Las técnicas de ingeniería social son muy variadas, desde una persona que observa la contraseña, hasta llamadas y correos donde los ciberdelincuentes aplican estrategias psicológicas para obtener información que utilizan para actividades fraudulentas.
Tan solo en 2024, se produjo un fuerte aumento de los ataques de ingeniería social: 42% de las organizaciones reportaron este tipo de incidentes, de acuerdo con datos del Global Cybersecurity Outlook 2025 del Foro Económico Mundial (WEF).
A medida que los ataques de ingeniería social aumentan en frecuencia y sofisticación, las organizaciones enfrentan un entorno de ciberamenazas cada vez más complejo. De hecho, 72% de las organizaciones encuestadas reportó un incremento general de los riesgos cibernéticos durante 2024, y los ataques basados en ingeniería social fueron identificados como una de las formas más comunes y efectivas de ingreso a los sistemas corporativos.
Además, las herramientas de inteligencia artificial generativa (GenAI, por su acrónimo en inglés) han disminuido el costo de las campañas y técnicas de ingeniería social que permiten a los atacantes tener acceso a las organizaciones.
Índice de temas
El papel de la inteligencia artificial
Según el informe del WEF, 47% de las organizaciones manifestó especial preocupación por la capacidad de la inteligencia artificial (AI, por sus siglas en inglés) para mejorar las tácticas adversarias, desde phishing y deepfakes hasta desarrollo de malware automatizado.
La accesibilidad de estas tecnologías ha reducido drásticamente las barreras de entrada al cibercrimen, facilitando que actores con escasa pericia técnica implementen estafas sofisticadas.
Un caso paradigmático, que se comparte en el estudio, fue el de la firma Arup, víctima de un fraude millonario orquestado mediante deepfakes y múltiples tácticas de ingeniería social (phishing, vishing, smishing), sin que los atacantes accedieran al sistema informático de la empresa.
La preocupación no es infundada: Accenture detectó un aumento de 223% en la comercialización de herramientas relacionadas con deepfakes en foros de la dark web entre el primer trimestre de 2023 y el primero de 2024, lo que confirma el auge de estos métodos dentro del arsenal cibercriminal.
Además, 55% de los CISO encuestados durante el Annual Meeting on Cybersecurity 2024 consideró que los deepfakes representan una amenaza cibernética de moderada a significativa para sus organizaciones.
¿Qué es la ingeniería social y por qué representa una amenaza creciente?
La ingeniería social es una táctica de manipulación psicológica utilizada por ciberdelincuentes para engañar a las personas y obtener acceso a información confidencial, sistemas o recursos corporativos, explicó el experto en ciberseguridad, Víctor Ruíz.
“A diferencia de los ataques que explotan fallas técnicas, esta estrategia se basa en aprovechar la confianza humana”, señaló Ruíz en entrevista con IT Masters Mag.
Entre las técnicas más comunes se encuentran:
- El phishing, que utiliza correos electrónicos falsos que aparentan ser legítimos
- El pretexting, que consiste en crear escenarios ficticios para obtener datos personales o empresariales;
- El tailgating, donde los atacantes ingresan físicamente a zonas restringidas aprovechando la distracción o cortesía del personal.
El objetivo de estas técnicas de ingeniería social es inducir a los empleados a revelar contraseñas, instalar software malicioso o ejecutar acciones comprometedoras, como autorizar transferencias bancarias fraudulentas, sin necesidad de vulnerar sistemas de cifrado o firewalls, menciona el experto.
“Esta amenaza está en aumento, especialmente con el uso de inteligencia artificial para desarrollar ataques más sofisticados”, detalla Ruíz.
La actividad cibernética maliciosa afecta significativamente a las poblaciones más vulnerables, por lo que debemos impulsar urgentemente soluciones integrales que integren a todos, desde las pequeñas empresas locales hasta las grandes corporaciones globales. Colaborando como nunca antes, podemos revertir la situación en 2025, lograr un cambio sistémico y crear defensas digitales que funcionen para todos”, Philip Reiner, Director Ejecutivo y Fundador del Instituto de Seguridad y Tecnología
Ejemplos de ello son los correos de phishing altamente personalizados generados por modelos de lenguaje o los deepfakes que imitan la voz o imagen de ejecutivos para autorizar operaciones sensibles.
