Cómo se defiende lo que no puedes ver

Publicado en por juancornago

Esta es la parte 2 de la serie “La guerra que aún puedes aprender a ver“.

En la primera parte de esta serie describimos cómo funciona la guerra cognitiva: la manipulación deliberada de tu capacidad de decidir. Terminamos con una pregunta: ¿estás decidiendo tú, o están decidiendo por ti?

Pero identificar el problema no es resolverlo. Si alguien te dice que tu casa tiene una puerta abierta, la respuesta no es quedarte mirando la puerta. Es cerrarla.

Este artículo trata de cómo se cierra esa puerta.

La ingeniería social ya es guerra cognitiva aplicada

Mientras la NATO redactaba sus informes sobre guerra cognitiva, los atacantes ya estaban aplicando sus principios. No contra ejércitos. Contra tu organización.

En el primer trimestre de 2025, los ataques de vishing con deepfakes crecieron un 1.600 % respecto al trimestre anterior, según datos de inteligencia de amenazas de Right-Hand Cybersecurity. La inteligencia artificial generativa ha convertido la ingeniería social en un arma de precisión industrial.

Los datos del Phishing Threat Trends Report de KnowBe4 lo documentan mes a mes. En marzo de 2025, los adjuntos SVG (Scalable Vector Graphics, archivos de imagen que pueden contener código ejecutable) aumentaron un 245 %. En octubre, los ataques de phishing enviados a través de plataformas de pago legítimas como PayPal, Venmo o QuickBooks se multiplicaron por diez. ¿Por qué? Porque cuando el correo viene de PayPal, los filtros de reputación del remitente confirman que es legítimo. El remitente lo es, pero el contenido es fraudulento.

Y en noviembre, la ironía más reveladora: los atacantes empezaron a usar correos falsos de autenticación multifactor (MFA) para dar credibilidad a sus sitios de recolección de credenciales. Una medida de seguridad que llevamos años promoviendo como protección contra el phishing se ha convertido en componente del propio ataque.

Esto no es phishing convencional. Es el ciclo OODA (Observar, Orientar, Decidir, Actuar) de Boyd aplicado a tu bandeja de entrada. Contaminan lo que observas (correos que parecen legítimos), distorsionan cómo te orientas (la MFA te da falsa seguridad), paralizan tu decisión (¿es real o no?) y condicionan tu acción (haces clic porque todo parece correcto).

Los números que deberían preocuparte

Un estudio de Harvard y Bruce Schneier probó spear phishing automatizado con inteligencia artificial contra 101 sujetos reales. El resultado: la inteligencia artificial igualó al experto humano, ambos con una tasa de clic del 54 %. El phishing genérico se quedó en el 12 %. Lo que antes requería un especialista con horas de investigación sobre la víctima, ahora lo hace una máquina en segundos y a escala ilimitada. El 82,6 % de los correos de phishing detectados entre septiembre de 2024 y febrero de 2025 ya utilizaban inteligencia artificial, según KnowBe4.

El coste medio de una brecha originada por phishing alcanzó los 4,8 millones de dólares en 2025, según IBM. Se tardan 254 días de media en identificar y contener una brecha que empieza con un correo. Ocho meses y medio.

Más del 90 % de los ciberataques comienzan con phishing, según CISA (Cybersecurity and Infrastructure Security Agency, la agencia de ciberseguridad de Estados Unidos). Y sin embargo, la mayoría de las organizaciones sigue tratando la ingeniería social como un problema de concienciación, no como una amenaza estratégica.

Lo que la NATO llama resiliencia

En la primera parte mencionamos brevemente que el segundo informe del Chief Scientist de la NATO abordaba la resiliencia como respuesta a la guerra cognitiva. Merece una mirada más detenida.

La resiliencia de la NATO no es un concepto abstracto. Se estructura en siete requisitos base, acordados en la Cumbre de Varsovia en 2016: continuidad de gobierno, suministro energético resiliente, gestión de movimientos de población no controlados, recursos alimentarios e hídricos, capacidad para víctimas masivas, comunicaciones civiles resilientes y transporte civil resiliente. Cada uno de ellos evaluable y con indicadores.

Lo revelador es lo que descubrió la NATO al mapear 25 años de investigación contra esos siete requisitos. De casi 4.000 actividades de investigación de la STO (Science & Technology Organization), solo 52 estaban alineadas con la resiliencia. El 1,3 %. Y dentro de esas 52, la distribución era desigual: comunicaciones y transporte concentraban la mayoría, mientras que movimiento de población y alimentación apenas tenían tres actividades cada una.

La resiliencia ha sido, durante décadas, una idea que todos consideraban importante pero que casi nadie investigaba de forma sistemática.

La guerra con Ucrania marcó un antes y un despúes. Los ataques rusos contra infraestructura energética y de comunicaciones demostraron que la infraestructura civil puede ser el objetivo principal de un ataque estratégico sin llegar al conflicto armado convencional. La guerra sistémica híbrida puede degradar los sistemas vitales de un Estado sin disparar un misil contra un cuartel.

