Ciberamenazas y contramedidas

Ingeniería social

Se lee en aproximadamente 4 minutos

Última actualización: 2026-02-12

Qué es la ingeniería social

La ingeniería social (Social Engineering) es el término general para las técnicas de ataque que obtienen información confidencial o inducen operaciones no autorizadas explotando las debilidades psicológicas humanas en lugar de medios técnicos.

Por muy avanzado que sea el sistema de seguridad implementado, no sirve de nada si la persona que lo opera es engañada. En el mundo de la seguridad se dice que "el eslabón más débil es el ser humano", y de hecho se estima que más del 90% de los ciberataques involucran alguna forma de ingeniería social.

El phishing es la forma más común de ingeniería social, pero los métodos no se limitan al correo electrónico. Se utilizan todo tipo de canales para los ataques: teléfono, presencial, redes sociales y medios físicos.

Métodos típicos

  • Pretexting (creación de pretextos): Hacerse pasar por soporte de TI, empleado bancario, policía, etc., y obtener contraseñas o información personal con pretextos convincentes. Se utilizan razones como "para verificación de seguridad" o "para la recuperación del sistema".
  • Baiting (cebo): Dejar memorias USB con malware en estacionamientos u oficinas, esperando que alguien las recoja y las conecte a su ordenador. Se estimula la curiosidad con etiquetas como "Lista de salarios" o "Cambios de personal".
  • Tailgating: Método físico de entrar en oficinas que requieren tarjeta de seguridad siguiendo detrás de un empleado legítimo. Se pide "¿podría sujetar la puerta?" mientras se llevan paquetes.
  • Vishing (phishing telefónico): Hacerse pasar por compañías de tarjetas o bancos por teléfono, creando urgencia con "se ha detectado un uso fraudulento" para obtener números de tarjeta y PIN.
  • Recopilación de información a través de redes sociales: Recopilar información sobre el lugar de trabajo, cargo, aficiones y relaciones del objetivo a partir de sus publicaciones en redes sociales para aumentar la precisión del spear phishing.

Técnicas psicológicas que explotan los atacantes

La ingeniería social utiliza hábilmente los sesgos cognitivos y las tendencias psicológicas humanas.

  • Obediencia a la autoridad: Cuando alguien se hace pasar por un superior, el departamento de TI o la policía, las personas tienden a obedecer sin cuestionar. El fraude por correo empresarial (BEC) que simula "instrucciones urgentes del presidente" explota esta psicología.
  • Creación de urgencia: "Si no actúa ahora, su cuenta será suspendida", "Confirme en las próximas 24 horas" - se fuerza la acción sin dar tiempo para pensar.
  • Principio de reciprocidad: Al ser amable primero, se genera en la otra persona la psicología de "debo devolver el favor". Por ejemplo: "Resolví el problema del otro día, así que para verificar, ¿podría darme su contraseña?".
  • Prueba social: Al comunicar que "todos los demás empleados ya han completado el proceso", se aprovecha la psicología de sentir que uno también debe hacerlo.
  • Simpatía y confianza: Construir una relación de confianza durante un largo período antes de extraer información. También hay casos de acercamiento haciéndose pasar por amigos en redes sociales.

Medidas de defensa para organizaciones e individuos

La defensa contra la ingeniería social requiere tanto medidas técnicas como humanas.

Medidas organizacionales

  • Formación en concienciación de seguridad: Realizar simulacros regulares de phishing (correos de phishing simulados) para medir y mejorar la capacidad de respuesta de los empleados. Una sesión teórica anual no es suficiente.
  • Clasificación de información y privilegios mínimos: Restringir el acceso a información confidencial al mínimo de personal necesario para las operaciones.
  • Establecimiento de procesos de verificación de identidad: Establecer reglas estrictas para verificar la identidad por un medio de contacto alternativo cuando se soliciten restablecimientos de contraseña o transferencias por teléfono o correo.
  • Obligatoriedad de la autenticación de dos factores: Incluso si la contraseña se filtra, la autenticación de dos factores puede prevenir el acceso no autorizado.

Medidas individuales

  • Responder con cautela a comunicaciones inesperadas. Detenerse a pensar aunque le presionen.
  • Revisar el alcance de la información personal publicada en redes sociales. El lugar de trabajo, cargo y patrones de comportamiento pueden ser material para ataques.
  • Si algo le parece sospechoso, buscar el contacto por su cuenta y devolver la llamada. No llamar al número proporcionado por la otra parte.

Conceptos erróneos comunes

La ingeniería social solo engaña a personas sin conocimientos de TI
Incluso los expertos en seguridad pueden ser engañados. Los atacantes explotan debilidades psicológicas humanas (urgencia, autoridad, simpatía) en lugar de conocimientos técnicos, por lo que un alto nivel de alfabetización en TI por sí solo no es suficiente para protegerse.
La ingeniería social es solo un problema de correo electrónico
Se utilizan todo tipo de canales para los ataques: teléfono, presencial, redes sociales y medios físicos (memorias USB abandonadas, entrada con suplantación de identidad). El filtrado de correo electrónico por sí solo es insuficiente como medida de protección.

Términos relacionados

Phishing Un método de ataque que suplanta la identidad de organizaciones legítimas, banco… Credential Stuffing Un ataque automatizado que toma combinaciones de nombre de usuario y contraseña … Autenticación de dos factores (2FA) Un método de seguridad que requiere un factor de autenticación adicional más all… Ransomware Malware que cifra archivos y sistemas completos en dispositivos infectados, y lu… Filtración de datos Un incidente en el que información personal o datos confidenciales en poder de u…

Artículos relacionados

¿Qué es la ingeniería social? Ciberataques que explotan la psicología humana Comprende las tácticas comunes de ingeniería social, ejemplos reales y medidas prácticas para evitar… Cómo detectar phishing - Lista de verificación práctica para evitar estafas Aprende las tácticas de phishing más recientes y puntos de verificación específicos para identificar…
← Glosario