Qué es ingeniería social: señales, tipos y consejos de seguridad

La ciberseguridad suele fallar a causa del elemento humano. Las empresas pueden implementar el software antivirus y de detección de intrusiones con tecnología de IA más vanguardista del mercado, pero solo hace falta un empleado manipulado para que abra la puerta a un atacante. Ese es el blanco de la ingeniería social: las personas y sus emociones.

A diferencia de los ataques más técnicos, que aprovechan las debilidades del software o del sistema, estos ataques se pueden ocultar en las comunicaciones diarias. Puede parecer que son correos electrónicos, llamadas telefónicas, enlaces de apariencia inocente o, a veces, incluso un sitio web de confianza que ha sido hackeado.

Nuestra guía deja al descubierto qué es un ingeniero social y las tácticas que usan para manipular con éxito a las personas. También describe defensas prácticas que puedes usar para detectarla y evitar estas estafas.

¿Qué es un ataque de ingeniería social?

La ingeniería social es una forma de manipulación psicológica que engaña a la gente para que dé ciertos pasos que debilitan la seguridad. Estas acciones pueden ser:

• Compartir credenciales de inicio de sesión
• Aprobar pagos fraudulentos
• Instalar software malicioso
• Conceder acceso a sistemas restringidos

En lugar de aprovechar fallos en el software o la infraestructura, los atacantes se valen de respuestas humanas predecibles ante situaciones de urgencia, miedo, curiosidad o autoridad. Por esta razón, este método a veces se llama “hackeo humano”.

Estudian cómo reacciona la gente cuando algo les provoca una emoción y luego usan esas presiones para que bajes la guardia. Dado que la víctima realiza la acción voluntariamente, estos ataques pueden sortear cortafuegos y otras defensas técnicas.

A menudo, la ingeniería social es solo el primer paso. Cuando los atacantes consiguen introducirse, pueden conseguir más privilegios, instalar malware, robar datos o moverse por las redes.

¿Cómo funciona la ingeniería social?

Los ataques de ingeniería social suelen realizarse por fases y cada una de ellas está diseñada para que parezca algo rutinario y creíble. Los atacantes empiezan por reunir información y datos sobre su objetivo. Los perfiles públicos, información sobre su lugar de trabajo, datos de filtraciones anteriores y la actividad diaria en Internet suelen ser un contexto suficiente para diseñar un abordaje convincente para el ataque.

Con toda esta información, el atacante contacta de una forma que se integra en los flujos de trabajo normales. Puede parecer que los mensajes provienen del equipo de asistencia de TI, de una institución financiera o de un compañero de trabajo, y a menudo hacen referencia a sistemas, personas o procesos reales para reforzar su legitimidad. Suelen diseñarse para que parezcan urgentes (“Tu cuenta se bloqueará”), oficiales (“Verificación de seguridad de Hacienda”) o tentadores (“Recompensa sin reclamar”), creando una respuesta emocional que anula el sentido común.

Cuando ya se ha establecido la confianza, el atacante aplica presión o tentación para provocar una acción como abrir un archivo adjunto. Por ejemplo, en septiembre de 2023, los hackers se introdujeron en los resorts de MGM a través de una simple llamada telefónica al centro de ayuda de TI haciéndose pasar por un empleado y solicitando que se restableciera una contraseña. 

Lo que hace que la ingeniería social sea especialmente peligrosa es que la mayoría de las veces no necesita aprovechar vulnerabilidades técnicas. Se ceba en los hábitos rutinarios: empleados que contestan solicitudes internas, usuarios que solucionan alertas a toda prisa o equipos financieros que confían en facturas verificadas.

Tipos de ingeniería social

Los diferentes ataques de ingeniería social dependen de las mismas debilidades y emociones humanas para tener éxito, por eso muchos de ellos se solapan. Un correo electrónico de phishing puede llevar a un pretexto, y una llamada de “asistencia técnica” falsa puede convertirse en un intercambio de favores. En algunos casos, estas tácticas se agravan y se transforman en incidentes más graves, como filtraciones de datos, fraudes a nivel de toda la empresa o robos de identidad.

Estudiar los tipos más comunes te ayuda a reconocer los patrones de manipulación de forma temprana, antes de que ocurran daños reales.

