Colombia (noviembre, 2025) – KnowBe4, la reconocida plataforma global que aborda de manera integral la gestión del riesgo humano y de la IA, observa que los periodos estacionales de alto consumo, como el Black Friday y la Navidad, continúan siendo algunos de los momentos de mayor riesgo cibernético para las empresas en América Latina.
Durante estas épocas, el aumento del tráfico digital, el mayor volumen de correos electrónicos y la sobrecarga de los equipos de TI crean una “tormenta perfecta” de riesgo. El escenario se agrava aún más por factores típicos del sector retail, como el uso de empleados temporales sin capacitación y la complejidad de los entornos multicanal que combinan tiendas físicas, comercio electrónico, aplicaciones y sistemas de pago.
Según el KnowBe4 Global Retail Report 2025, la industria minorista se encuentra entre los cinco sectores más atacados del mundo. El costo promedio de una filtración de datos en este segmento alcanzó los USD 3,48 millones en 2024 (IBM), lo que representa un incremento del 18% respecto al año anterior. América Latina se ubica como la segunda región más atacada, concentrando el 32% de todos los intentos, solo superada por Norteamérica (56%). Brasil figura entre los cinco países más afectados por el ransomware en el sector retail.
Cómo funcionan las estafas más comunes
Los ciberdelincuentes aprovechan el ritmo acelerado y el aumento de la comunicación durante la temporada para introducir mensajes fraudulentos que se mezclan con los legítimos. Estos ataques afectan tanto a las empresas —que pueden ver comprometidos sus sistemas— como a los consumidores, quienes suelen compartir datos personales y de pago durante las promociones en línea.
Una de las estafas más comunes implica promociones falsas que imitan ofertas de grandes minoristas y redirigen a los usuarios a sitios web clonados. En estas páginas se roban y venden en foros maliciosos los inicios de sesión y contraseñas corporativas o personales.
Otra táctica frecuente consiste en mensajes que simulan alertas técnicas, como actualizaciones de software, restablecimientos de contraseña o notificaciones de entrega. Redactados en un lenguaje profesional y diseñados para parecer legítimos, estos mensajes inducen a los usuarios a hacer clic en enlaces o ejecutar archivos adjuntos, lo que resulta en la instalación de malware y spyware capaces de monitorear actividades, robar cookies de sesión y capturar credenciales almacenadas.
Estas estafas explotan desencadenantes psicológicos como la urgencia, la recompensa y la familiaridad. Un correo firmado por un colega o por el departamento de TI, por ejemplo, es menos cuestionado cuando la carga de trabajo es alta y los plazos son ajustados. Este comportamiento convierte al factor humano en la principal puerta de entrada para los ciberataques.
Reducir el riesgo a través de la cultura, el comportamiento y la capacitación continua
Combatir este tipo de fraude requiere un cambio cultural dentro de las organizaciones. Los programas continuos de concienciación y las simulaciones de phishing pueden reducir hasta en un 88% la probabilidad de que los empleados interactúen con mensajes maliciosos en un periodo de 12 meses. El informe indica que, antes del entrenamiento, el Phish-prone™ Percentage promedio es de 30,7% en pequeñas empresas, 32% en organizaciones medianas y 42,4% en grandes corporaciones. Después de 90 días de capacitación, estos índices caen a alrededor del 20%.
“Esta evolución demuestra que el comportamiento humano se reconoce como uno de los pilares más efectivos en la defensa contra amenazas cibernéticas, especialmente cuando los empleados aprenden a identificar señales sutiles de fraude, comprenden las tácticas de manipulación psicológica y se convierten en participantes activos en la defensa de ciberseguridad de la empresa”, afirmó Rafael Peruch, Technical CISO Advisor de KnowBe4.
Además del entrenamiento, es esencial reforzar las políticas internas de seguridad durante fechas estacionales, revisar los flujos de comunicación e implementar autenticación multifactor (MFA) en todos los sistemas. Funciones como el coaching en tiempo real y las alertas automáticas de phishing ayudan a crear una respuesta inmediata ante intentos de fraude.
“La automatización ayuda a detectar amenazas, pero la gestión del riesgo humano es lo que realmente reduce el riesgo. Con el apoyo de la inteligencia artificial, podemos identificar patrones de comportamiento y crear programas de concientización personalizados para cada organización”, añadió Peruch.