La expansión del trabajo remoto y el uso de dispositivos personales en entornos híbridos incrementan los riesgos, ya que fuera de la infraestructura corporativa los empleados pueden ser más vulnerables.
Además, la falta de capacitación en ciberseguridad y el incumplimiento de regulaciones como el GDPR o NIS2 pueden derivar en sanciones legales, pérdidas económicas y daños reputacionales.
“Incidentes como el robo de información de clientes o la interrupción de operaciones demuestran que la ingeniería social se ha convertido en una de las amenazas más críticas para las organizaciones en 2025”, puntualiza el también fundador de Silikn.
El Instituto Nacional de Ciberseguridad (ICIBE) explica qué es la ingeniería social como todas las técnicas que usan los delincuentes para tratar de engañar y manipular a su víctima con el finde ganarse su confianza para obtener algo en su beneficio.
¿Cuáles son las técnicas de ingeniería social más utilizadas?
Víctor Ruíz comentó que a través de las técnicas de ingeniería social más utilizadas, los ciberdelincuentes aprovechan la manipulación psicológica para explotar la confianza humana y obtener acceso no autorizado a información, sistemas o recursos empresariales.
El phishing lidera como la técnica más común. Este utiliza correos electrónicos, mensajes de texto o sitios web falsos que imitan fuentes legítimas para engañar a los usuarios, llevándolos a revelar credenciales, instalar malware o realizar transferencias financieras fraudulentas.
El pretexting implica crear escenarios ficticios, como hacerse pasar por un empleado, proveedor o autoridad, para obtener datos sensibles mediante engaños elaborados.
El baiting ofrece incentivos, como descargas gratuitas o dispositivos USB infectados, para inducir a las víctimas a comprometer sus sistemas.
Otras técnicas incluyen el tailgating, donde los atacantes acceden físicamente a áreas restringidas siguiendo a empleados autorizados, y el quid pro quo, que promete beneficios, como soporte técnico falso, a cambio de información o acceso.
Los ataques de vishing (phishing por voz) usan llamadas telefónicas para suplantar identidades, mientras que los deepfakes y la inteligencia artificial generan contenido falso, como videos o audios de ejecutivos, para autorizar acciones fraudulentas.
“Estas técnicas son cada vez más sofisticadas debido a la AI, el aumento del trabajo remoto y la falta de formación en ciberseguridad, lo que las convierte en una amenaza crítica para las empresas en 2025, especialmente al eludir medidas técnicas como el cifrado”, advirtió Ruíz.
¿Cómo opera el phishing más allá del correo electrónico tradicional?
Los ataques de phishing tradicionales radican en el envío de correos electrónicos con información falsa, incluso con ligas a sitios maliciosos donde se busca sustraer datos de personas y organizaciones.
Sin embargo, con el paso de los años, su complejidad ha aumentado y existen proveedores de ransomware como servicio que “alquilan sus programas a otros ciberdelincuentes con un costo determinado”, explica el análisis La evolución de las ciberamenazas: pasado, presente y futuro de la Katz School of Science and Health, la escuela de ciencias y salud de la Universidad Yeshiva en Nueva York, en Estados Unidos.
Ahora, los dispositivos conectados o tecnología como el internet de las cosas (IoT), asistentes domésticos inteligentes y los routers Wifi, son objeto de las técnicas de ingeniería social ya que almacenan gran cantidad de información, como contraseñas y datos de acceso.
Los ciberdelincuentes aprovechan la conectividad constante de estos dispositivos para instalar software malicioso, entrar a los sistemas y obtener información valiosa y confidencial de los usuarios.
Las técnicas de ingeniería social seguirán evolucionando en los próximos años volviendo el panorama de la ciberseguridad más complejo, explica la institución educativa.
“Las tecnologías más recientes, como la AI y el aprendizaje automático, ofrecen numerosas ventajas, pero también introducen nuevas tendencias en el panorama de los ciberataques”.
Al phishing por correo electrónico se sumarán riesgos de la computación de borde y 5G pues su despliegue y crecimiento generarán más vulnerabilidades que serán aprovechadas por los ciberdelincuentes.
