¿Qué es la ingeniería social? Es una forma de ciberataque que consiste en utilizar la manipulación psicológica y el engaño para forjar relaciones, explotar la confianza y obtener acceso a datos o información. El objetivo de la ingeniería social es engañar a las personas para que divulguen información confidencial, como contraseñas y datos de red, haciéndoles creer que están interactuando con alguien en quien confían. Los analistas de seguridad han confirmado que más del 70% de los ciberataques que se producen anualmente en Internet son ataques de ingeniería social.
En algunos casos, los ingenieros sociales también intentarán que descargue en su ordenador, sin que se dé cuenta, programas maliciosos, es decir, software que puede ser utilizado con fines maliciosos.
Puntos clave
- La ingeniería social utiliza la manipulación psicológica y se aprovecha de la confianza, en lugar del pirateo técnico, para engañar a las víctimas para que revelen información sensible o realicen acciones.
- Los vectores de ataque más habituales son el phishing (correo electrónico), el vishing (llamadas de voz), el smishing (SMS), el baiting (señuelos) y el pretexting (creación de falsos escenarios).
- El phishing es la forma más frecuente, y suele consistir en correos electrónicos disfrazados de comunicaciones legítimas para robar credenciales o distribuir programas maliciosos.
- Tenga cuidado con las peticiones no solicitadas de información personal, las demandas urgentes, las ofertas que parecen demasiado buenas para ser ciertas, y verifique la identidad del solicitante por otros canales.
- Protéjase mediante una combinación de medidas técnicas, como la autenticación multifactor y la autenticación del correo electrónico (DMARC, SPF, DKIM), y prácticas de comportamiento, como la formación para concienciar a los usuarios y una sólida higiene de contraseñas.
¿Qué es la ingeniería social? Definición
La ingeniería social es el acto de manipular a las personas para que realicen acciones o divulguen información confidencial, a menudo explotando desencadenantes psicológicos como la confianza, la curiosidad o la amabilidad. Es una forma de piratería informática, pero en lugar de entrar técnicamente en los ordenadores, los ingenieros sociales intentan acceder a ellos engañando a los empleados para que faciliten información o descarguen programas maliciosos. Un ingeniero social puede convertirte en cómplice involuntario utilizando la manipulación de alto nivel para conseguir lo que el atacante quiera.
¡Protéjase contra la ingeniería social con PowerDMARC!
Técnicas de ingeniería social: ¿Cómo funciona la ingeniería social?
Los ingenieros sociales utilizan muchas tácticas y canales diferentes para lograr sus objetivos. El atacante puede atraerle a una conversación que se convierte más bien en un interrogatorio. Los métodos comunes incluyen:
- Suplantación de identidad a través de diversos canales: La ingeniería social puede llevarse a cabo por teléfono (vishing), por correo electrónico (phishing) o a través de mensajes de texto (smishing). Un ingeniero social puede llamar a una empresa y pedir acceso a un área restringida, o puede hacerse pasar por alguien de confianza (como el soporte informático, un colega o incluso las fuerzas de seguridad) para conseguir que otra persona abra una cuenta de correo electrónico, proporcione credenciales o conceda acceso en su nombre.
- Estafas de soporte técnico: Los atacantes pueden afirmar que llaman desde el servicio de asistencia de una empresa y solicitar acceso remoto para poder arreglar algo en su ordenador o red. O pueden afirmar que necesitan su contraseña u otra información personal, como credenciales bancarias, para poder resolver un problema con su cuenta bancaria.
- Pretexto: Consiste en crear un escenario o una historia inventada (un pretexto) para ganarse la confianza de la víctima y persuadirla de que divulgue información o realice una acción. Por ejemplo, un atacante puede hacerse pasar por un cliente o empleado y urdir una historia hipotética para justificar su necesidad de información confidencial de la empresa, a menudo a través de llamadas telefónicas.
- Cebo: Los atacantes atraen a las víctimas con ofertas tentadoras, como descargas gratuitas, premios o anuncios atractivos ("¡Gane 1.000 dólares por hora!"). Al hacer clic en estos cebos, a menudo se accede a sitios web maliciosos o se inicia la descarga de malware. Si una oferta parece demasiado buena para ser cierta, probablemente lo sea.
- Tailgating/Piggybacking: Un atacante sigue a una persona autorizada a un área física restringida sin las credenciales adecuadas.
