Ciberseguridad en verano: cuando tu organización baja la guardia, el adversario acelera

Entre Navidad, Año Nuevo y vacaciones se repite el mismo patrón: más transacciones, más urgencia, mayor distracción y menos personal disponible. Ese contexto crea una ventana operativa ideal para el atacante, donde el phishing, ingeniería social, suplantación de marcas y fraude aumentan de forma consistente, hoy amplificados por el uso intensivo de la inteligencia artificial.

Si tu estrategia de fin de año se limita a “reforzar el monitoreo”, probablemente llegas tarde. En 2025, los adversarios no solo atacan mejor: optimizan el timing y la escala, y el vector sigue siendo el mismo de siempre: personas + confianza + prisa.Microsoft y el FBI coinciden en que los periodos festivos concentran un aumento sostenido de campañas de fraude y engaño dirigidas a usuarios y organizaciones.

Por qué estas fechas son diferentes (y más peligrosas) en 2025

El phishing está mutando: más ataques desde cuentas legítimas

KnowBe4, en su Phishing Threat Trends Report 2025, documenta un aumento del 57,9 % en ataques enviados desde cuentas comprometidas entre el 15 de septiembre de 2024 y el 14 de febrero de 2025, en comparación con los seis meses anteriores.Además, el 11,4 % de estos ataques provino de cuentas consideradas “confiables”, muchas de ellas pertenecientes a la cadena de suministro.

Esto se traduce en menos correos “obviamente maliciosos” y más mensajes que superan filtros técnicos gracias al contexto, la reputación y la relación previa.

Fuente: KnowBe4

https://www.knowbe4.com/hubfs/Phishing-Threat-Trends-2025_Report.pdf

IA + suplantación: el fraude se escala y se industrializa

El Federal Bureau of Investigation (FBI) advierte que el fraude cyber-enabled está siendo acelerado por el uso de inteligencia artificial.De acuerdo con datos del Internet Crime Complaint Center (IC3), durante los primeros siete meses de 2025 se recibieron más de 9.000 denuncias relacionadas con el uso de IA en estafas, incluyendo clonación de voz, perfiles falsos, documentos fraudulentos y videos manipulados.

En periodos de alta carga operativa y baja disponibilidad de equipos, este tipo de fraude se vuelve especialmente efectivo.

Fuente: FBI

https://www.fbi.gov/news/press-releases/dont-let-scammers-ruin-your-holiday-season

Ingeniería social “a velocidad de dominio”: confianza clonada en horas

El OpenText Cybersecurity Threat Report 2025 muestra cómo los atacantes explotan eventos coyunturales para lanzar campañas de ingeniería social a gran velocidad.Tras el incidente global de julio de 2024 asociado a CrowdStrike, OpenText identificó más de 400 dominios look-alike creados en solo 72 horas, utilizados para falsas comunicaciones de soporte y distribución de malware.

La lección es clara: cualquier evento, noticia o marca relevante puede ser utilizada como anzuelo, y en temporada estival la ventana de reacción defensiva se reduce aún más.

Fuente: OpenText

https://www.opentext.com/en/media/report/2025-opentext-cybersecurity-threat-report-en.pdf

En temporada alta, cambian los cebos y baja la fricción

Microsoft, a través de Security Insider, describe peaks estacionales donde los atacantes se camuflan en flujos “normales” del negocio: promociones, confirmaciones de compra, seguimiento de envíos, viajes o soporte técnico.El reporte también destaca el uso de patrones de UX aparentemente legítimos —como CAPTCHAs falsos o páginas de validación— para inducir a los usuarios a ejecutar acciones maliciosas (ClickFix).

Microsoft confirma que las estafas de soporte aumentan de forma consistente entre noviembre y enero.

Fuente: Microsoft

https://www.microsoft.com/en-us/security/security-insider/threat-landscape/holiday-cyber-risks

Vectores que más impactan en Navidad, Año Nuevo y vacaciones

• Phishing de logística y entregas: notificaciones de paquetes retenidos, reintentos de pago o cambios de dirección.

  • Fuente: Microsoft

• Suplantación de soporte TI: mensajes que simulan incidentes activos, problemas con MFA o solicitudes urgentes de instalación de herramientas.

  • Fuente: Microsoft

• BEC y pretexting: urgencia financiera y decisiones rápidas con validaciones relajadas. El Data Breach Investigations Report (DBIR) de Verizon confirma que phishing y pretexting siguen siendo las técnicas dominantes en ingeniería social.

  • Fuente: Verizon - https://www.verizon.com/business/resources/reports/dbir/

• Fraude al cliente en Q4: el Retail & Hospitality ISAC (RH-ISAC) identifica el fraude como la amenaza más extendida para organizaciones orientadas al consumidor durante el último trimestre del año, incluyendo account takeover, dominios falsos, anuncios fraudulentos y automatización mediante bots.

  • Fuente: RH-ISAC - https://rhisac.org/press-release/holiday-threats-2025/

Qué debería priorizar un CISO (sin sobrecargar al

equipo en verano)

1. Elevar el umbral de verificación para acciones sensibles: pagos, cambios de cuenta, altas de beneficiarios y resets de MFA, eliminando aprobaciones informales por correo o chat.

2. Tratar la identidad como control primario, reforzando detección de anomalías y fricción adaptativa en áreas críticas como finanzas, cuentas privilegiadas y proveedores.

3. Reforzar la detección de correos enviados desde cuentas reales comprometidas, no solo desde dominios nuevos o sospechosos.

4. Ejecutar una campaña express contra ingeniería social (dos semanas, foco en logística, soporte y urgencia financiera).

5. Definir un playbook de vacaciones: guardias mínimas, escalamiento claro y kill switch para accesos remotos y cambios críticos.

Prepararse antes de que el riesgo se materialice

Las amenazas de fin de año no son nuevas, pero sí mucho más efectivas. La diferencia no la marca la tecnología, sino la preparación consciente para operar con menos margen de error.

Por eso, cada vez más CISOs están incorporando un Holiday Readiness Review antes de entrar en período estival: una revisión acotada, ejecutiva y focalizada, diseñada para validar si la organización está realmente preparada para enfrentar el aumento de phishing, ingeniería social y fraude propio de estas fechas.

Un Holiday Readiness Review no es una auditoría ni un ejercicio teórico. Se enfoca en:

• campañas activas de phishing e ingeniería social,

• controles críticos de identidad y accesos,

• procesos sensibles de negocio (pagos, aprobaciones, cambios),

• capacidad real de respuesta durante vacaciones,

• alineación entre Seguridad, TI, Finanzas y liderazgo.

El objetivo es simple y concreto: entrar al período más riesgoso del año con visibilidad, prioridades claras y sin sorpresas operacionales.

En un escenario donde los atacantes planifican mejor que nunca el timing de sus campañas, prepararse con anticipación deja de ser una buena práctica y se convierte en una decisión estratégica del CISO.