
En el último año, la mayoría de los mayores exploits en el ámbito de las criptomonedas han tenido una causa raíz común: las personas. Solo en los últimos meses, Ledger instó a los usuarios a pausar la actividad en cadena después de que los mantenedores de npm fueran engañados y se propagaran paquetes maliciosos; Workday reveló una campaña de ingeniería social que accedió a datos en un CRM de terceros; y los operadores vinculados a Corea del Norte continuaron con ofertas de trabajo falsas dirigidas a equipos de criptomonedas para entregar malware.
A pesar de los miles de millones gastados en ciberseguridad, las empresas siguen siendo superadas por la simple ingeniería social. Los equipos invierten dinero en salvaguardias técnicas, auditorías y revisiones de código, mientras descuidan la seguridad operativa, la higiene de dispositivos y los factores humanos básicos.
El costo de la ingeniería social
A medida que más actividad financiera se traslada a la cadena, este punto ciego se convierte en un riesgo sistémico para la infraestructura digital. La única forma de frenar el aumento de los ataques de ingeniería social es realizar una inversión amplia y sostenida en seguridad operativa que reduzca el atractivo de estas tácticas.
El Informe de Investigaciones de Brechas de Datos de Verizon 2025 vincula el «elemento humano» de la ciberseguridad (phishing, credenciales robadas y errores cotidianos) a aproximadamente el 60% de las brechas de datos.
La ingeniería social funciona porque se dirige a las personas, no al código, explotando la confianza, la urgencia, la familiaridad y la rutina. Estos tipos de exploits no pueden ser eliminados a través de una auditoría de código y son difíciles de defender con herramientas automatizadas de ciberseguridad.
La naturaleza irreversible de las transacciones
El dinero programable concentra el riesgo. En web3, comprometer una frase semilla o un token API puede ser equivalente a violar una bóveda bancaria. La naturaleza irreversible de las transacciones en criptomonedas amplifica los errores: una vez que los fondos se mueven, a menudo no hay forma de revertir la transacción. Un solo descuido en la seguridad del dispositivo o en el manejo de claves puede resultar en la pérdida de activos.
El diseño descentralizado de web3 significa que a menudo no hay un servicio de asistencia al que recurrir, dejando a los usuarios a valerse por sí mismos.
Adaptación de los hackers
Los hackers, incluidos mercenarios respaldados por el estado, han notado la efectividad de los ataques de ingeniería social y se han adaptado en consecuencia. Las operaciones atribuidas al Grupo Lazarus de Corea del Norte se basan en gran medida en la ingeniería social: ofertas de trabajo falsas, PDFs envenenados, paquetes maliciosos y phishing personalizado que se aprovecha de las vulnerabilidades humanas.
Estos exploits son sorprendentemente efectivos y simples de ejecutar, y las empresas tecnológicas parecen incapaces de defenderse contra ellos.
La necesidad de una seguridad operativa robusta
Demasiadas organizaciones aún tratan la seguridad como un ejercicio de cumplimiento, una actitud reforzada por estándares regulatorios permisivos. Las empresas pasan auditorías de manera rutinaria y publican informes impecables, incluso mientras albergan riesgos operativos evidentes.
Corregir este fracaso de disciplina requiere una seguridad operativa explícita y aplicada. Los equipos deben utilizar dispositivos gestionados, protección de punto final sólida y cifrado de disco completo; los inicios de sesión de la empresa deben aprovechar administradores de contraseñas y autenticación multifactor resistente al phishing.
Capacitación y regulación
Más importante aún, los equipos necesitan invertir en capacitación en seguridad operativa; los empleados (no los equipos de ciberseguridad) son la primera línea de defensa contra los ataques de ingeniería social. Las empresas deben dedicar tiempo a capacitar a sus equipos para detectar ataques de phishing probables, practicar una higiene de datos segura y comprender las prácticas de seguridad operativa.
No podemos esperar que las organizaciones adopten posturas de ciberseguridad reforzadas de manera voluntaria; los reguladores deben intervenir y establecer líneas base operativas aplicables que hagan que la seguridad real no sea opcional.
La evolución de los ataques
Es crítico invertir en seguridad operativa ahora porque la tasa de ataques está creciendo exponencialmente. La IA generativa ha cambiado la economía del engaño. Los atacantes ahora pueden personalizar, localizar y automatizar el phishing a escala industrial.
Las campañas que antes se centraban en un solo usuario o empresa ahora pueden utilizarse para atacar a miles de negocios con poco costo adicional. La ingeniería social prospera donde la confianza implícita y la conveniencia superan la verificación y la prudencia.
Conclusión
Las organizaciones necesitan adoptar una postura más defensiva y asumir que están bajo la constante amenaza de un ataque de ingeniería social. La ingeniería social no desaparecerá, pero podemos hacer que sea mucho menos efectiva y menos catastrófica cuando ocurren ataques. A medida que la industria se fortalezca contra estos ataques, la ingeniería social se volverá menos lucrativa para los hackers, y la tasa de ataques disminuirá, poniendo fin finalmente a este ciclo frenético de exploits.