La computación cuántica también representa un peligro para las tecnologías de cifrado actuales e incluso puede volverlas obsoletas: “Es posible que veamos una creciente necesidad de nuevos métodos de cifrado resistentes a la computación cuántica para superar los desafíos de seguridad”, alerta la Katz School of Science and Health.
Además, señala que habrá desafíos en el uso de datos biométricos que se utilizan cada vez con mayor frecuencia como parte de los sistemas de seguridad, sin embargo, los ciberdelincuentes pueden acceder a las bases de datos y robar la identidad de las personas.
¿Qué diferencia hay baiting del pretexting en entornos corporativos?
Aunque el baiting y el pretexting utilizan el “storytelling” como tácticas de ingeniería social, son distintas en su ejecución.
De acuerdo con la Carnegie Mellon University, el Baiting es una técnica de ingeniería social donde el atacante “usa una falsa promesa para atraer a la víctima a una trampa donde puede robar la información persona y financiera de la persona”. La trampa —comparte la Universidad— puede consistir en un archivo adjunto malicioso con un nombre atractivo.
El Baiting suele utilizar medios físicos para distribuir malware con el que se ataca a la persona o institución. Por ejemplo, los atacantes dejan el Baiting en una memoria USB infectada en lugares visibles donde las víctimas potenciales seguramente lo verán.
Cuando la víctima utiliza la memoria USB en una computadora del trabajo o del hogar, el malware se instala automáticamente en el sistema. “Las estafas de Baiting también se encuentran en línea en forma de anuncios tentadores que dirigen a sitios maliciosos o animan a los usuarios a descargar una aplicación infectada con malware”, menciona el texto universitario.
| Característica | Baiting | Pretexting |
|---|---|---|
| Definición | Técnica basada en una falsa promesa que atrae a la víctima a una trampa | Técnica basada en una historia ficticia diseñada para manipular al objetivo |
| Modo de operación | Uso de objetos físicos o digitales con contenido malicioso | Suplantación de identidad mediante personajes creíbles |
| Canales comunes | USB infectadas, apps falsas, anuncios web tentadores | Llamadas, correos electrónicos, mensajes directos o reuniones simuladas |
| Tipo de engaño | Curiosidad o deseo de obtener una “recompensa” | Confianza en figuras de autoridad o fuentes legítimas |
| Nivel de personalización | Bajo o generalizado (no siempre dirigido a un individuo específico) | Alto, basado en investigación previa del objetivo (información pública o robada) |
| Ejemplos típicos | USB rotulada como “bono de sueldo” o “fotos privadas” en un hall de oficina | Llamada de “TI” solicitando verificación de credenciales para una auditoría |
| Objetivo principal | Infección de dispositivos y acceso no autorizado | Obtención directa de datos sensibles o acceso interno |
Mientras que el pretexting, en cambio, es una táctica de ingeniería social donde el ciberdelincuente crea una historia ficticia que utiliza para manipular a alguien para que proporcione información privada o influya en su comportamiento.
“Los delincuentes suelen hacerse pasar por una persona con autoridad, un compañero de trabajo o una organización de confianza para mantener una comunicación fluida antes de lanzar un ataque de phishing dirigido contra su víctima.
Los delincuentes investigan exhaustivamente a su objetivo para crear una historia creíble que les ayude a establecer una relación y generar confianza”, comparten en otro de sus artículos la Oficina de Seguridad de la Información de Carnegie Mellon University.
Los atacantes usan información de sus víctimas que anteriormente fue revelada para sus ataques sean creíbles, de manera que datos como el puesto de trabajo, la ubicación de la oficina, el historial laboral, las relaciones comerciales e información personal del objetivo, como la dirección, el número de teléfono, la fecha de nacimiento, los últimos cuatro dígitos del número de la seguridad social o de la tarjeta de crédito son el arma que usan los delincuentes para acceder a más información de las personas de manera sencilla.
¿Por qué el vishing y el smishing son especialmente peligrosos para el personal ejecutivo?
Los expertos en técnicas de ingeniería social como el vishing y smishing saben que dirigir sus ataques hacia ejecutivos de las empresas es óptimo ya que son personas ocupadas que son vulnerables y que cuentan con información valiosa de la empresa.
