Ingeniería social

14 de diciembre de 2025 | 11:15

Definición, métodos, técnicas y medidas preventivas

La ingeniería social implica una manipulación psicológica suficiente para engañar a la víctima y hacer que revele información confidencial (claves de acceso, datos personales, etc.) o realice algún tipo de acción (abrir una página web fraudulenta, descargar algún archivo con malware, dar acceso a archivos o zonas restringidas, etc.), permitiendo, al atacante, tener acceso a algún sistema informático o datos confidenciales (cuentas bancarias, archivos empresariales, etc.).

Los pasos suelen ser comunes a todos los tipos de ingeniería social:

1º Investigación: El atacante intenta recabar información del objetivo a través de fuentes públicas y técnicas OSINT.

2º Ganarse la confianza: Con la información obtenida, el atacante intentará contactar con la víctima y generar confianza.

3º Explotación: Ganada la confianza, el siguiente paso es manipular a la víctima para conseguir que realice la acción deseada.

4º Ejecución: Completados los pasos anteriores, el atacante obtendrá la información o acceso buscado.

   El método que utiliza, como base, la ingeniería social es la psicología motivacional, es decir, utilizar las emociones de la víctima (miedo, confianza, urgencia, codicia, etc.), sobre todo en el caso de ataques específicos y no masivos, ya tienen ciertos datos de sus víctimas, a través de técnicas OSINT, lo que les facilita conseguir su confianza, como ejemplo, podemos citar:

1º Suplantar un organismo público o una entidad privada de confianza.

En ocasiones se recibe una llamada en la que el interlocutor dice pertenecer a algún organismo público del que, en principio, nadie duda lo que hace que se faciliten datos sin verificar si estamos ante un verdadero funcionario o no.

En otras ocasiones son correos electrónicos que simulan formatos de entidades, públicas o privadas, de confianza, como una entidad bancaria, una empresa con la que la víctima tiene alguna relación y que redirigen a una web falsa pero que tiene la apariencia de la web de la entidad a la que suplantan.

2º Inducir miedo y/o urgencia.

Se trata de que la víctima realice una acción urgentemente para evitar consecuencias perjudiciales, como, por ejemplo, el bloqueo de su cuenta bancaria, la pérdida de una subvención, la cancelación de un crédito, etc.

3º Inducir la codicia.

Una variable tecnológica del clásico “timo de la estampita” o la del “príncipe nigeriano”, en la que se ofrece a la víctima la posibilidad de un beneficio rápido y fácil a cambio de que realice ciertas acciones, como entregar una cantidad de dinero, facilitar unos datos o claves, rellenar un formulario en una web cuyo acceso abre la puerta a introducir un malware en el sistema de la víctima, etc.

4º Apelar a la amabilidad o bondad.

No son extraños los casos en los que la víctima recibe una petición de ayuda para alguien supuestamente enfermo, para ayudar a las víctimas de una catástrofe, etc.

5º Apelar a la curiosidad.

Cuando el atacante tiene más información de su posible víctima puede dejar a su alcance un pendrive abandonado con una etiqueta que contenga un título atractivo, un correo o un mensaje que le direcciona a una publicación que le pueda interesar, etc., y que, al acceder a su contenido, abre la puerta a un malware que se instala en su sistema.

   Las técnicas de ingeniería social más utilizadas son:

Pishing: Se trata de enviar correos electrónicos suplantando la identidad de empresas u organismos públicos y que suelen contener enlaces para acceder a sitios web que imitan los originales.

Es, probablemente, la técnica de ingeniería social más extendida.

Pretexting: El atacante suplanta la identidad de alguien de confianza (soporte técnico, jefe, compañero de trabajo o profesión, etc.) para ganar la confianza de la víctima y, así, poder obtener la información que busca.

Baiting (Cebo): El atacante ofrece algo de interés o atractivo para la víctima a cambio de que realice una acción, por ejemplo, abrir un pendrive, acceder a una web fraudulenta y rellenar un formulario, abriendo la puerta a la instalación de un malware.

Quid pro quo: Una variante del baiting en la que el atacante, en lugar de un objeto ofrece un servicio atractivo para la víctima, por ejemplo, haciéndose pasar por un servicio técnico que resolverá algún problema detectado.

Tailgating: Se trata de aprovechar la autorización de acceso físico de la víctima a un área restringida, por ejemplo, siguiéndola para entrar a un área de acceso restringido evitando el control de entrada.

Las medidas preventivas frente a estos ataques son:

1ª Formación y concienciación. Es esencial que los usuarios de dispositivos electrónicos se conciencien de que el eslabón más débil en su protección es el propio usuario, aprendan a detectar estos ataques y conozcan los riesgos de compartir información privada o sensible.

Como ejemplo de medidas preventivas podemos citar:

-  Comprobar la dirección del remitente al recibir un correo electrónico no esperado.

-  Verificar la identidad de llamadas o mensajes de texto de desconocidos.

-  No compartir información por teléfono, para ello, es mejor concertar una cita en el despacho u oficina del solicitante.

-  No abrir archivos adjuntos o acceder a enlaces de correos o mensajes de remitentes desconocidos o cuya identidad no se ha comprobado previamente.

2ª Políticas de seguridad. Debemos establecer unos protocolos (empresas) o normas de conducta (particulares) de seguridad antes y, sobre todo, en caso de sospechar que hayamos sido víctimas de un ataque de este tipo, por ejemplo:

-  Establecer normas de uso de redes sociales y, sobre todo, respecto a la información que se comparte.

-  Conocer los medios de contacto con servicios técnicos o entidades a las que acudir en caso de ser víctima de un ataque.

-  Denunciar los ataques a las autoridades competentes.

3ª Uso de tecnología de seguridad. Como, por ejemplo, filtros antispam, firewalls y antivirus, unido al establecimiento de métodos de autentificación multifactor que protejan las cuentas eficientemente.

Medida que incluye mantener los sistemas operativos y todo el software que tenemos instalado en el dispositivo, actualizados

4ª Uso de contraseñas seguras. Lo que implica evitar el uso de contraseñas cortas y sencillas, y evitar el uso de una misma contraseña para varias cuentas.

5ª Verificación de identidades. Verificar la identidad del remitente de un correo electrónico o mensaje, o del interlocutor de una llamada telefónica, sobre todo, si estamos ante solicitudes inusuales, urgentes o poco habituales.

En todo caso nunca debemos compartir información confidencial por estos medios de comunicación.

   Como conclusión podemos decir que se ha de tener en cuenta la seguridad de nuestros dispositivos, conocer el riesgo ante solicitudes sospechosas o no habituales y, sobre todo, verificar la identidad de los remitentes, teniendo en cuenta que, como hemos dicho, el eslabón más débil en la seguridad de los sistemas y la información son las personas.