KnowBe4 reconocida plataforma global de ciberseguridad que aborda integralmente la gestión de riesgos de agentes humanos y de IA, señala que las temporadas de alto consumo, como el Black Friday y la Navidad, se mantienen entre las de mayor riesgo cibernético para las empresas de Latinoamérica.
Durante este período, el aumento del tráfico digital, el mayor volumen de correo electrónico y la sobrecarga del equipo de TI crean la "tormenta perfecta" de riesgo. Este escenario se ve agravado por factores típicos del sector minorista, como el empleo de empleados temporales sin formación y la complejidad de los entornos multicanal que combinan tiendas físicas, comercio electrónico, aplicaciones y sistemas de pago.
Según el Informe Global de Retail 2025 , el comercio minorista se encuentra entre los cinco sectores más atacados del mundo. El coste promedio de una filtración de datos en este segmento alcanzó los 3,48 millones de dólares estadounidenses en 2024 (IBM), un aumento del 18 % con respecto al año anterior. Latinoamérica aparece como la segunda región más atacada, con el 32 % de todos los intentos, solo superada por Norteamérica (56 %). Brasil se encuentra entre los cinco países más afectados por ransomware en el comercio minorista.
Cómo funcionan las estafas más comunes
Los ciberdelincuentes aprovechan el ritmo acelerado y el aumento de la comunicación durante este período para insertar mensajes fraudulentos que se confunden con los legítimos. Estos ataques afectan tanto a las empresas, cuyos sistemas pueden verse comprometidos, como a los consumidores, que suelen compartir datos personales y de pago durante las promociones en línea.
Una de las estafas más frecuentes consiste en promociones falsas que imitan ofertas de grandes minoristas y redirigen a los usuarios a sitios web clonados. En estas páginas, se roban datos de usuario y contraseñas, tanto corporativos como personales, y se venden en foros maliciosos.
Otra táctica común consiste en mensajes que simulan alertas técnicas, como actualizaciones de software, restablecimientos de contraseña o notificaciones de entrega. Redactadas profesionalmente y con apariencia legítima, estas comunicaciones engañan al usuario para que haga clic en enlaces o abra archivos adjuntos, lo que resulta en la instalación de malware o spyware capaz de monitorear actividades, robar cookies de sesión y capturar credenciales almacenadas.
Estas estafas explotan desencadenantes psicológicos como la urgencia, la recompensa y la familiaridad. Un correo electrónico firmado por un compañero o el departamento de TI, por ejemplo, tiene menos probabilidades de ser cuestionado cuando la carga de trabajo es alta y los plazos son ajustados. Esto convierte al factor humano en la principal vía de entrada para los ciberataques.
Reducir el riesgo a través de la cultura, el comportamiento y la formación continua.
Combatir este tipo de fraude requiere un cambio cultural dentro de las organizaciones. Los programas continuos de concientización y las simulaciones de phishing pueden reducir la probabilidad de que un empleado interactúe con mensajes maliciosos hasta en un 88 % en 12 meses. El informe destaca que, antes de la capacitación, la susceptibilidad promedio al phishing (Porcentaje de Probabilidad de Suplantación de phishing™) es del 30,7 % en las pequeñas empresas, del 32 % en las medianas y del 42,4 % en las grandes organizaciones. Después de noventa días, estas tasas se reducen a alrededor del 20 %.
“Esta evolución demuestra que el comportamiento humano ha llegado a ser reconocido como uno de los pilares más eficaces en la defensa contra las amenazas cibernéticas, especialmente cuando los empleados aprenden a identificar señales sutiles de fraude, comprenden las tácticas de manipulación psicológica y se convierten en participantes activos en la defensa de la ciberseguridad de la empresa”, afirma Rafael Peruch, asesor técnico CISO de KnowBe4.
Además de la capacitación, es fundamental reforzar las políticas de seguridad interna durante los periodos estacionales, revisar los flujos de comunicación e implementar la autenticación multifactor (MFA) en todos los sistemas. Recursos como la capacitación en tiempo real y las alertas automatizadas de phishing ayudan a generar respuestas inmediatas ante los intentos de fraude.
“La automatización ayuda a detectar amenazas, pero es la gestión de riesgos humanos la que realmente reduce el riesgo. Con el apoyo de la inteligencia artificial, podemos identificar patrones de comportamiento y crear programas de concientización a la medida de cada organización”, concluye Peruch.
