Día Internacional del Internet Seguro: El factor humano sigue siendo el mayor riesgo digital

El arranque de 2026 dejó una señal útil para entender el Día Internacional del Internet Seguro en México. Una parte de los incidentes que encendieron alertas en instituciones públicas no se explicó por una intrusión técnica directa, sino por el uso de usuarios y contraseñas válidos en sistemas obsoletos operados por terceros. Esto resume por qué el riesgo más frecuente sigue atado a la conducta cotidiana de las personas que abren enlaces, comparten accesos, aprueban permisos o trabajan con excepciones operativas.

En el frente corporativo, el diagnóstico coincide. Anthony Cusimano, director de Soluciones en Object First, sostuvo en un informe que una sola contraseña comprometida, un respaldo sin protección o un ataque de phishing en un dispositivo personal pueden escalar a una vulneración en una empresa, porque los delincuentes entran por el punto más vulnerable disponible.

F5 reportó que 98.6 millones de mexicanos y mexicanas de seis años en adelante cuentan con un celular para acceder a aplicaciones, redes sociales y juegos de video, y agregó que una persona puede pasar en promedio 8 horas y 30 minutos al día navegando en internet, con 3 horas y 30 minutos dedicadas a redes sociales, lo que eleva exposición a fraudes, estafas y ciberacoso. Además, el Reporte Child Grooming 2024-2025 de la ONG Prevención CiberViolencia, registra 4,966 denuncias en México entre mayo de 2022 y julio de 2024, con 391 carpetas de investigación judicializadas.

El riesgo en la vida real

El phishing sigue siendo un ejemplo claro porque depende de una decisión pequeña con consecuencias grandes. En el recuento de intrusiones que abrió el año, la Agencia de Transformación Digital y Telecomunicaciones ubicó el origen del acceso en sistemas obsoletos administrados por privados y precisó que se usaron credenciales válidas que fueron inhabilitadas. El objetivo suele ser provocar una acción concreta, abrir un enlace, descargar un archivo, autorizar un acceso o entregar credenciales.

Object First pone números a esa intuición. Cita un análisis de estadísticas de Total Assure según el cual en 2025 el error humano fue el factor dominante en incidentes de seguridad en organizaciones, con 68% de todas las brechas de datos ocurridas. También advierte que 16% de los ataques se dieron a través de phishing y que esos incidentes representaron costos por 4.8 millones de dólares para los negocios.

Respaldos y ransomware

El ransomware convirtió los respaldos en un objetivo. Object First advierte que los datos siguen vulnerables mientras la copia se pueda cifrar, alterar o eliminar, y que los atacantes buscan corromper respaldos para obligar al pago del rescate.

Esta idea conecta con casos recientes de extorsión en México que se han narrado en gigabytes, plazos y amenaza de filtración, como el caso atribuido a LockBit contra la Sociedad Hipotecaria Federal. 

En el ecosistema del ransomware como servicio, el acceso inicial suele venir por rutas comunes como phishing para robo de credenciales, abuso de cuentas válidas y servicios remotos expuestos. Esa lista vuelve a colocar al usuario en el centro. El cifrado llega al final, cuando el atacante ya entendió la red, se movió lateralmente y encontró qué sistemas sostienen la operación.

Identidad y contratos

La digitalización de procesos empresariales elevó la eficiencia y también amplió la exposición. Docusign, en un informe elaborado con Onfido, afirma que 57% de las empresas mexicanas perciben un incremento de los fraudes de identidad en el entorno digital. Agrega que los ataques y estafas online pueden generar pérdidas significativas, estimadas en hasta 50 millones de dólares al año, además de impactos reputacionales y jurídicos.

En este caso, el factor humano se ve en dos momentos. Primero, en el punto donde se valida a una persona que solicita un contrato, un crédito o un acceso. Segundo, en la disciplina de procesos internos que decide cuándo pedir verificación adicional y cuándo permitir fricción mínima.

Norbert Otten, director senior de soluciones de Docusign en América Latina, lo sintetiza con una frase útil para negocio. La seguridad es un ecosistema donde la tecnología es un pilar, junto con prácticas organizacionales, flujos de trabajo bien estructurados y educación continua.

Docusign baja esa visión a un checklist. El directivo recomendó priorizar productos de IA con casos de uso que generen valor y con seguridad y privacidad abordadas desde el diseño; elegir plataformas SaaS confiables y certificadas; reforzar la verificación de identidad con autenticación de dos factores, biometría y validación documental, y centralizar la gestión de documentos para reducir duplicidad y riesgos de cumplimiento.

Pruebas de humanidad

La expansión de la IA abre un problema adicional. Distinguir interacciones humanas de automatizaciones. Tools for Humanity, empresa colaboradora de World, plantea que tecnologías como autenticación en dos pasos, detección de fraude con IA, controles parentales, moderación automatizada y verificación de identidad ya se usan de forma creciente, y que las pruebas de humanidad empiezan a perfilarse para garantizar que del otro lado hay un ser humano y no un bot.

Martin Mazza, gerente regional en Tools for Humanity, advirtió en un comunicado que los humanos corren el riesgo de convertirse en minoría en internet y que sin nuevos mecanismos de confianza el internet perderá credibilidad. La afirmación importa para los negocios porque la confianza es infraestructura. Sin confianza, se encarece el fraude, cae la conversión y se dispara el costo de verificación y atención.

También se plantea un escenario de automatización de interacciones en plataformas donde agentes de IA generan contenido y las personas quedan como observadores, con la consecuencia de que distinguir cuándo interactúan máquinas y cuándo hay una interacción humana real se vuelve fundamental.

El Día Internacional del Internet Seguro deja una tarea ejecutable para empresas e instituciones. La tecnología seguirá avanzando y las marcas seguirán empujando capas nuevas de seguridad. El mayor diferencial sigue en la disciplina de procesos y los hábitos humanos. Cuando el usuario cae, la organización paga. Cuando la organización opera con excepciones, el atacante encuentra el atajo.

rodrigo.riquelme@eleconomista.mx