En 2025 las redes sociales dejaron de ser únicamente plataformas de interacción y entretenimiento para consolidarse como uno de los principales vectores de riesgo cibernético a escala global.
Redes sociales, el epicentro de los riesgos cibernéticos
Incidentes, cifras y patrones de ataque confirman que el ecosistema social digital se convirtió en uno de los terrenos fértiles para fraudes, suplantación de identidad y manipulación a gran escala.
Publicidad
Los incidentes, las cifras y los patrones de ataque confirman que el ecosistema social digital se ha convertido en uno de los terrenos más fértiles para el fraude, la suplantación de identidad y la manipulación a gran escala.
El llamado mega leak de junio de 2025 —una compilación de aproximadamente 16 mil millones de credenciales expuestas, obtenidas principalmente mediante malware tipo infostealer— es una muestra clara de esta tendencia. No se trató de una brecha puntual, sino de la agregación de accesos robados durante años a servicios como Facebook, Telegram y GitHub, muchos de ellos reutilizados posteriormente en campañas activas de fraude y phishing. La magnitud del evento evidenció una realidad incómoda: las redes sociales ya no son solo el canal del ataque, sino un repositorio involuntario de la identidad digital de millones de personas.
Plataformas como WhatsApp, Instagram, Facebook y TikTok concentran hoy una proporción significativa de ataques de phishing potenciados por inteligencia artificial, smishing, ciberacoso y estafas altamente personalizadas. Su principal fortaleza —el volumen de usuarios, la inmediatez de la comunicación y la confianza social que generan— se convierte, paradójicamente, en una de sus mayores debilidades desde la perspectiva de la ciberseguridad.
Plataformas como WhatsApp, Instagram, Facebook y TikTok concentran hoy una proporción significativa de ataques de phishing potenciados por inteligencia artificial, smishing, ciberacoso y estafas altamente personalizadas. Su principal fortaleza —el volumen de usuarios, la inmediatez de la comunicación y la confianza social que generan— se convierte, paradójicamente, en una de sus mayores debilidades desde la perspectiva de la ciberseguridad.
Se acabaron los atacantes improvisados
Hoy ya no hay atacantes improvisados. Operan verdaderas “granjas de phishing” apoyadas en automatización y RPA (Robotic Process Automation), es decir, el uso de software capaz de ejecutar tareas repetitivas de forma automática, a gran escala y sin intervención humana. Estas herramientas permiten a los atacantes operar desde múltiples dispositivos móviles y aprovechar cuentas legítimas comprometidas para enviar campañas de smishing altamente personalizadas. A ello se suma el uso de deepfakes de voz y video: audios falsos que simulan a familiares, directivos o figuras públicas para inducir inversiones fraudulentas, prometer premios inexistentes o presionar a las víctimas ante supuestas emergencias.
Publicidad
Más allá de los incidentes técnicos, el impacto es tangible. Una encuesta de Bitdefender realizada en 2025, reveló que uno de cada siete participantes fue víctima directa de una estafa, con pérdidas promedio cercanas a los 545 dólares por persona. El fenómeno no discrimina por nivel educativo, pero sí por hábitos digitales.
Los jóvenes resultaron particularmente vulnerables. El 20% reportó haber sido víctima, más del doble que los grupos de mayor edad. La causa no es la ingenuidad, sino la sobreexposición. Compartir audios, videos, rutinas y datos personales facilita la creación de ataques creíbles, incluidos fraudes telefónicos basados en clonación de voz (Vishing).
Uno de los aspectos más preocupantes de 2025 no es únicamente la creciente sofisticación técnica de los ataques, sino la persistencia de hábitos inseguros, incluso entre usuarios y organizaciones que conocen los riesgos. La conciencia sobre las amenazas existe, pero rara vez se traduce en conductas preventivas sostenidas; entre saber y actuar sigue habiendo una brecha significativa.
Lee más
En este contexto, las redes sociales han superado al correo electrónico como principal canal de estafa porque operan sobre un activo difícil de proteger con tecnología: la confianza interpersonal. El atacante ya no necesita vulnerar un sistema ni explotar una falla técnica; le basta con manipular una relación social o detonar una emoción. La urgencia, el miedo, la promesa de una oportunidad o la simple curiosidad continúan siendo los mecanismos más eficaces para inducir errores.
Publicidad
Por ello, la discusión de fondo ya no es si plataformas, organizaciones y usuarios conocen el riesgo, sino si están dispuestos a modificar comportamientos, asumir costos reales y redefinir responsabilidades. Mientras la identidad digital siga expuesta como moneda de cambio y la explotación de la confianza social no tenga consecuencias claras, la brecha seguirá siendo menos tecnológica y más decisional.
____
Nota del editor: Fernando Guarneros es Director de Operaciones en IQSEC. Las opiniones publicadas en esta columna corresponden exclusivamente al autor.
Consulta más información sobre este y otros temas en el canal Opinión
Recomendaciones
Más acerca del autor:
Newsletter
Publicidad