Phishing (Mensajes y correos electrónicos fraudulentos)

El phishing es un mensaje falso que te engaña para que reveles información confidencial, para que instales malware, para que concedas acceso o para que transfieras dinero. Parece auténtico porque los estafadores reutilizan logotipos, frases y diseños reales de empresas legítimas. En 2024, el phishing fue el ciberdelito más denunciado y se presentaron más de 193.000 denuncias en el FBI.

Phishing masivo (difusión indiscriminada)

En el phishing masivo, los atacantes envían mensajes idénticos a tantas personas como pueden. Los mensajes suelen aprovecharse de marcas conocidas y la urgencia para aumentar las probabilidades de que alguien haga clic. Incluso unos índices de éxito mínimos pueden generar grandes ganancias para los estafadores.

A principios de 2025, CoGUI generó más de 580 millones de correos electrónicos falsos haciéndose pasar por Amazon, Apple y otras grandes empresas.

Spear phishing (ataques dirigidos)

A diferencia del phishing masivo, los ataques de spear phishing están muy personalizados. Los atacantes investigan a una persona específica o a un pequeño grupo y elaboran mensajes dirigidos exclusivamente a ellos usando datos disponibles públicamente en plataformas de redes sociales, sitios web de empresas o registros de vendedores de datos.

Por ejemplo, un atacante de spear phishing puede enviar un correo electrónico que parezca provenir de un compañero de trabajo y que incluya un archivo adjunto malicioso o un enlace a una página de inicio de sesión falsa. Por lo general, el objetivo es obtener acceso, robar información confidencial o establecer un punto de entrada a una organización.

Cuando este tipo de ataque dirigido se centra en altos ejecutivos u otras personas de alto perfil, se suele conocer como “whaling”. En algunos casos, el spear phishing sirve como punto de entrada para estafas más grandes, incluida la suplantación de identidad en el correo electrónico empresarial. Un caso muy conocido fue el de una empresa aeroespacial austriaca que fue víctima de un correo electrónico en el que se falsificaron las órdenes del CEO y perdió aproximadamente 50 millones de euros.

Vishing (phishing por voz)

Los atacantes de phishing de voz te contactan por teléfono o usan mensajes pregrabados. Las campañas modernas de vishing a veces usan voces generadas por IA o audio deepfake que imita a personas reales.

En un caso muy mediático que afectó a Arup, los delincuentes emplearon tecnología deepfake en tiempo real para suplantar al director financiero de Arup y a otros empleados durante una videollamada. Los atacantes convencieron a un empleado de finanzas en Hong Kong para que transfiriera 25 millones de dólares.

Angler Phishing (estafa de servicios de ayuda en redes sociales)

El angler phishing se aprovecha de la confianza en el servicio al cliente de las redes sociales. Los atacantes vigilan las quejas o las solicitudes de ayuda y después responden desde cuentas falsas que parecen oficiales. Estos mensajes dirigen a los usuarios a enlaces de “verificación” que les permiten apropiarse de las credenciales.

Smishing (phishing de SMS/mensaje de texto)

Los atacantes envían un mensaje de texto que parece una alerta de un banco, un servicio de paquetería o cualquier otra entidad de confianza, normalmente con un enlace para pulsar. Un ejemplo clásico de smishing es un mensaje de texto afirmando que “La entrega de tu paquete se ha retrasado; visita este enlace para reprogramarla” o “Se ha detectado actividad sospechosa en su cuenta bancaria, verifíquela aquí”. Normalmente, el enlace dirige a una página falsa de inicio de sesión que te roba las credenciales o a un sitio web que te infecta el teléfono con malware.

Phishing de motor de búsqueda

Los estafadores crean sitios web falsos que imitan los de marcas o servicios muy conocidos y usan anuncios de pago o tácticas de posicionamiento web para aparecer más arriba en los resultados de búsqueda. Pulsar en estos enlaces puede dejar expuestos tus datos de inicio de sesión o de pago y podría llevarte a redirecciones o descargas maliciosas.

Pretexto (historias de suplantación de identidad)

Un ataque de pretexto se basa en crear una historia convincente para justificar peticiones inusuales. Los estafadores investigan a sus víctimas y se hacen pasar por personas de confianza, como personal de asistencia informática, recursos humanos o auditores, imitando el lenguaje, los procedimientos o las políticas internas para parecer auténticos.