Las tres funciones de respuesta

El informe de guerra cognitiva del Chief Scientist identifica tres funciones operaciones para contrarrestar la amenaza:

  1. Degradar las capacidades del adversario. No se trata solo de detectar desinformación, sino de reducir activamente la capacidad del atacante para influir y cambiar comportamientos. Atribuir operaciones, exponer redes de bots, sancionar infraestructuras de desinformación. Lo que hizo Rumanía al desclasificar los documentos sobre la interferencia electoral: iluminar al atacante.
  2. Mejorar la cognición humana y tecnológica. Elevar la línea base. Entrenar la capacidad de las personas para identificar manipulación, no como un curso anual de concienciación que se olvida en una semana, sino como una competencia profesional continua. Los datos lo respaldan: las organizaciones que implementan programas de concienciación en seguridad reducen el riesgo de phishing un 86 % en un año. No un 10 %. Un 86 %.
  3. Resistir y recuperar. Construir la capacidad de encajar el golpe y seguir funcionando. La resiliencia no es evitar que te ataquen; es que el ataque no te paralice. Ucrania no evitó la desinformación rusa. Convivió con ella durante años y, cuando llegó la invasión, la sociedad tenía anticuerpos. Medios independientes, alfabetización digital y un gobierno que comunicó con transparencia fueron tan importantes como los sistemas de armas.

El frente más cercano está en tu organización

La NATO ya imparte formación específica en guerra cognitiva y la edición de 2026 del programa Innovation Continuum la incluye entre sus prioridades. Los Estados empiezan a tomarse este terreno en serio.

Dentro de las organizaciones, sin embargo, la preparación sigue siendo mínima.

El informe de phishing de KnowBe4 muestra un patrón claro: los ataques de ingeniería social se disparan en momentos previsibles del calendario. En julio, el 23 % de los correos maliciosos suplanta a la propia empresa del destinatario. Los atacantes sincronizan sus campañas con periodos como la temporada fiscal, la vuelta al colegio o el Black Friday.

Si el ataque es predecible, la defensa debería ser proactiva. Pero rara vez lo es.

El caso de Scattered Spider en el retail británico en 2025 lo ilustra bien: una brecha inicial generó nuevas oleadas de phishing que explotaban la confianza en las marcas afectadas. En este tipo de escenarios, un ataque no termina cuando ocurre. Empieza una cadena que puede multiplicar su impacto.

Acciones concretas para tu Organización

A continuación tienes un resumen de los principales puntos a tener en cuenta:

  • Incorporar la dimensión cognitiva al mapa de riesgos. La mayoría de las organizaciones gestionan riesgo físico y riesgo lógico. La dimensión cognitiva (desinformación, manipulación, ingeniería social estratégica) rara vez existe como disciplina formalizada. Si tu mapa de riesgos no contempla que un deepfake de tu CEO (director ejecutivo) pueda autorizar una transferencia de medio millón de euros, tu mapa de riesgos está incompleto.
  • Tratar la concienciación como entrenamiento, no como cumplimiento. Un curso anual en línea no construye resiliencia cognitiva. La NATO entrena a sus fuerzas durante cinco días intensivos. No se trata de hacer lo mismo, pero sí de entender la diferencia entre marcar una casilla y desarrollar una competencia. Simulacros de phishing periódicos, ejercicios de vishing, escenarios de deepfake. La resiliencia se entrena con repetición y realismo.
  • Anticiparse a los patrones estacionales. Si sabes que en abril los ataques de phishing fiscal suben un 23 %, refuerza tus defensas en marzo. Si sabes que en diciembre se disparan las campañas de fin de año, forma a tu equipo en noviembre. La inteligencia de amenazas temporal es una herramienta defensiva infrautilizada.
  • Verificar por múltiples canales. Si el director financiero recibe una videollamada de la CEO pidiendo una transferencia urgente, la respuesta correcta no es ejecutarla. Es colgar y llamar a la CEO por otro canal. El caso de Singapur (499.000 dólares perdidos por una videollamada con directivos que eran todos deepfakes) se habría evitado con una llamada de verificación de treinta segundos.
  • Asumir que las defensas técnicas no son suficientes. Los correos de phishing enviados desde plataformas legítimas pasan los filtros. Los deepfakes superan la verificación visual. La autenticación multifactor se usa como señuelo. La tecnología es necesaria pero no suficiente. La última línea de defensa es el criterio humano entrenado.

Y qué puedes hacer tú

La resiliencia cognitiva también es una competencia individual:

  1. Tolera la incertidumbre. La guerra cognitiva busca que elijas un bando rápido. Resistir esa presión también es defensa. No necesitas tener opinión sobre todo en tiempo real.

  2. Verifica antes de actuar. No solo antes de compartir. Antes de hacer clic, transferir o reaccionar. Verificar cuesta poco; no hacerlo puede costar mucho.

  3. Entrena un escepticismo calibrado. No se trata de desconfiar de todo, sino de preguntarse: ¿quién envía esto?, ¿por qué ahora?, ¿qué quiere que haga?, ¿a quién beneficia mi reacción?

  4. Acepta que eres vulnerable. Solo el 0,1 % de las personas identifica correctamente todos los contenidos falsos y reales en estudios como el de iProov. Reconocerlo no es debilidad; es el primer paso para defenderse.

El mejor momento para invertir siempre es ahora

La NATO advierte que tecnologías emergentes como la neurotecnología, las interfaces cerebro computador o la inteligencia artificial avanzada ampliarán de forma drástica la superficie de ataque cognitivo. Lo que hoy parece sofisticado será solo el principio.

Por eso la ventana para construir resiliencia es ahora. Una línea de defensa que no se entrena termina rompiéndose.

La buena noticia es que la resiliencia se puede construir. Los datos muestran reducciones del riesgo de hasta el 86 % con entrenamiento sostenido, algo que Ucrania ya ha demostrado a escala nacional.

La cuestión ya no es si existe la guerra cognitiva. La pregunta es otra: ¿estás entrenando para ella?

Fuentes:

Descubre más desde El Sentido de la Seguridad

Suscríbete y recibe las últimas entradas en tu correo electrónico.

Sin comentarios aún
ciberseguridad concienciación Deepfakes entrenamiento Guerra Cognitiva ingeniería social NATO phishing resiliencia cognitiva seguridad organizativa

Deja un comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.