El factor humano, la primera línea de defensa en ciberseguridad

Puede parecer que un ciberataque empieza con un hackeo sofisticado, pero la realidad es que uno de los vectores más utilizados sigue siendo el mismo: el factor humano, a través de descuidos, prisas o validaciones incorrectas.

Un ejemplo muy claro de esto fue el caso de MGM Resorts en 2023. En este incidente, los atacantes no necesitaron explotar un fallo complejo para entrar: consiguieron acceso mediante ingeniería social, haciéndose pasar por un empleado y contactando con el servicio de soporte para recuperar credenciales.

A continuación, se muestra una cronología simplificada del incidente:

Cronología del ciberataque a MGM Resorts (2023).

A partir de ese acceso inicial, el ataque escaló rápidamente y terminó generando un impacto directo en la operativa de la compañía, demostrando algo que se repite una y otra vez en ciberseguridad: cuando un atacante logra que alguien “le abra la puerta”, el resto suele ser cuestión de tiempo.

Este tipo de ataques son especialmente peligrosos porque no se basan en “romper” un sistema, sino en aprovechar situaciones habituales en cualquier empresa: peticiones urgentes, presión por resolver incidencias rápido o solicitudes que parecen legítimas.

En cuestión de minutos, una cuenta comprometida puede convertirse en una puerta de entrada a herramientas internas, correos, documentación sensible o incluso a la suplantación de identidad de empleados para atacar a otros compañeros.

La clave está en entender que, en muchos casos, el riesgo no empieza en la tecnología, sino en el proceso: cómo se validan identidades, cómo se gestionan recuperaciones de acceso y cómo reaccionamos ante solicitudes inesperadas. Y por eso, la ingeniería social sigue siendo tan efectiva: porque juega con urgencia, confianza y contexto, y consigue que la organización baje la guardia justo cuando no debería.