Por ejemplo, un atacante que se haga pasar por un técnico informático puede alegar que una auditoría del sistema ha detectado un problema en una cuenta y solicitar las credenciales de inicio de sesión para “resolver el problema”. En otros casos, la solicitud puede empujar a la víctima a descargar malware, enviar dinero a los delincuentes o perjudicar de alguna otra forma a la entidad para la que trabaja o a sí misma. El objetivo es generar credibilidad mediante una historia convincente y persuadir a la víctima para que realice una acción arriesgada.

Correo electrónico empresarial comprometido (BEC)

El BEC es un tipo de fraude muy específico que se aprovecha de la confianza para provocar una acción financiera concreta. Tras investigar las funciones internas, los flujos de trabajo y los procesos de pago, los atacantes se hacen pasar por ejecutivos, empleados de finanzas o proveedores de confianza.

Por ejemplo, un empleado financiero puede recibir un correo electrónico que parece provenir de un directivo solicitando una transferencia urgente o un cambio en los datos de pago a un proveedor. El mensaje está redactado para que parezca rutinario o confidencial, pero su objetivo es transferir dinero a una cuenta controlada por el atacante. Este nivel de personalización ha provocado importantes pérdidas económicas, y el FBI ha contabilizado pérdidas relacionadas con el BEC por valor de 2700 millones de dólares solo en 2024.

Quid pro quo

Una estafa quid pro quo se basa en un intercambio explícito: el atacante ofrece ayuda, un servicio o una recompensa a cambio de información o acceso. Es, en esencia, una táctica de “favor por favor” que se aprovecha de la reciprocidad.

El atacante puede ofrecer arreglar un problema y para ello pide a la víctima que instale software de acceso remoto o que comparta sus credenciales para recibir “ayuda”. Una vez concedido el acceso, los atacantes pueden robar datos, instalar spyware o crear puertas de atrás para acceder al dispositivo en el futuro.

Baiting

El ataque de baiting o de cebo se aprovecha de la curiosidad o la codicia para engañarte y hacerte descargar malware disfrazado de tarjeta regalo, acceso gratuito a contenido de pago u otros “regalos”. Muchos ataques de baiting se ocultan en páginas falsas de descarga disfrazados como herramientas o actualizaciones. Cuando se pulsan, pueden instalar sigilosamente spyware, keyloggers u otros programas igualmente dañinos.

También es común el cebo físico. Los atacantes pueden dejar una unidad de memoria USB en estacionamientos, baños o ascensores, etiquetada con algo intrigante como “Salarios de Recursos Humanos” o “Confidencial”, a la espera de que alguien lo enchufe por curiosidad o para intentar identificar al dueño. 

En un caso denunciado, se descubrió malware en dos centrales eléctricas estadounidenses y se cree que se propagó a través de memorias USB infectadas que se introdujeron en sistemas seguros.

Scareware

Mientras que el baiting utiliza la tentación, el scareware recurre al miedo. Esta táctica usa mensajes alarmantes para presionar a las víctimas y que descarguen software de seguridad falso o paguen por servicios de “limpieza” innecesarios. Suelen imitar las alertas antivirus o las advertencias del sistema, afirmando que tu dispositivo está infectado o en riesgo. Al hacer clic en el mensaje emergente, se instala el malware o te redirige a sitios web de ayuda falsos.

Ataque de abrevadero y de phishing en sesión

Un ataque de abrevadero tiene lugar cuando los hackers inyectan código malicioso en sitios web que son visitados regularmente por un grupo de personas, como un foro de un sector específico o un sitio web de un proveedor. Con solo cargar la página comprometida, tu dispositivo se puede infectar silenciosamente.

El phishing en sesión sigue un concepto similar dentro de una sesión de navegación activa. En lugar de comprometer el sitio web, los atacantes inyectan ventanas o mensajes emergentes falsos mientras usas un sitio web totalmente legítimo. A menudo estos mensajes imitan solicitudes de volver a iniciar sesión, avisos de actualizaciones o alertas de seguridad. Como aparecen dentro de una sesión en un sitio web de confianza, pueden parecer creíbles y son más difíciles de detectar que los ataques recibidos por correo electrónico o por teléfono.

Tailgating y Piggybacking

El tailgating tiene lugar cuando los atacantes se introducen en un espacio no autorizado, como puede ser un centro de datos, sin conocimiento de la víctima. Por ejemplo, un atacante puede caminar muy cerca detrás de un empleado y entrar en un edificio de oficinas cerrado, sujetando la puerta antes de que se cierre. Esta táctica se aprovecha de la cortesía habitual, como sujetar la puerta a los que vienen detrás.

