Por qué seguimos cayendo en las trampas digitales

En los últimos meses, el Instituto Nacional de Ciberseguridad (INCIBE) ha alertado de nuevas oleadas de campañas de phishing y smishingque suplantan tanto a la Agencia Tributaria como a diversas entidades bancarias. Los ciberdelincuentes envían mensajes o SMS con un lenguaje aparentemente oficial, que buscan algo más que un simple clic: explotan los mecanismos psicológicos más básicos de sus víctimas.

Aunque cada ataque es distinto, todos comparten un mismo principio: no atacan al sistema, atacan a la persona. Según los expertos en ciberseguridad, los atacantes de phishing se apoyan en varios factores psicológicos universales que explican por qué incluso usuarios formados pueden caer en la trampa.

1. Respeto a la autoridad Muchos mensajes fraudulentos se disfrazan de comunicaciones oficiales de una entidad reconocida —una agencia gubernamental, un banco o incluso un superior jerárquico—. El principio de autoridad lleva a las víctimas a obedecer sin cuestionar, sobre todo si el remitente aparenta ser “alguien importante”.

2. Voluntad de ayudar Los atacantes también juegan con la predisposición humana a ser útil. Un correo que solicita “urgente colaboración” para resolver un problema o verificar una cuenta activa, un reflejo de cooperación, sin que la víctima repare en los indicios de fraude.

3. Miedo a perder algo El miedo es una de las emociones más poderosas. La amenaza de perder el acceso a una cuenta, un empleo o una devolución de impuestos puede nublar el juicio crítico y hacer que el usuario actúe sin verificar la autenticidad del mensaje.

4. Ego y vanidad Las clásicas “estafas nigerianas” o los mensajes que ofrecen premios inexistentes se sustentan en la apelación al ego: hacer sentir al usuario especial, afortunado o reconocido. Del mismo modo, las adulaciones sobre conocimientos o posición social pueden predisponer a bajar la guardia.

5. Urgencia Una técnica recurrente en campañas recientes consiste en imponer plazos imposibles: “tiene 24 horas para confirmar su identidad” o “su cuenta será suspendida”. La sensación de urgencia reduce la capacidad de análisis y lleva a actuar por impulso.

6. Automatismos Los ciberdelincuentes también explotan respuestas automáticas. Por ejemplo, mensajes como “No se ha podido entregar su correo” o “haga clic para reenviarlo” se apoyan en rutinas cotidianas que el cerebro ejecuta casi sin pensar.

De la ingeniería social a la ingeniería emocional

El phishing no solo utiliza ingeniería social; cada vez más, se trata de una ingeniería emocional. Los atacantes estudian los comportamientos humanos y diseñan mensajes que activan emociones específicas: miedo, urgencia, orgullo o altruismo.

Por eso, la mejor defensa no es solo tecnológica, sino educacional y psicológica. Formar a empleados, ciudadanos y empresas en pensamiento crítico digital se ha convertido en una prioridad.

“La ciberseguridad no depende únicamente de firewalls o antivirus, sino de entender cómo pensamos y reaccionamos ante la presión”, explican desde INCIBE, que recomienda no seguir enlaces sospechosos, revisar siempre la dirección del remitente y desconfiar de cualquier comunicación que exija una acción inmediata.

Joan Massanet

Responsable de Ciberseguridad

Binaura, Grupo MONLEX.