Existen numerosos casos notorios alrededor del mundo y con cada vez más frecuencia en nuestros tiempos acerca de robo de datos a través de la ingeniería social que han afectado a empresas de renombre mundial, destacando la vulnerabilidad incluso de las corporaciones más grandes y aparentemente seguras.
Un ejemplo impactante es el caso de Anthem Inc., una de las mayores compañías de seguros de salud en los Estados Unidos. En 2015, se vieron comprometidos los datos personales de casi 78.8 millones de personas, incluyendo nombres, fechas de nacimiento, números de seguridad social, direcciones y números de empleo e ingresos. Los atacantes utilizaron técnicas de spear-phishing para acceder a los sistemas de Anthem. La empresa se vio obligada a pagar una multa récord de 16 millones de dólares y gastó más de 260 millones de dólares en mejoras de seguridad y remediaciones tras el incidente. Situación que resultó ser mucho mas caro remediar, si por el contrario se hubiera implementado oportunamente de forma preventiva mecanismos más robustos para protegerse ante los ciberdelincuentes.
Otro caso relevante es el de Twitter en 2020, donde varias cuentas de alto perfil fueron hackeadas, incluyendo las de Elon Musk, Bill Gates y Barack Obama. Los atacantes utilizaron tácticas de ingeniería social para manipular a los empleados de Twitter y obtener acceso a herramientas internas. Luego enviaron tweets desde estas cuentas solicitando Bitcoin, prometiendo duplicar cualquier cantidad enviada. Si bien el fraude resultó en una ganancia relativamente pequeña para los atacantes, el impacto en la reputación de Twitter fue significativo.
Un ejemplo aún más sorprendente es el del robo de 81 millones de dólares al Banco Central de Bangladesh en 2016. Los hackers utilizaron ingeniería social para obtener credenciales de SWIFT, el sistema global de transacciones bancarias. Luego, enviaron órdenes de transferencia fraudulentas que resultaron en la transferencia de los fondos a cuentas en Filipinas y Sri Lanka.
Estos casos de estudio sirven como un recordatorio poderoso de los riesgos y las potenciales consecuencias de la ingeniería social. En todos estos incidentes, los atacantes se centraron en explotar las vulnerabilidades humanas, en lugar de las falencias del software o del hardware. Además, debemos solamente darnos cuenta que muchas empresas de nuestras ciudades no poseen mecanismos de ciberseguridad ni de prevención, mucho menos gestión y buenas prácticas, por lo que sabemos que aún no existe la consciencia en nuestras localidades para prevenir este tipo de riesgos por el desconocimiento y desinterés en la materia.
A pesar de las inversiones significativas en tecnología de seguridad, la formación y concienciación de los empleados sigue siendo un componente esencial para una defensa efectiva contra la ingeniería social.