- Shoulder Surfing: Observar a alguien desde cerca (por ejemplo, mirando por encima de su hombro) para robar información confidencial como contraseñas o PIN mientras se introducen.
- Estafas románticas: Los atacantes adoptan identidades falsas en Internet para entablar relaciones románticas con las víctimas, ganándose su confianza antes de manipularlas o robarles. Estas estafas pueden ser devastadoras desde el punto de vista económico.
- Suplantación de la ley: En algunos casos, los ingenieros sociales incluso se hacen pasar por agentes de la ley y amenazan con emprender acciones legales si te niegas a acceder a sus peticiones de información. Aunque es importante que las empresas se tomen en serio estas amenazas, recuerda que las autoridades legítimas no suelen pedir contraseñas ni datos financieros confidenciales por teléfono o correo electrónico.
Objetivo de la ingeniería social
La ingeniería social se utiliza a menudo en los ataques de phishing, que son correos electrónicos que parecen proceder de una fuente de confianza, pero que en realidad tienen como objetivo robar su información personal o desplegar programas maliciosos. Los correos electrónicos suelen contener un archivo adjunto con software malicioso (a menudo denominado malware) o enlaces a sitios web maliciosos que infectarán su ordenador si los abre o hace clic en ellos.
El objetivo de la ingeniería social es siempre el mismo: obtener acceso a algo valioso sin tener que trabajar para ello (desde una perspectiva de hacking técnico). Los objetivos comunes incluyen:
1. Robo de información sensible
Los ingenieros sociales pueden intentar engañarle para que facilite su contraseña y sus credenciales de inicio de sesión (como su nombre de usuario/dirección de correo electrónico) para poder acceder a su cuenta de correo electrónico o perfil de redes sociales, donde pueden robar información personal como números de tarjetas de crédito e información de cuentas bancarias de transacciones anteriores. También podrían apuntar a secretos de empresa, datos de clientes o propiedad intelectual. Puede que sepas cómo vender en Instagram, pero ¿tienes los conocimientos suficientes para proteger tu pequeña empresa y tu cuenta de los ingenieros sociales?
2. Robo de identidad
También podrían utilizar esta información para asumir la identidad de la víctima y llevar a cabo actividades maliciosas haciéndose pasar por ella más adelante, como solicitar créditos en su nombre, realizar compras fraudulentas o acceder a otras cuentas.
3. Fraude financiero
El objetivo de los atacantes es robar dinero directamente, a menudo a través de estafas que incluyen facturas falsas (como la que le costó a Barbara Corcoran casi 400.000 dólares), solicitudes de transferencias bancarias (fraude del CEO), premios falsos que exigen un pago por adelantado o el acceso a cuentas bancarias.
4. Obtener acceso no autorizado
El objetivo puede ser obtener acceso a una red, sistema o ubicación física restringidos para llevar a cabo nuevos ataques, espionaje o sabotaje.
Conozca por qué los ciberatacantes suelen utilizar la ingeniería social.
¿Cómo identificar un ataque de ingeniería social?
1. Confía en tu instinto
Si recibes correos electrónicos, mensajes o llamadas telefónicas que te parezcan sospechosos, te den sensación de urgencia o te parezcan "extraños", no des ninguna información ni actúes de inmediato. Verifique la solicitud a través de un canal de comunicación independiente y de confianza (por ejemplo, llame directamente al número oficial de su empresa, consulte con la persona que supuestamente envía la solicitud a través de un método de contacto conocido).
2. No envíes tus datos personales fácilmente
Extreme las precauciones si alguien le pide su número de la Seguridad Social, contraseñas, datos financieros u otra información privada, sobre todo si no lo ha solicitado. Las organizaciones legítimas rara vez solicitan datos confidenciales por correo electrónico o teléfono. Se aconseja no dar ninguna información a menos que sea absolutamente necesario y haya verificado la legitimidad de la solicitud y la identidad del solicitante.
3. Solicitudes inusuales sin contexto ni verificación
Los ingenieros sociales suelen hacer peticiones inusuales o de gran envergadura (como transferencias bancarias, permisos de acceso, datos confidenciales) sin proporcionar el contexto adecuado o seguir los procedimientos establecidos. Si alguien pide dinero u otros recursos sin explicar de forma convincente por qué los necesita o si la solicitud parece fuera de lugar o pasa por alto los canales normales, es probable que haya gato encerrado. Comprueba siempre estas peticiones a través de los canales oficiales antes de acceder a ellas.