El piggybacking difiere ligeramente: el atacante obtiene acceso con la ayuda de un usuario autorizado. Esto puede incluir una sesión autenticada activa, dispositivos que se quedan sin vigilancia o que se permita al atacante entrar en un área segura, como cuando alguien deja abierta una puerta restringida o comparte sus credenciales.

Estafa de apropiación de cuenta

Las estafas con apropiación de cuenta se extienden a través de cuentas comprometidas que envían mensajes a amigos o compañeros de trabajo. Los atacantes usan perfiles reales para enviar archivos adjuntos o enlaces creíbles y hacer que sus víctimas bajen la guardia. Cuando un contacto pulsa en él, el malware puede apropiarse de la cuenta y continuar extendiendo la estafa.

Catfishing

Los ataques de catfishing de ingeniería social (también llamados de relaciones o estafas de “matanza de cerdos”) se aprovechan de la confianza emocional. Los estafadores construyen relaciones falsas de larga duración usando historias personales y fotos robadas. Una vez que se forma una relación de confianza, piden dinero o proponen alguna inversión fraudulenta, con frecuencia tras semanas o meses.

Cómo protegerte de los ataques de ingeniería social

Una estafa puede engañar incluso a expertos en seguridad si parece de confianza y coincide con sus expectativas.

Los cortafuegos y el software antivirus por sí solos no pueden impedir que alguien siga una instrucción falsa que parece legítima. El campo de ataque en la ingeniería social es tan amplio que una sola acción descuidada de un miembro de la familia o de un empleado puede dejar expuesta toda una red o base de datos.

Sin embargo, puedes reducir el riesgo significativamente combinando la toma de conciencia del peligro, hábitos inteligentes y herramientas de seguridad fiables como:

• Verificar las solicitudes inesperadas: Comprueba dos veces cualquier mensaje que pida dinero, credenciales, acceso interno o que realices acciones inusuales, incluso aunque parezca provenir de un contacto conocido.
• Comprobar atentamente los datos del remitente: Vigila las faltas de ortografía o los cambios sutiles en la dirección de correo electrónico, como “@paypaIl.com” en lugar de “@paypal.com”.
• Hacer una pausa cuando te sientas presionado: Los estafadores se aprovechan de la urgencia; si un mensaje exige una acción inmediata, tómate tu tiempo y verifícalo antes de responder.
• Comprobar antes los enlaces o archivos adjuntos desconocidos: Pasa el ratón por encima de los enlaces para confirmar la dirección real, sube los archivos sospechosos a un analizador antivirus o simplemente evítalos completamente.
• Ignorar las ofertas tentadoras: Las promociones demasiado buenas para ser verdad, los reembolsos repentinos o las notificaciones de premios normalmente ocultan una trampa.
• Tener en cuenta el tono y el contexto: Desconfía de los mensajes con frases extrañas, saludos inusuales o que llegan en momentos inesperados.
• Evitar compartir demasiado en Internet: Cuantos más datos encuentren de ti los delincuentes en las redes sociales o a través de vendedores de datos, más fácil les resultará ganarse tu confianza.
• Verificar la seguridad del sitio web: HTTPS y el icono del candado implican que la conexión está cifrada, pero no confirman que el sitio web sea legítimo. Antes de introducir información confidencial, comprueba que el nombre del dominio está escrito correctamente y coincide con el del sitio web oficial.
• Usar contraseñas robustas: Usa contraseñas únicas para cada cuenta y actualízalas con regularidad para prevenir que una filtración de datos comprometa otras cuentas.
• Activar la autenticación de dos factores: Añade el requisito del código de un solo uso a tus inicios de sesión siempre que sea posible.
• Mantener actualizados los sistemas: Activa las actualizaciones automáticas, habilita los filtros de spam y usa un software antivirus de confianza.
• Proteger la actividad online con una VPN: Conéctate a un servicio de VPN reconocido para proteger tu tráfico y ubicación de terceros que lo puedan interceptar, especialmente en redes wifi públicas.
• Promover la concienciación: Anima a los empleados o familiares a informar sobre mensajes sospechosos y a participar en cursos de formación o simulaciones de phishing.

Preguntas frecuentes