informa
05/06

La peligrosa exposición de las empresas de América Latina al phishing

El Phishing Benchmarking Report – South America 2025, advierte que gran parte de los trabajadores de la región sigue cayendo en correos maliciosos diseñados para robar credenciales, acceder a información sensible o ejecutar fraudes financieros. Entrega datos preocupantes sobre la madurez digital en materia de ciberseguridad corporativa.

Por: EQUIPO ESGHOY

Según el informe Phishing Benchmarking Report – South America 2025, elaborado por KnowBe4, la plataforma global de entrenamiento y de simulación de phishing más grande del mundo, más del 25% de los trabajadores de América Latina, involucrados en la investigación, hicieron clic en un enlace malicioso.

Una cifra que refleja una débil cultura preventiva. En muchos casos, los empleados incluso entregaron sus contraseñas o descargaron archivos infectados, reproduciendo los pasos de un ciberataque real. Los resultados varían entre países, pero en general, el promedio sudamericano está por debajo de los estándares esperados a nivel global.

Este tipo de ejercicios no sólo mide la preparación técnica de una empresa, sino que revela una falla en la educación digital básica. En palabras del reporte: “los clics en correos de phishing no son sólo errores individuales, sino un síntoma de una cultura organizacional desprevenida ante el riesgo cibernético”.

Simulaciones reales: un espejo incómodo

El benchmarking se realizó utilizando simulaciones de phishing que imitan campañas frecuentes de ingeniería social, incluyendo correos que aparentan ser de bancos, servicios de mensajería o incluso comunicaciones internas. Lo revelador del estudio es que estas simulaciones logran tasas de respuesta muy similares a los ataques reales reportados en la región.

Entre los sectores más vulnerables figuran las industrias de retail, servicios financieros, salud y educación, con tasas de clic que superan el 30% en algunos casos. Aunque algunas compañías sí contaban con políticas formales de ciberseguridad, pocas habían realizado entrenamientos prácticos o actualizaciones recientes.

El impacto en ESG y la sostenibilidad digital

Desde una perspectiva ESG, la ciberseguridad se ha convertido en un componente clave de la gobernanza corporativa. El riesgo de sufrir un ataque exitoso de phishing puede derivar en sanciones regulatorias, pérdidas financieras, daño reputacional y fuga de datos sensibles. Todo ello afecta directamente a los criterios de transparencia, ética y gestión de riesgos que evalúan los inversionistas institucionales y marcos como la NCG 461 en Chile o la CSRD en Europa.

El informe advierte que las empresas que no incorporen planes de educación digital sostenida “quedarán expuestas a un escenario de ataques cada vez más sofisticados, donde el error humano es el eslabón más débil”.

Recomendaciones: cultura, entrenamiento y seguimiento

El estudio cierra con una serie de recomendaciones prácticas:

  • Implementar programas de formación continua en ciberseguridad para todos los niveles de la organización.
  • Realizar simulaciones periódicas de phishing con métricas claras y seguimiento.
  • Desarrollar una cultura de reporte voluntario ante correos sospechosos.
  • Incluir a la ciberseguridad como parte integral de los reportes de sostenibilidad y gobierno corporativo.

El reporte propone un cambio de enfoque: ver el phishing no como un problema técnico, sino como un riesgo estratégico organizacional. La protección frente a este tipo de ataques no sólo resguarda la infraestructura digital, sino también la confianza de los clientes, la reputación corporativa y la sostenibilidad operativa, advierte.

Compartir