4. Comprobar los datos y enlaces del remitente
En los correos electrónicos, examine cuidadosamente la dirección "De" y la dirección "Return-Path"; los atacantes suelen utilizar direcciones que están ligeramente mal escritas o se parecen a las legítimas(suplantación de dominio). Pase el ratón por encima de los enlaces antes de hacer clic para ver la URL de destino real; tenga cuidado si parece sospechosa o no coincide con el sitio web esperado. Tenga cuidado con los correos electrónicos con saludos genéricos, mala gramática o errores ortográficos.
5. Cuidado con las ofertas tentadoras y la urgencia
Sea escéptico ante ofertas que parezcan demasiado buenas para ser ciertas (por ejemplo, ganar una lotería en la que no ha participado, grandes descuentos de fuentes desconocidas) o mensajes que creen una fuerte sensación de urgencia o miedo (por ejemplo, "Su cuenta se cerrará a menos que actúe ahora"). Se trata de tácticas de manipulación habituales.
He aquí algunos ejemplos concretos de situaciones potencialmente sospechosas:
- Recibir un correo electrónico de alguien que dice pertenecer al departamento informático y le pide que restablezca su contraseña a través de un enlace o que se la proporcione en un mensaje de correo electrónico o de texto.
- Recibir un correo electrónico o una llamada no solicitada de alguien que dice ser de su banco y le pide información personal, como su número de cuenta, código PIN o contraseña. Recuerde que su banco casi nunca le pedirá esta información de esta forma.
- Que alguien que dice pertenecer al departamento de Recursos Humanos de la empresa o a un alto ejecutivo le pida información confidencial sobre la empresa (por ejemplo, datos de los empleados o datos financieros), especialmente si la petición parece inusual o urgente.
- Ver anuncios en línea o recibir mensajes que ofrezcan recompensas u ofertas poco realistas que requieran hacer clic en un enlace o facilitar información personal.
Ataques de ingeniería social basados en el correo electrónico
El correo electrónico sigue siendo uno de los principales canales para la ingeniería social. Los tipos más comunes son:
Correos electrónicos de phishing - Parecen proceder de una fuente legítima (bancos, servicios populares, organismos públicos), pero en realidad intentan engañarle para que abra un archivo adjunto malicioso, visite una página de inicio de sesión falsa para robar credenciales o haga clic en un enlace que instala malware. El phishing es responsable de la inmensa mayoría de las filtraciones de datos.
Spear phishing -Suplantación de identidad El spear phishing son ataques muy selectivos dirigidos a personas u organizaciones concretas. Los atacantes investigan a sus objetivos y utilizan información personalizada (nombre, cargo, intereses, actividades recientes) para que los correos electrónicos parezcan más creíbles y convincentes.
Whaling - Se trata de un tipo de spear phishing dirigido específicamente a personas de alto perfil dentro de una organización, como altos ejecutivos o miembros de la junta directiva ("ballenas"), debido a su alto nivel de acceso y autoridad.
Fraude adirectores generales / Compromiso del correo electrónico comercial (BEC) - Fraude del CEO es un tipo de estafa de phishing o spear phishing que consiste en hacerse pasar por un director general u otro ejecutivo de alto nivel, a menudo dando instrucciones a los empleados (normalmente de finanzas o recursos humanos) para que realicen acciones urgentes como iniciar transferencias bancarias, cambiar los detalles de la nómina o enviar información confidencial.
Domain Spoofing - Los atacantes falsifican la dirección del remitente para hacer que un correo electrónico parezca provenir de un dominio legítimo de la empresa, manipulando a las víctimas para que confíen en el contenido del correo electrónico. Implementar DMARC puede ayudar a prevenir la suplantación directa de dominio.
Conozca otros tipos de ingeniería social de ingeniería social.
¿Cómo prevenir la ingeniería social?
La prevención de la ingeniería social requiere una combinación de controles técnicos y concienciación de los usuarios. He aquí algunos consejos sobre cómo prevenir los ataques de ingeniería social y protegerse a sí mismo y a su organización:
- Instale y mantenga un software de seguridad: Asegúrate de tener un buen software antivirus y antimalware instalado en todos tus dispositivos y ordenadores. Mantén estos programas, así como tu sistema operativo y aplicaciones, actualizados con los últimos parches para protegerte frente a vulnerabilidades conocidas.