En el vishing, los ciberdelincuentes suplantan voces para manipular a los ejecutivos y extraer información confidencial o acceder sin autorización a los sistemas, indica la consultora GSA Global.
De esta manera, los atacantes se hacen pasar por personas u organizaciones confiables. En las llamadas suelen imprimir cierto sentido de urgencia para hacer que la persona comparta con mayor rapidez la información que se busca robar.
“Los atacantes buscan extraer información confidencial, como nombres de usuario, contraseñas o datos de cuenta. Podrían alegar que necesitan esta información para fines de verificación o para resolver un problema urgente”, aclaran.
En algunos casos, los delincuentes pueden convencer al interlocutor de descargar e instalar software malicioso y así tener acceso remoto a la información.
Mientras que el smishing es una técnica de ingeniería social que usa mensajes de texto, donde los ejecutivos reciben dichos mensajes en sus teléfonos donde se advierten temas urgentes, indica la GSA Global.
Los mensajes afirman tener origen en una conocida organización y contiene información de contacto que el usuario suele conocer. En estos casos, los ciberdelincuentes pueden usar nombres de empresas u organizaciones ficticias pero que parecen reales y, ante el sentido de urgencia, las personas suelen responder.
Los mensajes pueden incluir enlaces a páginas de registro donde se imitan logotipos y páginas web y ahí se piden datos de los usuarios. “El personal que hacen clic en el enlace e introducen sus credenciales, sin saberlo, proporcionan a los atacantes acceso a sus cuentas”, con lo que obtienen acceso no autorizado a las redes internas de la organización”, comparten desde la consultora.
¿Cómo reducir la exposición a ataques de ingeniería social?
Ninguna persona o empresa está libre de ser atacada con técnicas de ingeniería social por lo que la Agencia de Ciberseguridad y Seguridad de las Infraestructuras (CISA, por siglas en inglés) comparte una serie de recomendaciones para estar prevenido en este sentido.
En primer lugar, recomienda sospechar de llamadas telefónicas, visitas o correos electrónicos no solicitados de personas que preguntan por empleados u otra información interna y confidencial
“Si una persona desconocida afirma pertenecer a una organización legítima, intente verificar su identidad directamente con la empresa”, sugiere.
La CISA pide no compartir información personal ni de la empresa, incluida su estructura o redes, a menos que esté seguro de la autoridad de una persona para tener la información.
Por otro lado, no se debe revelar información personal ni financiera por correo electrónico y tampoco deben compartirse datos sobre solicitudes de información por correo electrónico.
Tampoco, advierte, se debe compartir información en sitios web sin antes verificar la autenticidad y seguridad de la página de internet. Los sitios seguros comienzan con “https” en lugar de “http”, esto ayuda a evitar ingresar datos en portales maliciosos.
Si no está seguro de la legitimidad de una solicitud de correo electrónico, comparte la Agencia de Defensa Cibernética de Estados Unidos, verifique su autenticidad contactando directamente a la empresa.
Por último, las organizaciones y los empleados deben mantener los software de seguridad actualizados para evitar el phishing.
¿Qué estrategias de concienciación funcionan mejor entre empleados y directivos?
De acuerdo con el Centro Nacional de Seguridad Cibernética (NCSC, por sus siglas en inglés) una organización gubernamental que se dedica a proteger al Reino Unido de amenazas cibernéticas, recomienda cuatro capas de seguridad aplicables entre empleados y directivos.
Capa 1: Dificultar que los atacantes lleguen a los usuarios finales
La empresa no debe permitir que las direcciones de correo electrónico sean un recurso para los atacantes pues éstos suplantan correos electrónicos de confianza, haciendo que sus mensajes parezcan enviados por organizaciones de buena reputación.
También es necesario reducir la información disponible de la empresa que los ciberdelincuentes pueden utilizar para generar mensajes más convincentes.
Por otra parte, los correos electrónicos deben ser filtrados y, en su caso, bloqueados antes de que lleguen a los usuarios, quienes deben aprender a reconocer un correo falso.
Capa 2: Mejorar la cultura del reporte
Los empleados deben ser capacitados sobre phishing, principalmente entre los equipos de trabajo que son más vulnerables. Además de conocer las característica de este tipo de ingeniería social, deben aprender a reportar los incidentes, subrayando que no habrá consecuencias negativas si informan sobre intentos de phishing.
