Ingeniería Social: Phishing, Vishing y Pretexting
Las fases del ataque social, tipos de engaño y programas de concienciación corporativa
¿Por qué la Ingeniería Social?
El eslabón más débil de cualquier sistema de seguridad es la persona. La ingeniería social explota sesgos psicológicos (urgencia, autoridad, reciprocidad, miedo) en lugar de vulnerabilidades técnicas. El 90%+ de los ciberataques exitosos comienzan con un componente de ingeniería social.
Principios de influencia usados por atacantes (Cialdini):
Fases de un Ataque de Ingeniería Social
1. Research
OSINT sobre el objetivo: LinkedIn para conocer estructura, cargos, proyectos. Redes sociales, web corporativa, registros públicos.
2. Hook
Crear el pretexto y el punto de contacto. Email, llamada, mensaje. La credibilidad del pretexto determina el éxito.
3. Play
Ejecutar la manipulación. Crear urgencia, invocar autoridad, construir confianza. Obtener credenciales, acceso o información.
4. Exit
Desaparecer sin levantar sospechas. En ataques sofisticados, borrar rastros y dejar al objetivo convencido de que todo fue legítimo.
Tipos de Ataques
Phishing
Email masivo
AltoEmail fraudulento con enlace a web falsa o adjunto malicioso. Masivo y no personalizado. Ej.: "Tu cuenta bancaria ha sido bloqueada. Verifica aquí."
Spear Phishing
Email dirigido
Muy AltoVersión personalizada del phishing. Usa información del objetivo (nombre, empresa, proyecto actual). Tasa de éxito mucho mayor.
Whaling
CEO/C-Suite
CríticoSpear phishing dirigido a altos directivos. También "CEO Fraud": suplantar al CEO para pedir transferencias urgentes al CFO.
Vishing
Llamada telefónica
AltoSuplantación de identidad por teléfono. "Soporte técnico de Microsoft", "seguridad bancaria", "AEAT". Presión de urgencia para obtener datos.
Smishing
SMS
AltoPhishing por SMS. Muy efectivo en móviles porque los usuarios tienden a confiar más en SMS que en email.
Pretexting
Escenario falso
AltoCrear una situación falsa elaborada para extraer información. Ej.: "Soy del departamento de RRHH, necesito verificar tu nómina."
Baiting
Cebo físico/digital
MedioDejar un USB infectado en el parking de la empresa con etiqueta "Nóminas 2024". Curiosidad humana hace el resto.
Quid Pro Quo
Intercambio
Medio"Te ayudo con tu problema técnico a cambio de tus credenciales temporales." Explotación de la reciprocidad.
Programas de Concienciación
Simulacros de Phishing
Herramientas: GoPhish (open source), KnowBe4, Proofpoint Security Awareness Training.
- • Enviar emails de phishing simulados al personal
- • Medir click rate y credential submission rate
- • Redirigir a quienes caen a formación inmediata
- • Benchmark industria: 30% click rate sin formación → 5% con formación
Formación Continua
La concienciación no es un evento puntual: es un programa continuo.
- • Formación anual obligatoria + micro-formaciones mensuales
- • Comunicaciones internas con ejemplos reales recientes
- • Canal de reporte de sospechosos (botón "Report Phishing")
- • Reconocimiento a empleados que reportan ataques reales
Buenas Prácticas
Verificar siempre la identidad por canal alternativo antes de actuar en peticiones urgentes (llamar directamente al supuesto remitente).
DMARC + DKIM + SPF para reducir el spoofing de correo corporativo.
Política de "si tienes dudas, no hagas clic" — crear cultura donde reportar es positivo, no sancionable.
Proteger al C-Suite: son objetivos frecuentes de whaling — formación específica para dirección.
Deshabilitar macros en Office por defecto — vector frecuente en documentos maliciosos adjuntos a phishing.
FIDO2/passkeys como MFA resistente a phishing — el atacante no puede robar el OTP de una passkey.
Siguiente Paso
Estudia los tipos de malware, su ciclo de vida y técnicas de persistencia
Malware: Tipos y Ciclo de Vida →