- Sé escéptico con las comunicaciones no solicitadas: No abras correos electrónicos o archivos adjuntos sospechosos, especialmente de personas que no pertenezcan a tu círculo de confianza o a las que no conozcas. Esto incluye los correos electrónicos que afirman ser de su banco, compañía de tarjetas de crédito u otros servicios si parecen inusuales o solicitan información confidencial.
- Verifica enlaces y remitentes: No hagas clic en enlaces de correos electrónicos o mensajes a menos que estés seguro de que son seguros, incluso si parecen proceder de alguien que conoces (su cuenta podría estar comprometida). Pasa el ratón por encima de los enlaces para comprobar la URL de destino. Si en algún momento dudas de la legitimidad de un correo electrónico, ponte en contacto directamente con el remitente a través de un canal de comunicación conocido e independiente (como el teléfono o un mensaje de texto) en lugar de responder al correo sospechoso o hacer clic en los enlaces que contiene. Vuelve a comprobar siempre la dirección del remitente y la dirección del remitente.
- Practique una higiene de contraseñas segura: Utilice contraseñas seguras y únicas para las distintas cuentas. Cámbielas con regularidad. Evita compartirlas o escribirlas donde otros puedan encontrarlas.
- Desconfíe de llamadas y mensajes no solicitados: Tenga cuidado con las llamadas telefónicas no solicitadas (vishing) o los mensajes de texto (smishing) que ofrecen algo "demasiado bueno para ser verdad" (como premios gratis, oportunidades de inversión, avisos urgentes). No facilite información personal por teléfono a menos que usted haya iniciado la llamada y sepa que está hablando con un representante legítimo. Considere la posibilidad de utilizar aplicaciones de identificación de llamadas.
- Active la autenticación multifactor (MFA/2FA): Utilice autenticación de dos factores siempre que sea posible. Esto añade una capa adicional de seguridad, lo que significa que incluso si alguien roba tu contraseña, necesitará otra pieza de información (como un código de un solo uso enviado a tu teléfono) para acceder a tu cuenta.
- Implemente la autenticación de correo electrónico: Configure protocolos de autenticación de correo electrónico como SPF, DKIM y DMARC para tu dominio. Configurar DMARC con una política de p=reject ayuda a proteger sus canales de correo electrónico contra la suplantación directa de dominio, los ataques de phishing y el abuso de dominio.
- Asegure el acceso físico: Ten cuidado con las miradas indiscretas y asegúrate de que la información sensible no es fácilmente visible para los que navegan por la calle. Cierra el ordenador cuando te alejes.
- Limite la información que comparte en Internet: Tenga cuidado con la cantidad de información personal que comparte en las redes sociales y otras plataformas públicas, ya que los atacantes pueden utilizar esta información para el spear phishing o pretexting.
- Navegue con seguridad: No navegue por sitios web que no estén protegidos mediante una conexión HTTPS (busque el icono del candado y "https://" en la barra de direcciones), especialmente cuando introduzca información confidencial.
- Eduque y forme: Conciencie a su organización y edúquese a sí mismo y a los empleados sobre los tipos comunes de ataques de ingeniería social, las tácticas utilizadas y las señales de advertencia. Una formación regular puede reducir significativamente la susceptibilidad. Piénselo dos veces antes de confiar en personas con las que interactúa en línea a las que no conoce en la vida real.
- Establezca procedimientos claros: Aplique políticas y procedimientos claros para gestionar las solicitudes de información confidencial, verificar las identidades y escalar las actividades sospechosas.
Para resumir
Es importante protegerse contra la ingeniería social porque puede dar lugar a importantes pérdidas financieras, robo de información personal y confidencial, sistemas de seguridad comprometidos, daños a la reputación y graves violaciones de datos.
Por muy bueno que sea su equipo informático a la hora de proteger a su empresa de ciberataques técnicos, el elemento humano sigue siendo una vulnerabilidad potencial. Nunca podrá eliminar por completo el riesgo de que alguien intente entrar en su sistema a través de métodos de ingeniería social dirigidos a la confianza y la psicología de las personas. Por eso es tan importante formar a los empleados continuamente sobre la identificación de correos electrónicos de phishing, llamadas de vishing y otros tipos de ataques de ingeniería social, y para fomentar una cultura de concienciación y precaución en materia de seguridad.
- Falsos positivos DMARC: Causas, soluciones y guía de prevención - 13 de junio de 2025
- El Gobierno de Nueva Zelanda impone DMARC en el nuevo marco de correo electrónico seguro - 9 de junio de 2025
- ¿Qué es el Email Spoofing? - 29 de mayo de 2025