La ingeniería social es la principal ciberamenaza para los bancos filipinos

Los ESQUEMAS DE INGENIERÍA SOCIAL, como las estafas de phishing, fueron la principal ciberamenaza que afectó a los bancos filipinos en la primera mitad de 2025, representando un riesgo persistente para el sistema de pagos digitales del país, informó el Bangko Sentral ng Pilipinas (BSP).

Según la vigilancia de ciberamenazas del BSP en la primera mitad de 2025, la ingeniería social, la toma de cuentas y el robo de identidad representaron el 76% del monto total perdido por fraude financiero en el período.

"Esto realmente refleja lo que están viendo otros supervisores. Estamos viendo que la ingeniería social sigue siendo el mayor impulsor de las amenazas relacionadas con el ciberespacio", dijo la Subgobernadora del BSP, Lyn I. Javier, durante una sesión informativa para medios en la Ciudad de Dumaguete el lunes.

"Entonces, estamos viendo phishing, vishing y smishing, destacando nuevamente el elemento humano, explotando la confianza del público o de las personas. Es una vulnerabilidad que estos actores de amenazas están explotando también para implementar sus esquemas o estafas."

El phishing implica el uso de correos electrónicos, mensajes de texto o enlaces fraudulentos para robar información personal, financiera o de cuenta. El vishing, o phishing de voz, es una forma de phishing que utiliza llamadas telefónicas o mensajes de voz, mientras que el smishing se realiza a través de mensajes de texto.

Mientras tanto, el hackeo fue la segunda ciberamenaza más común en el sistema bancario, representando el 13% de las pérdidas totales, seguido del fraude con tarjeta sin presencia física con un 8%.

La Sra. Javier dijo que las ciberamenazas se están volviendo más frecuentes, específicas y más escalables.

"Y a medida que aumenta la velocidad, también aumentan las pérdidas, la ventana de recuperación se reduce y permite que el cibercrimen se escale más rápidamente que antes", dijo.

"Entonces... cuando hablamos de riesgo cibernético, ya no es solo un problema tecnológico. Se trata de confianza, comportamiento y un desafío del ecosistema al que todos debemos contribuir para abordar y proteger el sistema financiero. Afecta directamente la confianza del consumidor, la resiliencia operativa y, en última instancia, plantea riesgos para la estabilidad financiera."

Agregó que la creciente interconexión en el sistema financiero ha ampliado los puntos de ataque potenciales para los cibercriminales, ya que hay más vulnerabilidades potenciales que pueden explotar.

Esto también aumenta los riesgos de estabilidad financiera, ya que un solo punto de fallo también podría afectar a otras instituciones, dijo.

"El riesgo cibernético está evolucionando, está cambiando, y también tenemos que aprender a adaptarnos a este desarrollo... Un ataque en una institución financiera no necesariamente significa que se limitará a esa institución. Podría afectar a otras instituciones financieras conectadas a ese banco. Entonces, significa los servicios que se ofrecen a empresas y hogares", dijo.

"Ahora, las apuestas se vuelven más altas cuando los incidentes cibernéticos atacan la infraestructura crítica del mercado financiero, por ejemplo, el sistema de pagos. Y luego, lo que es aún más desafiante es cuando atacan las cuentas de individuos, de depositantes, y esto se escala, podría desencadenar retiros masivos en una institución financiera, provocando problemas de liquidez y a veces problemas de capital en esa institución financiera debido a la pérdida de confianza del público en ese banco en particular. La confianza del público o la confianza de los depositantes, es el núcleo, es la base de la banca. Así que tenemos que cuidar esa confianza."

Dijo que si bien no existe una defensa infalible contra los ciberataques, el banco central y las partes interesadas de la industria continúan implementando diversas reglas y medidas para fortalecer la resiliencia del sector financiero.

El BSP requiere que todas sus instituciones financieras supervisadas presenten informes regulares y basados en eventos que cubran información relacionada con tecnología, así como incidencias de ciberataques importantes. La Sra. Javier agregó que monitorean amenazas potenciales a través de plataformas de redes sociales y la base de datos de incidentes de ciberseguridad.

El BSP también ha ordenado a los bancos actualizar sus respectivos sistemas de gestión de fraude para alinearse con las reglas y regulaciones de implementación de la Ley Anti-Estafas de Cuentas Financieras. Ha dado a los prestamistas hasta el 25 de junio para cumplir, agregando que el incumplimiento podría resultar en la suspensión de la licencia. — Katherine K. Chan