La empresa puede invitar a los colaboradores para que redacten sus propios correos de phishing y se den cuenta de la facilidad con la que es posible caer en esta trampa.
También hay que considerar que las comunicaciones con proveedores y clientes pueden ser atacadas, por lo que advertirles a los públicos externos ayuda a prevenir este tipo de amenazas.
Capa 3: Proteger los dispositivos contra malware
El malware suele estar oculto en correos de phishing o en los sitios web por lo que dispositivos bien configurados y con buenas defensas en los puntos finales pueden impedir que el malware se instale, incluso si se hace clic en el correo.
Para evitar la instalación de malware se debe utilizar únicamente software y dispositivos con soporte oficial y actualizarlo constantemente.
Cabe destacar que la mayoría de los navegadores bloquean sitios con phishing o malware, sin embargo, no siempre sucede en los dispositivos móviles, los cuales deben contener protección.
Capa 4: Detectar los incidentes rápidamente.
Conocer a existencia de un incidente lo antes posible permite limitar el daño que puede causar, por lo que los empleados deben saber cómo reportarlos.
La empresa puede implementar un sistema de registro de seguridad para detectar incidentes que los usuarios no hayan notado, a través de la implementación de herramientas de monitoreo integradas en los servicios comerciales que ya se utilizan.
Los planes de respuesta a incidentes deben practicarse antes de que ocurra un incidente real, a través de ejercicios simulados.
| Capa | Objetivo | Acciones Clave |
|---|---|---|
| Capa 1: Dificultar el acceso del atacante | Impedir que los atacantes lleguen a los usuarios finales | – Ocultar direcciones de correo- Filtrar y bloquear correos sospechosos- Reducir información pública de la empresa- Capacitar para detectar correos falsos |
| Capa 2: Fomentar la cultura del reporte | Promover el reporte proactivo de intentos de phishing | – Capacitar en identificación y reporte de phishing- Incentivar el reporte sin consecuencias- Simular correos de phishing- Advertir a proveedores y clientes |
| Capa 3: Proteger los dispositivos | Prevenir la instalación de malware | – Usar software con soporte oficial- Mantener actualizaciones al día- Proteger dispositivos móviles- Configurar defensas en puntos finales |
| Capa 4: Detectar rápidamente incidentes | Limitar el impacto de los ataques | – Capacitar en detección y reporte de incidentes- Implementar sistemas de monitoreo- Simular respuestas ante incidentes reales |
Preguntas frecuentes sobre técnicas de ingeniería social
¿Cómo saber si su organización ya ha sido víctima de un ataque exitoso de ingeniería social sin saberlo?
Una señal puede ser la interrupción de operaciones, el robo de información de clientes o actividades anómalas que no tienen una causa técnica clara. La empresa debe implementar capas de monitoreo y fomentar el reporte interno para detectar indicios sutiles de estos ataques.
¿Qué métricas clave pueden usarse para evaluar el riesgo de ingeniería social en la empresa?
Algunas métricas cualitativas y de gestión útiles para evaluar el riesgo son porcentaje de empleados capacitados en ciberseguridad, frecuencia de ejercicios de simulación de ataques como phishing o vishing, número de incidentes reportados vs. detectados por monitoreo, nivel de exposición pública de información corporativa o ejecutiva, actualización y configuración de dispositivos corporativos y uso de herramientas de IA por atacantes para generar contenido personalizado.
¿Qué responsabilidades legales y reputacionales enfrenta la alta dirección tras un incidente de este tipo?
La falta de capacitación en ciberseguridad y el incumplimiento de regulaciones como el GDPR o NIS2 pueden derivar en: sanciones legales, pérdidas económicas y daños reputacionales significativos.
¿Cuál es el papel del comité directivo o de riesgos en la prevención de ataques de ingeniería social?
La dirección debe liderar y respaldar estrategias de protección contra la ingeniería social, tales como: implementar políticas de ciberseguridad, fomentar una cultura de reporte sin represalias, asegurar que existan capas defensivas en correos, dispositivos y monitoreo, promover y financiar entrenamientos, simulaciones y medidas proactivas y advertir a proveedores y clientes sobre posibles fraudes.
